ネットワーク通信を前提とする製品・コネクティッドデバイス がソフトウェアに大きく依存している現在、
サイバー上の脅威は常に進化し続けています。

そんな状況において、デバイスのセキュリティテストを手作業で一度だけ行う…といった対策は、
もはや対策としての意味を成しません。

昨今におけるセキュリティ基準や規制は、
製品セキュリティチームが、製品の設計・開発からデバイスの使用終了までの製品ライフサイクル全体を通して、
コンプライアンスとセキュリティに対処することを求めています。

そのためには、全体的なアプローチを採用し、
今日のコネクティッドデバイスが陥りやすいタイプのリスクをサポートするプロセスや技術を採用する必要があります。

今回は、製品ポートフォリオ全体のソフトウェアの脆弱性とコンプライアンス・リスクを
継続的に検出・管理・緩和・防止し、
製品が安全でコンプライアンスを維持するための手法についてまとめました。

製品セキュリティ・プラットフォーム“Cybellum”が、
“サイバー・デジタル・ツインズ™”テクノロジーで実現している要点6つに絞ってお届けします。

本記事はCybellum社執筆のブログ記事を日本語訳したものです。
https://cybellum.com/ja/blog/6-ways-to-leverage-cybellums-product-security-platform-throughout-the-product-lifecycle-2/
万が一内容に相違がある場合は原文が優先されます。

 

はじめに(“ Cyber Digital Twins™ ”の概念)

サイベラム社独自のサイバーデジタルツインズ(Cyber Digital Twins™)テクノロジーは、製品ポートフォリオ全体、つまり、ソフトウェアの設計・開発・展開・フィールドアップデートなどのすべてにおいて、あらゆるファームウェアおよびソフトウェア・コンポーネントの正確なレプリカを作成する技術です。

この技術によって作られる最新版のデジタルレプリカに対して、最新のサイバーセキュリティおよびコンプライアンステストを実施することができます。

つまり、すべての製品において、単一のファームウェアコンポーネントから製品システム全体に至るまで、システム間アーキテクチャ、外部接続、実施可能な対策内容を含む、あらゆるセキュリティ状況を確実に評価することができるのです。

 

その1:SBOMの管理(サイバーBOM)

製品ポートフォリオ全体のSBOMを自動更新します。

これによって、SBOMから製品IDまで、関連するすべてのリスクを含めて、どんなものが潜んでいるのかを認識しやすくなります。

以下のような製品のファームウェアとソフトウェアのすべての特性を示す、完全なSBOMを作成します。

・ライセンス詳細(自社製orサードパーティ製、商用orオープンソース、など)
・ハードウェア・アーキテクチャ
・オペレーティングシステム
・コンフィギュレーション
・制御フロー
・API
・ビルド
・使用方法
・etc..

 

その2:ガバナンス・コンプライアンスマネジメント

高水準のガバナンスを実現すると同時に、コンプライアンス遵守の所要時間を短くします。

Cybellumは、完全に追跡可能なエビデンスを含む規制レポートを提供します。これを参照することで、脆弱性の状態変化の確認やユーザーのトリアージ判断などを行うことができます。

自動実行機能によって、暗号化、コーディング、ハードニング、個人情報保護など、セキュリティ規制と独自のポリシーへの準拠も検証することができます。

 

その3:脆弱性管理の自動化

製品インベントリ全体にわたり、既知およびゼロデイ脆弱性の迅速な検出や、優先順位付け、軽減を実行します。

Cybellumによる脆弱なコンポーネントや自動更新ポリシーについてのコンテキスト分析は、バイナリファイルに対して実行されます。つまりソースコードが不要。かつ、誤検出を最大限排除でき、その結果アラート数が削減されます。

 

その4:レッドチーム・オートメーション

Cybellumは、ゼロデイ脆弱性に対する継続的な監視を行います。

静的検出と動的検証の組み合わせにより、誤検出を減らし、最も関連性の高い結果を優先的に表示します。
リスクファミリーやタイプといった”悪用される可能性のある問題点”についての詳細な分析や実行可能な修正策やリスク軽減策を、ソフト開発におけるチケット管理システムに紐づける形で運用することができます。

 

その5:ライセンス管理

オープンソースやサードパーティの商用ソフトウェアを使用すると、デバイスが法的リスクにさらされる可能性があります。

Cybellumは、あなたのライセンスポリシーとこれらサードパーティおよびオープンソースコンポーネントのライセンスの互換性を自動検出によって検証・確認できます。

これには、プリセットされているポリシーを使用したり、独自のフリー・オープンソース・ソフトウェア(FOSS)ライセンスルールを設定することも可能です。

 

その6:自動化されたスレットハンティング

Cybellumを使用していれば、実際に攻撃を受けるまでただ待つだけということにはなりません。
製品を保護するため、より積極的に対策を講じることができます。

Cybellumのプロアクティブな防御は、集約された脅威インテリジェンスを使用して新しい脆弱性をリアルタイムで追跡し、製品ポートフォリオ全体と照合することでインシデントを防止します。

また、セキュリティ分析の詳細とリスク軽減策をインシデント対応チームに提供します。
これによって、あらゆるインシデントの根本原因を迅速に特定することを可能にします。

 

さいごに

Cybellumは、製品およびデバイス・メーカーが、その設計から製造後、さらにその先まで、構築した製品を生涯にわたって安全かつコンプライアンスに対応できるように管理します。

製品ライフサイクル全体における継続的なサイバーリスクとコンプライアンス管理を行うにあたって、業界をリードする企業はCybellumプラットフォームを使用しています。

Cybellumを使用することで、メーカーは、製品ポートフォリオ全体が設計上安全であり、その状態を維持することを保証することができるのです。

脆弱性管理ソリューション Cybellum

バイナリからSBOMを自動作成し、脆弱性を検出・管理するツールです。ソフトウェアに潜むCVEsやゼロデイ脆弱性を自動検出。製品リリース後の脆弱性追跡管理でもお使いいただけます。PoCございます。お気軽にお申し付けくださいませ。

詳細はこちら