NRIセキュア、PSIRTの脆弱性情報収集を支援する製造業向け「デバイス脆弱性監視分析サービス」を提供

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は24日、IoT機器メーカーをはじめとする製造業向けに、「デバイス脆弱性監視分析サービス」を提供開始すると発表した。

　製造業界では現在、PSIRT（Product Security Incident Response Team）を社内に組織して自社製品のセキュリティ向上に取り組んでおり、その中では、自社製品に含まれる、オープンソースソフトウェア（OSS）や市販ソフトウェア（COTS）等を利用したサードパーティ製ソフトウェア部品の脆弱性収集・分析も行われている。しかし、こうしたソフトウェア部品の種類と数が年々増加する中で、収集・分析にかかる作業負荷が増えてしまっているのが現状という。

　今回発表されたデバイス脆弱性監視分析サービスは、IoT製品などで利用されているサードパーティ製部品に含まれるOSSやCOTS等の脆弱性情報を、利用企業に代わってNRIセキュアが収集・分析するもの。サードパーティ製ソフトウェア部品の既知の脆弱性（共通脆弱性識別子「CVE」が付与された脆弱性）を対象に、NRIセキュアが製品への脆弱性の影響を机上評価し、優先的に対応すべき脆弱性を抽出することで、脆弱性管理サイクルの運用にかかる負担を軽減するとした。

　具体的には、発見された脆弱性に対する、製品構成情報を踏まえた一次的な影響調査や、攻撃コードの有無の調査を実施するほか、脆弱性の検知件数や緊急度をまとめた月次レポートを提供する。

月次レポートのイメージ

　なお最新の脆弱性情報の収集には、米国国立標準技術研究所（NIST）が運営する脆弱性データベース「National Vulnerability Database（NVD）」をはじめとした、NRIセキュアが有する複数の情報ソースを利用する。

　また導入企業において、部門ごとに製品構成情報の粒度や内容が統一されていない場合に、NRIセキュアがその企業に代わって、製品構成情報を統一された形式に変換することで、脆弱性管理の基礎となる製品構成情報を一元管理可能になるとのこと。