IoT製品などに組み込む第3者製ソフトの脆弱性情報を収集・分析するサービス、NRIセキュアが開始

　NRIセキュアテクノロジーズの「デバイス脆弱性監視分析サービス」は、IoT（Internet of Things：モノのインターネット）デバイスなどの製品に搭載するソフトウェア部品に対する脆弱性に関する情報を収集・分析するサービス。脆弱性を発見した際は、製品構成情報を踏まえた一次的な影響や、攻撃コードの有無も調査する。脆弱性の検知件数や緊急度は月次レポートにまとめる（図1）。

図1：「デバイス脆弱性監視分析サービス」の月次レポートの例

　デバイス脆弱性監視分析サービスが対象にするのは、共通脆弱性識別子（CVE）が付与された脆弱性。情報は、米国国立標準技術研究所（NIST）が運営する脆弱性データベース「National Vulnerability Database（NVD）」のほか、NRIセキュアが保有する複数の情報ソースから収集する。

　企業が製品構成情報を部門ごとに管理ししており、その粒度や内容が統一されていない場合は、NRIセキュアが統一した形式に変換することで、製品構成情報の一元管理を可能にする。

　IoTデバイスなど製造業では製品のソフトウェア化やネットワーク接続化が進み、サイバー攻撃へのリスクが高まっている。一方で、開発期間を短縮するために、オープンソースソフトウェア（OSS）や市販ソフトウェア（COTS）といった第3者製ソフトウェアを部品として組み込む頻度が高まっている。

　そうした中で自社製品のセキュリティ向上に取り組む専門チーム「PSIRT（Product Security Incident Response Team：ピーサート）」が組織され、OSSやCOTSなどの脆弱性を収集・分析したり、インシデントに対応したりと脆弱性管理サイクルを運用している（図2）。

図2：PSIRTが取り組む脆弱性管理サイクルの例

　ただ、ソフトウェア部品の種類と数が年々増加すると同時にサイバー攻撃が巧妙化しており、脆弱性の早期発見や深刻度の判定、緊急度の高い脆弱性への迅速な対処が重要になっている。