サイバー攻撃の激化と規制強化に対応し、SBOMで脆弱性管理を高度化する新システムを提供
株式会社日立ソリューションズ
フロンティアAIによる新たなセキュリティ脅威に直面する企業に対し、PSIRT業務の強化とCRA準拠の効率化を支援
[画像:
https://prcdn.freetls.fastly.net/release_image/53429/383/53429-383-22e1dffacb4186b9ec86d0ab9f50d0cf-3438x1686.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
SBOM管理システムの活用イメージ
株式会社日立ソリューションズ(本社:東京都品川区、取締役社長:森田 英嗣/以下、日立ソリューションズ)は、ソフトウェアサプライチェーンのセキュリティリスクを継続的に管理する「SBOM*1(ソフトウェア部品表)管理システム」を6月24日から提供開始します。
AI解析技術の発展により潜在的な脆弱性が顕在化する中、企業にはサイバーレジリエンス法(CRA)対応に加え、ソフトウェア構成把握と継続的な脆弱性管理が求められる一方、実務は依然として手作業に依存し、運用負荷が課題です。本システムは、サプライヤごとの納品形式や生成ツールの違いで構造や記述に差異が生じるSBOMを一元管理し、識別子の自動付与と脆弱性の継続監視、影響検知により迅速な対応を実現します。これにより、SBOMを単なる部品管理にとどめず、脆弱性の検出・評価・対応を統合した実運用へ進化させ、ソフトウェアサプライチェーンの可視化とリスク把握により、PSIRT*2運用の高度化を支援します。当社は、本システムの有効性について、株式会社島津製作所、ヤマハ株式会社と実証を行い、脆弱性管理業務の工数削減と運用効率化において高い評価を得ました。日立グループと連携し、日系企業の海外拠点におけるセキュリティ・ガバナンス強化により、グローバルでの一貫した運用を支援します。
*1 Software Bill of Materialsの略称。
*2 Product Security Incident Response Teamの略称。脆弱性インシデント対応をおこなう専門組織、または活動。
■「SBOM管理システム」の特長
1.機密性の高いSBOMデータを安全に管理でき、製造業など厳格な情報管理が求められる企業でも導入可能。日本語と英語に対応し、グローバル組織での横断的な活用と継続的な運用を支援
2.識別子(CPE*3など)の自動付与によりソフトウェアと脆弱性情報を正確に紐付け、手作業中心だった脆弱性確認業務を効率化。見逃し防止と継続的なリスク把握を実現し、迅速な対応判断を支援
3.脆弱性データベースを継続監視し、新たな識別子に基づく影響判明時に自動通知。既存資産に対する新たなリスクの早期把握を可能にし、オープンソースソフトウェア(OSS)に加え、COTS製品*4、プロプライエタリソフトウェアにも対応
4.セキュリティ管理ツールやITSM*5ツールとの連携により、脆弱性検出時の対応の優先順位付けや進捗管理を効率化。PSIRT業務の対応履歴を一元管理し、継続的な運用の可視化とガバナンス強化を実現
5.ソフトウェアセキュリティ分野でのOWASP Foundationへの貢献やSPDX*6プロジェクトを擁するLinux Foundationでの活動とリーダーシップを通じ、国際標準の発展をリードする立場からSBOM運用を支える技術と知見を提供
*3 Common Platform Enumerationの略称。ソフトウェアやOS、ハードウェア製品を一意に識別するための標準的な識別子。
*4 Commercial Off-The-Shelfの略称。市販の既製ソフトウェア製品。
*5 IT Service Managementの略称。ITサービスの運用・管理を効率化するツール。
*6 SBOMを標準的に記述・共有するためのフォーマットであるSPDXを策定するオープンソースプロジェクト。
■背景
ソフトウェアの高度化とサプライチェーンの複雑化が進む中、AIの解析技術の進展により従来把握されていなかった脆弱性が明らかになってきています。SBOMを活用した脆弱性管理は、製品やサービスの安全性を支える取り組みとして、業種や地域を問わず重要性が高まっています。特に、各国、地域における法規制やガイドラインの強化に加え、サイバー攻撃の高度化を背景に、SBOMを適切に管理し、継続的に活用できる体制の構築が企業に求められています。グローバル企業においては、国内外で一貫したセキュリティ管理とガバナンスの確保も重要な課題です。
一方で、SBOMは生成ツールや提供元ごとにフォーマットが異なるため、識別子管理や脆弱性の精査に多くの工数を要し、継続的な運用の妨げとなっています。加えて、機密性の高い設計情報を含むSBOMの管理においては、クラウド利用に慎重な企業も少なくありません。このため、SBOMを安全に管理し、国内外の拠点で継続的に活用、運用できる仕組みの整備が求められています。
日立ソリューションズはこれまで、日立グループのOSS活用ガイドライン策定や、SBOMを活用した脆弱性管理業務に携わるとともに、経済産業省の実証事業にも参画してきました。これらの取り組みを通じて蓄積してきたノウハウと実績を基に、企業が自らの責任のもとでSBOMを活用した継続的な脆弱性対応を可能とし、PSIRTを見据えた体制構築を支援するため、「SBOM管理システム」を開発しました。
■連携ツール
1.OWASPのセキュリティ管理ツール「Dependency-Track」
https://dependencytrack.org/
2.Atlassian Pty Ltd.のITSMツール「Jira Service Management」
https://www.hitachi-solutions.co.jp/atlassian/jira-service-management/
3.ServiceNow, Inc.のITサービス運用統合管理プラットフォーム「ServiceNow」
https://www.hitachi-solutions.co.jp/servicenow/
■「SBOM管理システム」について
https://www.hitachi-solutions.co.jp/sbom/solution/lineup-tools/sbom-mgmt-system/
日立ソリューションズについて
日立ソリューションズは、お客さまとの協創をベースに、最先端のデジタル技術を用いたさまざまなソリューションを提供することで、デジタルトランスフォーメーションを実現します。欧米、東南アジア、インドの各拠点が連携し、社会や企業が抱える課題に対して、グローバルに対応します。
そして、人々が安全にかつ安心して快適に暮らすことができ、持続的に成長可能な社会の実現に貢献していきます。
詳しくは、日立ソリューションズのウェブサイト(
https://www.hitachi-solutions.co.jp/)をご覧ください。
ソリューションに関するお問い合わせ先
株式会社日立ソリューションズ
https://www.hitachi-solutions.co.jp/inquiry/
※記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。
――――――――――――――――――――――――――――――――――――――――――
このニュースリリースに記載の情報(製品価格、製品仕様、サービスの内容、発売日、お問い合わせ先、URL など)は、発表日現在の情報です。予告なしに変更され、検索日と情報が異なる可能性もありますので、あらかじめご了承ください。
――――――――――――――――――――――――――――――――――――――――――
プレスリリース提供:PR TIMES
記事提供:PRTimes
