NRIセキュアテクノロジーズ（NRIセキュア）は2023年8月24日、IoT機器メーカーをはじめとする製造業向けに「デバイス脆弱性監視分析サービス」の提供を同日開始すると発表した。

製造業界では、自社製品に関連する情報セキュリティ事故（インシデント）の未然防止と、インシデント発生時の対応を目的とした専門チーム「PSIRT（Product Security Incident Response Team、ピーサート）」を社内に組織し、自社製品のセキュリティ向上に取り組んでいる。

PSIRTでは、オープンソースソフトウェア（OSS）や市販ソフトウェア（COTS）等の脆弱性の収集・分析も行うが、サードパーティ製ソフトウェア部品の種類と数が年々増加するなか、収集・分析にかかる作業負荷が増えているという。一方で、巧妙化するサイバー攻撃を防ぐために、脆弱性を早期に発見し、深刻度を判定したうえで、緊急度の高い脆弱性に迅速に対処することが重要だ。

そこで同サービスでは、IoT製品等に含まれるOSSやCOTS等のサードパーティ製ソフトウェア部品の既知の脆弱性（共通脆弱性識別子「CVE」が付与された脆弱性）を対象に、NRIセキュアが製品への脆弱性の影響を机上評価し、優先的に対応すべき脆弱性を抽出することで脆弱性管理サイクルの運用にかかる負担を軽減するとしている。

脆弱性管理サイクルの例

同サービスの主な特徴は3つ。1つめは、脆弱性管理の基礎となる製品構成情報の一元管理を支援する点。部門ごとに製品構成情報の粒度や内容が統一されていない場合に、導入企業に代わりNRIセキュアが製品構成情報を統一された形式に変換する。

2つめは、最新の脆弱性情報を効率的・網羅的に収集可能である点。米国国立標準技術研究所（NIST）が運営する脆弱性データベース「National Vulunerability Database（NVD）」をはじめとした、NRIセキュアが有する複数の情報ソースを利用する。

3つめは、発見された脆弱性の深刻度を判定し、一次影響調査を実施する点。対策状況をあらかじめ確認することで調査範囲を限定し、現場担当者の負荷を軽減することができるという。また、脆弱性の検知件数や緊急度をまとめた月次レポートを提供する。

月次レポートのイメージ

同サービスを利用した製品構成状況の一元化は、SBOM（Software Bill of Materials、ソフトウエア部品表）の一助にもなるという。