サイバートラスト:組込み機器向け脆弱性調査サービスを提供開始
「欧州サイバーレジリエンス法」や「IoT製品に対するセキュリティ適合性評価制度」などで義務づけられる脆弱性対応を支援
サイバートラスト株式会社(以下、サイバートラスト)は、組込み/IoT機器を開発・製造する企業向けに、出荷後の製品に対して脆弱性の調査と対応を行う脆弱性調査サービスを本日より提供開始したことを発表した。
本サービスにより、医療機器や自動車向け機器、防衛装備品、欧州で使用される機器など、昨今の国際セキュリティ標準で求められる製品に内在する脆弱性の把握や深刻度判定(トリアージ)などの対処を実現する。また、企業が開発・提供した製品の脆弱性に起因するリスクに対応するための技術的なノウハウを本サービスで代行・支援できるため、製品の脆弱性対応のための人的リソースを次の製品開発などの領域に注力可能にするとしている。
<背景>
EUで施行予定のセキュリティ規則「欧州サイバーレジリエンス法(Cyber Resilience Act:CRA)」や、経産省が2025年3月頃に構築を進めている「IoT製品に対するセキュリティ適合性評価制度」など、IoT機器に対して脆弱性対応を義務づける規制や法令への対応が求められている。これまで医療機器など特定用途の機器に限定されていた対象範囲が拡大し、今後は一般的なIoT機器にも製品出荷後の脆弱性監視と対応が義務づけられ、対象機器を開発・製造する企業は、ビジネス存続のためこれらのセキュリティ標準への適合が必須となる。
提供開始する脆弱性調査サービスは、さまざまなLinux搭載機種に対応している。長期利用可能なIoT機器向けLinux OS「EMLinux」をベースとするシステムを対象とする「EMLinuxカスタムメンテナンスサービス」と、EMLinux以外のLinuxシステムを対象とする「組込みLinux 脆弱性調査サービス」の二種を提供し 、いずれも継続的な脆弱性の調査と対応を可能にする。脆弱性の調査とレポート、および対策において、発見された脆弱性に対して非営利団体のMITRE社が割り当てているCVE(共通脆弱性識別子)を活用し、脆弱性スキャンの結果から製品環境に応じてエンジニアがより正確な該非判定を実施したレポートを提供する。「EMLinuxカスタムメンテナンスサービス」は、開発最終段階に既知脆弱性の検査と対策を行うほか、EMLinuxをカスタム開発した部分についても製品出荷後に継続して脆弱性メンテナンスを提供する。
「EMLinuxカスタムメンテナンスサービス」の提供内容
- 定期的な脆弱性調査
- パッケージ更新による脆弱性対処
- 新規に検出された脆弱性などの報告書
「脆弱性調査サービス」の提供内容
- お客様システムが含む脆弱性を調査、報告
- 検出された脆弱性への対策(パッチ適用)を実施、リリース
サイバートラストは、「EMLinuxカスタムメンテナンスサービス」と「組込みLinux脆弱性調査サービス」により、製品の安全な運用に必要な情報と技術力を提供し、PSIRT※ や社内の担当部門が脆弱性対応のためにかかる負荷を軽減する。さらにお客様の製品が国際セキュリティ標準に適合することを支援し、サプライチェーンセキュリティの確保を推進する。
※ PSIRTとは:Product Security Incident Response Teamの略で、自社で開発・提供するIoT機器やサービスに関してセキュリティレベルの向上やインシデント発生時の対応を行う組織で、IoT機器の普及とその脆弱性によるサイバー攻撃の増加を背景に注目されている。
関連Webサイト
・「EMLinuxカスタムメンテナンスサービス」
https://www.cybertrust.co.jp/iot/emlinux/custom-maintenance-service.html
・「脆弱性調査サービス」
https://www.cybertrust.co.jp/iot/embeddedlinux-vulnerability-monitoring.html
なお、7月11日-12に開催される「EdgeTech+ West 2024」展で当サービスが出展される。
