日立、IoT製品／システムの脆弱性対処に向け生成AIを活用した「脆弱性分析サービス」を提供

　株式会社日立製作所（以下、日立）は5日、IoT製品／システムなどの製品セキュリティにおける脆弱性対処に必要な知見を補う、生成AIを活用した「脆弱性分析サービス」を発表した。

　脆弱性分析サービスは、生成AIを活用して、理解にセキュリティの専門的知見が必要な脆弱性情報を解析し、製品が脆弱性の影響を受ける条件だけをチェックリストとして提供する。これにより、製品の設計書やソースコードから製品が脆弱性の影響を受けるかどうかを調査するために必要な知見を補い、製品セキュリティの知見や人財不足の課題解決を支援する。

「脆弱性分析サービス」の概要

　脆弱性情報は、専門用語や技術的な情報が多用されており、製品が脆弱性の影響を受ける条件だけでなく、考えられる攻撃手法や悪用された際の被害、脆弱性の対象外となる条件なども混在して記述されている。サービスでは、生成AIに日立独自のプロンプトエンジニアリングを適用することで、生成AIが、脆弱性の影響を受ける条件だけを効率的に抽出してチェックリスト化を行う。

　サービスの活用により、従来時間がかかっていた人手による脆弱性の影響を受ける条件の整理が不要となり、調査にかかる時間を、約45％削減できると説明。チェックリストは自動で生成されるため、製品担当者の知見に左右されない調査ができ、脆弱性対処の品質向上も可能としている。

　チェックリストを活用することで、脆弱性の影響に関する調査の抜け漏れを防止し、セキュリティの知見が少ない人でも、知見がある人と同等の品質での調査が可能となる。これにより、知見や人財が不足している組織でも脆弱性対処の品質の向上が図れる。また、チェックリストは、調査を網羅的に行っていることを示すエビデンスとしても活用できる。

自動生成するチェックリストのイメージ

　日立は、脆弱性情報と製品構成情報の一元管理など、脆弱性対処を支援する機能を搭載したPSIRT運用プラットフォームを提供している。今回のサービスの追加により、特に製品セキュリティの知見・人財が不足している顧客に対して、より効率的かつ高品質での脆弱性対処を可能にする。

　脆弱性分析サービスの価格は個別見積もり。サービスの提供開始は7月。日立は、サービスにより顧客の製品セキュリティの知見・人材不足の課題へもアプローチし、製造業各社へのPSIRT運用プラットフォームの展開を加速していくと説明。また、製造業の顧客のセキュリティに関するさまざまな課題解決に向けて、IT×OT×プロダクトの知見や実績を生かしたコンサルティングやSIなど、幅広いサービスも提供していくとしている。