1. HOME
  2. ブログ
  3. 複数のネットワークセグメントのホスト管理を実現し、広範囲の脆弱性管理の負荷とコストを低減脆弱性管理ツールに機能追加し、大規模・複数テナントでの監視対象の一括管理や SBOM を活用した脆弱性管理を実現

複数のネットワークセグメントのホスト管理を実現し、広範囲の脆弱性管理の負荷とコストを低減
脆弱性管理ツールに機能追加し、大規模・複数テナントでの監視対象の一括管理や SBOM を活用した脆弱性管理を実現

サイバートラスト株式会社(以下、サイバートラスト)は、サーバーやネットワーク機器に内在する脆弱性の可視化と対応を自動化する脆弱性管理ツール「MIRACLE Vul Hammer(ミラクル バル ハンマー)」に新機能を追加した最新版を提供開始した。

「MIRACLE Vul Hammer」は、CentOS をはじめとする Linux や Windows などのソフトウェアと、ネットワークスイッチなどのデバイスの脆弱性を高精度でスキャン可能にし、各サーバーのパッチ適用状況と事前に設定したポリシーへの違反を一元管理可能にして効率的な脆弱性管理を実現している。「MIRACLE Vul Hammer」の活用により、企業のソフトウェア管理業務の大幅な省力化と、脆弱性の早期発見や迅速な対応を通じてサイバー攻撃のリスク低減を支援する。

<背景>

従来の MIRACLE Vul Hammer では、異なるネットワークセグメントのホストは、ネットワークセグメントごとに MIRACLE Vul Hammer マネージャーを設置しそれぞれで管理する必要があり、管理作業の効率化とコスト削減の課題があった。

一方、2021 年 12 月に報告された Apache Log4j の脆弱性に関する問題では、ソフトウェアに数多くのパッケージやライブラリとの依存関係が存在する事実と、これらの依存関係が把握されていないとサイバー攻撃などのリスクへの対応が極めて困難であることが明らかになった。こういったインシデントを機に、ソフトウェア自体の脆弱性管理のみでなく、依存コンポーネントの脆弱性を紐づけて管理することが重要視されるようになった。同時にサプライチェーンセキュリティを確保するためには、ソフトウェアベンダーに SBOM ※1 の提供を求めることが必須になってきた。サイバートラストは OSS のセキュリティ強化に向けて Linux Foundation と Open Source Software Security Foundation(OpenSSF)が策定した 3 つの目標と 10 項目の動員プランに参画している。この取組みの一環として、SBOM を活用した OSS の脆弱性対策を重要とし、コミュニティとの連携と併せて当社製品においても機能実装を進めている。

こうした背景を受け、このたびサイバートラストでは、脆弱性管理ソフトの「MIRACLE Vul Hammer」にいくつかの機能強化を行った。主な追加機能として、プロキシを導入し異なる複数のネットワークセグメントの監視対象ホストをまとめて管理可能にした。これにより MSP(Managed Service Provider)などのユーザーが複数のテナントで広範囲の脆弱性を管理する負荷とコストを低減する。
また、SBOM の代表的なフォーマットである SPDX ※2 形式の SBOM をインポートすることで、利用しているソフトウェアの依存コンポーネントの脆弱性まで可視化可能にした。

これらの新機能により、大規模サーバーを管理・運用する企業に向けて、脆弱性管理の設定負荷およびコストの低減とシステムの効率的なセキュリティ強化を支援する。

「MIRACLE Vul Hammer」の機能強化点

  • テナント管理向けのプロキシの導入
    プロキシを配置することで異なる複数のネットワークセグメントの監視対象ホストを一括管理可能にし、管理コストを低減。
  • トリアージ機能の強化
    CVSS ※3 のスコアによる脆弱性評価のみでなく、システム環境などに応じて稼働場所やホストの利用目的といった項目をカスタマイズして評価可能にすることで、ユーザーに最適化した脆弱性の優先度づけを可能に。
  • SBOM のインポート機能の追加
    SBOM のインポートにより、対象のホストと SBOM を紐づけることで CPE ※4 の自動登録を可能にした。ホストごとに CPE の入力を不要にし、脆弱性管理の設定負荷を低減。
    ※現状対応しているファイル形式は、SPDX(JSON)形式。
  • 各ホストのアプリケーションの製品ライフサイクル終了(EOL)管理機能の追加
    監視対象システムにおけるアプリケーションの EOL を管理し、EOL を過ぎたアプリケーションを使い続けることによって内在する脆弱性が利用され攻撃されるリスクを防ぐ。

サイバートラストは、今後も MIRACLE Vul Hammer の機能強化を行い、SPDX 以外の SBOM のフォーマットにも対応を広げる予定。複数の異なるネットワークセグメントのシステムを利用するユーザーや、大規模なシステムの脆弱性管理が求められている企業や運用保守事業者、サプライチェーンセキュリティの観点などから SBOM の利用が求められている事業者に向けて、効果的な脆弱性管理の実現を支援する。

※1 SBOM(Software Bill of Materials)とは:ソフトウェアに含まれるコンポーネントや依存関係、ライセンスの種類などをリスト化したソフトウェア部品表。ソフトウェアサプライチェーンにおいてトランスペアレンシー(透明性)とトレーサビリティ(追跡可能性)を確保するための有効な手段として、世界的に普及が進んでいる。

※2 SPDX(Software Package Data Exchange)フォーマットとは:ソフトウェアパッケージに関連するソフトウェア名やバージョン、ライセンス、著作権表示などの情報を共有するための標準的なフォーマットで、Linux Foundation 傘下にあるプロジェクト(SPDX Workgroup)が定義し国際標準化されている。

※3 CVSS(Common Vulnerability Scoring System)とは:情報システムの脆弱性に対するオープンで汎用的な評価手法による共通脆弱性評価システム。

※4 CPE(Common Platform Enumeration)とは:管理対象ホストの共通プラットフォーム一覧で、システムを構成するハードウェアやソフトウェアなどを識別するための共通のプラットフォーム名のこと。

「MIRACLE Vul Hammer」について

「MIRACLE Vul Hammer」の詳細については こちら 

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!