プレスリリース

脆弱性管理ツールに機能追加し、大規模・複数テナントでの監視対象の一括管理や SBOM を活用した脆弱性管理を実現

〜複数のネットワークセグメントのホスト管理を実現し、広範囲の脆弱性管理の負荷とコストを低減〜

2022 年 9 月 28 日
サイバートラスト株式会社

サイバートラスト株式会社（本社：東京都港区、代表取締役社長：眞柄泰利　以下、サイバートラスト）は、サーバーやネットワーク機器に内在する脆弱性の可視化と対応を自動化する脆弱性管理ツール「MIRACLE Vul Hammer（ミラクルバルハンマー）」に新機能を追加した最新版を 2022 年 9 月 28 日より提供開始します。

「MIRACLE Vul Hammer」は、CentOS をはじめとする Linux や Windows などのソフトウェアと、ネットワークスイッチなどのデバイスの脆弱性を高精度でスキャン可能にし、各サーバーのパッチ適用状況と事前に設定したポリシーへの違反を一元管理可能にして効率的な脆弱性管理を実現しています。「MIRACLE Vul Hammer」の活用により、企業のソフトウェア管理業務の大幅な省力化と、脆弱性の早期発見や迅速な対応を通じてサイバー攻撃のリスク低減を支援します。

＜背景＞

従来の MIRACLE Vul Hammer では、異なるネットワークセグメントのホストは、ネットワークセグメントごとに MIRACLE Vul Hammer マネージャーを設置しそれぞれで管理する必要があり、管理作業の効率化とコスト削減の課題がありました。

一方、2021 年 12 月に報告された Apache Log4j の脆弱性に関する問題では、ソフトウェアに数多くのパッケージやライブラリとの依存関係が存在する事実と、これらの依存関係が把握されていないとサイバー攻撃などのリスクへの対応が極めて困難であることが明らかになりました。こういったインシデントを機に、ソフトウェア自体の脆弱性管理のみでなく、依存コンポーネントの脆弱性を紐づけて管理することが重要視されるようになりました。同時にサプライチェーンセキュリティを確保するためには、ソフトウェアベンダーに SBOM ^※1 の提供を求めることが必須になってきました。サイバートラストは OSS のセキュリティ強化に向けて Linux Foundation と Open Source Software Security Foundation（OpenSSF）が策定した 3 つの目標と 10 項目の動員プランに参画しています。この取組みの一環として、SBOM を活用した OSS の脆弱性対策を重要とし、コミュニティとの連携と併せて当社製品においても機能実装を進めています。

こうした背景を受け、このたびサイバートラストでは、脆弱性管理ソフトの「MIRACLE Vul Hammer」にいくつかの機能強化を行いました。主な追加機能として、プロキシを導入し異なる複数のネットワークセグメントの監視対象ホストをまとめて管理可能にしました。これにより MSP（Managed Service Provider）などのお客様が複数のテナントで広範囲の脆弱性を管理する負荷とコストを低減します。また、SBOM の代表的なフォーマットである SPDX ^※2 形式の SBOM をインポートすることで、利用しているソフトウェアの依存コンポーネントの脆弱性まで可視化可能にしました。

これらの新機能により、大規模サーバーを管理・運用する企業に向けて、脆弱性管理の設定負荷およびコストの低減とシステムの効率的なセキュリティ強化を支援します。

「MIRACLE Vul Hammer」の機能強化点

テナント管理向けのプロキシの導入
プロキシを配置することで異なる複数のネットワークセグメントの監視対象ホストを一括管理可能にし、管理コストを低減します。
トリアージ機能の強化
CVSS ^※3 のスコアによる脆弱性評価のみでなく、システム環境などに応じて稼働場所やホストの利用目的といった項目をカスタマイズして評価可能にすることで、ユーザーに最適化した脆弱性の優先度づけができます。
SBOM のインポート機能の追加
SBOM のインポートにより、対象のホストと SBOM を紐づけることで CPE ^※4 の自動登録を可能にしました。ホストごとに CPE の入力を不要にし、脆弱性管理の設定負荷を低減します。
※現状対応しているファイル形式は、SPDX（JSON）形式になります。
各ホストのアプリケーションの製品ライフサイクル終了（EOL）管理機能の追加
監視対象システムにおけるアプリケーションの EOL を管理し、EOL を過ぎたアプリケーションを使い続けることによって内在する脆弱性が利用され攻撃されるリスクを防ぎます。

サイバートラストは、今後も MIRACLE Vul Hammer の機能強化を行い、SPDX 以外の SBOM のフォーマットにも対応を広げる予定です。複数の異なるネットワークセグメントのシステムを利用するユーザーや、大規模なシステムの脆弱性管理が求められている企業や運用保守事業者、サプライチェーンセキュリティの観点などから SBOM の利用が求められている事業者に向けて、効果的な脆弱性管理の実現を支援します。

※1: SBOM（Software Bill of Materials）とは：ソフトウェアに含まれるコンポーネントや依存関係、ライセンスの種類などをリスト化したソフトウェア部品表。ソフトウェアサプライチェーンにおいてトランスペアレンシー（透明性）とトレーサビリティ（追跡可能性）を確保するための有効な手段として、世界的に普及が進んでいます。
※2: SPDX（Software Package Data Exchange）フォーマットとは：ソフトウェアパッケージに関連するソフトウェア名やバージョン、ライセンス、著作権表示などの情報を共有するための標準的なフォーマットで、Linux Foundation 傘下にあるプロジェクト（SPDX Workgroup）が定義し国際標準化されています。
※3: CVSS（Common Vulnerability Scoring System）とは：情報システムの脆弱性に対するオープンで汎用的な評価手法による共通脆弱性評価システム。
※4: CPE（Common Platform Enumeration）とは：管理対象ホストの共通プラットフォーム一覧で、システムを構成するハードウェアやソフトウェアなどを識別するための共通のプラットフォーム名のこと。

「MIRACLE Vul Hammer」について

「MIRACLE Vul Hammer」の詳細についてはこちらをご覧ください。

サイバートラスト株式会社について

サイバートラストは、日本初の商用電子認証局として 20 年以上にわたり提供している認証・セキュリティサービスと、ミラクル・リナックスのカーネル技術やオープンソースソフトウェア（OSS）の知見を応用したオンプレミス、クラウド、組込み領域向けの Linux/OSS サービスを展開しています。また、これらの技術や実績を組み合わせ、IoT をはじめとする先端分野に向けて、「ヒト・モノ・コト」の正しさを証明し、お客様のサービスの信頼性を支えるサービスを推進しています。
「信頼とともに」。サイバートラストは、IT インフラに関わる専門性・中立性の高い技術で、安心・安全な社会を実現します。