組込み Linux 脆弱性調査サービス
組込み Linux 脆弱性調査サービス
組込み Linux 脆弱性調査サービスとは
「組込み Linux 脆弱性調査サービス」は NIST(米国国立標準技術研究所)が管理する脆弱性情報データベース NVD で公開される脆弱性情報 CVE (Common Vulnerabilities and Exposures:共通脆弱性識別子) について、お客様の組込み Linux 製品に影響するものを検査・対策するサービスです。
製品の安全な運用に必要な情報と技術力を提供し、PSIRT ※ や社内の担当部門が脆弱性対応のためにかかる負荷を軽減します。さらにお客様の製品が国際セキュリティ標準に適合することを支援し、サプライチェーンセキュリティの確保を推進します。
- ※
- PSIRTとは:Product Security Incident Response Teamの略で、自社で開発・提供するIoT機器やサービスに関してセキュリティレベルの向上やインシデント発生時の対応を行う組織で、IoT機器の普及とその脆弱性によるサイバー攻撃の増加を背景に注目されています。
開発が終了した出荷前の製品について、既知脆弱性の検査と対策を行います。
新たに公開される脆弱性情報を継続的に監視し、出荷後の製品に影響する脆弱性について報告と対策を行います。
組込み Linux であれば幅広い OS に対応できます。
コミュニティ開発の BSP や無償 Linux ディストリビューション
- Raspberry Pi OS、Yocto、Buildroot、OpenWRT など
- Ubuntu、Debian、ArchLinux など
商用 Linux ディストリビューション
- Wind River Linux、Montavista Linux、Timesys Linux など
SoC ベンダー提供の BSP
- AMD PetaLinux、Renesas VLP など
組込み Linux 脆弱性調査サービスの概要
リスク診断
ツールによる脆弱性スキャンを行います。
ツールによるスキャン結果について専門の診断員が分析を行います。
調査報告書の作成と報告会を行います。
個別対策
検出された脆弱性への対策(パッチ適用)を実施、リリースします。
※ リスク診断および個別対策を随時提供するスポットサービスも提供しています。
組込み Linux 脆弱性調査サービスの流れ
スポットサービス
年間サービス※1
お問い合わせフォーム入力
- お問い合わせフォーム より、「組込み Linux 脆弱性調査サービス」のお申し込みのむねをご連絡ください。
ヒアリング
- お客様の組込み Linux システムに関してヒアリングします。
- お客様にヒアリングシートを記入いただき、次のような情報をご提供いただきます。
- 対策すべき脆弱性の条件(CVSS スコアで指定いただきます)
- 搭載されているソフトウェアとそのバージョンのリストあるいはビルド環境
- 希望するサービス
お見積り
- ヒアリングにて提供いただいた情報をもとに、ツールによる脆弱性スキャンを実施します。
- スキャン結果をもとにお見積書を作成します。
お申込み
- お客様に申込書を記入していただきます。その際、お見積書の見積番号を記載していただきます。
リスク診断
- 専門の診断員がお客様の組込み Linux システムの特性に合わせて脆弱性のトリアージを行い、調査報告書を作成します。
お客様確認と質疑
- お客様に調査報告書をご確認いただきます。
- 報告書の内容に関しての質問を E メールにて承ります。
報告会
- リスク診断結果の報告会を行います。
- 事前に承った質問への回答も行います。後日 E メールにて回答させていただく場合もあります。
対策する CVE の選定
- 対策する脆弱性をお客様に選定していただきます。
個別対策
- 選定された脆弱性について、アップデートの適用、設定変更、修正パッチの適用などの対策を行います。
- 対策内容について調査報告書に反映します。
- 対策確認のためのテストを実施します。 対策とテストの内容について調査報告書に反映します。
