プレスリリース

サイバートラスト、SBOM を利用した脆弱性管理を実現する「MIRACLE Vul Hammer」最新版を提供開始

〜 SBOM インポート機能の強化により、多様な SBOM の統合管理を実現〜

2024 年 10 月 17 日
サイバートラスト株式会社

サイバートラスト株式会社（本社：東京都港区、代表取締役社長：北村裕司　以下、サイバートラスト）は、サーバーやネットワーク機器に内在する脆弱性の可視化と対応を自動化する脆弱性管理ツール「MIRACLE Vul Hammer（ミラクルバルハンマー）」の最新版を 2024 年 10 月 29 日より提供開始します。このたびの最新版は SaaS として提供し、SBOM のインポート機能の強化により、複数のソフトウェアで構成されるシステムにおいて複数のベンダーから提供される異なる形式の SBOM を統合管理可能にします。SBOM を用いた効率的な脆弱性管理の導入をより容易に実現することにより、ソフトウェアサプライチェーンセキュリティ対策とシステム運用コストの削減を支援します。

背景

独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ 10 大脅威 2024」^※1 では、組織向けの脅威として、「ランサムウェアによる被害」に次いで「サプライチェーンの弱点を悪用した攻撃」が 2 年連続で 2 位となり、脆弱性を悪用したサイバー攻撃に関連した複数の脅威が上位にランキングされています。ソフトウェアのセキュリティ脅威が深刻化するのにともない、ソフトウェアに含まれる脆弱性や製品ライフサイクル終了の適切な管理など、サプライチェーンを通じて開発されるソフトウェアの管理を効率化するため、ソフトウェアとその依存関係のリストである SBOM（Software Bill of Materials）_※2 の活用が国内外で注目されています。日本においては、2024 年 1 月 31 日にデジタル庁が公開した「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」^※3 ではソフトウェアの構成管理の有用な手段として SBOM が言及され、2024 年 8 月 29 日に経済産業省が公開した「ソフトウェア管理に向けた SBOM の導入に関する手引 Ver. 2.0」^※4 では SBOM の導入のためのメリットの解説や活用のプラクティスが記載されており、SBOM に関するガイドラインの整備が進んでいます。

SBOM の導入にあたっては、SBOM を生成するツールによってフォーマットや含まれる情報が異なるため、利用組織が SBOM を受領した際にソフトウェアごとに管理することが難しいという課題があります。
MIRACLE Vul Hammer は、さまざまな Linux や Windows などのソフトウェア、多様な言語ライブラリ、ネットワーク機器などのデバイスの脆弱性を高精度でスキャンし、各サーバーのパッチ適用状況の一元管理を実現する脆弱性管理ツールです。最新版は SaaS として提供し、利用者の環境にツールを構築することなく申し込みから最短 3 営業日で利用可能です。従来より対応していた SBOM のインポート機能を強化し、ベンダーから提供される固有の拡張タグを含むさまざまなフォーマットの SBOM や、すでに管理されているシステム構成情報を CSV ファイルや API で登録し、システム内のソフトウェアの脆弱性を可視化して脆弱性管理を行うことでシステムの運用コストの削減を支援します。登録したシステムの構成情報は MIRACLE Vul Hammer で SBOM 化し、JSON 形式でエクスポート可能で、セキュリティガイドラインや調達基準の準拠のために SBOM の提出が必要な場合にも活用できます。また、NVD（National Vulunerability Database）※5 や OSV（Open Source Vulnerabilities）※６など複数の脆弱性情報のデータベースと定期的に突合して脆弱性スキャンを実施し、検知した脆弱性情報をメールで通知することで脆弱性の早期発見を実現します。

「MIRACLE Vul Hammer」の特長

多様な SBOM を統合管理
- インポートした構成情報を SBOM として生成し、JSON 形式でエクスポートが可能
- MIRACLE Vul Hammer で生成した SBOM だけでなく、固有の拡張タグを含む他社製ツールで生成した SBOM もインポート可能
既存の資産を流用
- すでに管理されているシステム構成情報や監視ツールと連携し脆弱性管理を実現
脆弱性管理にかかる工数を削減
- SBOM を活用することで、手動での管理と比較して管理工数を約 70% 低減 ^※7
迅速な導入を実現
- SaaS での提供のため、申込手続き後最短 3 営業日で利用開始可能

Miracle Vul Hammer Saas版の仕組み

サイバートラストは、今後も MIRACLE Vul Hammer を機能強化し、SBOM を活用した脆弱性の早期発見と効率的な脆弱性管理を実現することにより、企業システムのセキュアな運用を支援してまいります。

※1: 出典「情報セキュリティ 10 大脅威 2024」
※2: SBOM（Software Bill of Materials）とは：ソフトウェアに含まれるコンポーネントや依存関係、ライセンスの種類などをリスト化したソフトウェア部品表。ソフトウェアサプライチェーンにおいてトランスペアレンシー（透明性）とトレーサビリティ（追跡可能性）を確保するための有効な手段として、世界的に普及が進んでいます。
※3: 出典「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」
※4: 出典「ソフトウェア管理に向けた SBOM の導入に関する手引 Ver. 2.0」
※5: NVD（National Vulunerability Database）とは：アメリカ国立標準技術研究所 (NIST) が管理している各 CVE を評価した結果のデータベース。
※6: OSV（Open Source Vulnerabilities）とは：Google が公開しているオープンソースプロジェクトに関する脆弱性のデータベース。
※7: 参考「ソフトウェア管理に向けた SBOM の導入に関する手引 Ver. 2.0」

提供開始日

2024 年 10 月 29 日

サイバートラスト株式会社について

サイバートラストは、日本初の商用電子認証局として 25 年以上にわたり提供している認証・セキュリティサービスと、ミラクル・リナックスのカーネル技術やオープンソースソフトウェア（OSS）の知見を応用したオンプレミス、クラウド、組込み領域向けの Linux/OSS サービスを展開しています。また、これらの技術や実績を組み合わせ、IoT をはじめとする先端分野に向けて、「ヒト・モノ・コト」の正しさを証明し、お客様のサービスの信頼性を支えるサービスを推進しています。
「すべてのヒト、モノ、コトに信頼を」。サイバートラストは、IT インフラに関わる専門性・中立性の高い技術で、安心・安全な社会を実現します。