AMC Protect
脆弱性監視とソフトウェア管理サービス

AMC Protect

製品セキュリティの脆弱性を監視し、ソフトウェア・サプライチェーンをより強固にするソフトウェア管理サービス

産業機械や医療機器の制御では、ソフトウェアを使って多様な機能を実現することで、様々な付加価値が創出されています。特に一般に公開され、商用/非商用問わず、ソースコードの利用、修正、再配布が可能なオープンソースソフトウェア(OSS)に関しては、汎用ライブラリやLinuxシステムを中心に、企業の商用製品やサービスで積極的に採用されています。しかし、ソフトウェアの複雑化やOSSの利用拡大に伴い、ソフトウェアのセキュリティを維持し、製品のセキュリティを継続的に確保することが大きな課題となっています。

AMC Protectの概要

SBOM管理をサポートするのがサイレックスのAMC Protectサービスです。対象製品の脆弱性の監視および通知を行い、対策ソフトウェアの提供までを行います。お客様自身が重要度を選択し、対策対象を決定することが可能です。

  • 対象製品のSBOM(Software Bill of Materials)の提供と更新
  • 脆弱性公開情報有無の定期通知
  • 脆弱性対策ソフトウェアの一定期間内の提供
AMCProtect概要
 

AMC Protectのメリット

  •  持続的なサイバーセキュリティからの保護

対象製品は、常に一定以上のサイバーセキュリティレベルを維持することができます。AMC Protectが脆弱性を監視し、それに対する対策サイクルを提供することで、安全性を確保します。

  • 法令遵守のサポート

対象製品が影響を受けるサイバーセキュリティ法令に対応できます。脆弱性の監視から対策への対応サイクルをAMC Protectが提供することで、法令遵守を支援します。

  • リソースの効率的な活用

対象製品サイバーセキュリティ担当者は、SBOM管理や脆弱性監視、対策ソフトウェアの適用などの業務をAMC Protectに委託できます。これにより、他の業務にリソースを集中させることができます。

SBOMの必要性

2021年5月、米国大統領令 EO14028が発令され、連邦政府内で使用される製品やサービスに対する新たなサイバーセキュリティのガイダンスが示されました。このガイダンスは、ソフトウェア・サプライチェーンの概念を取り入れ、製品やサービスに組み込まれたソフトウェア・コンポーネントを可視化し、脆弱性などのリスクを管理し、サイバーセキュリティのリスクを低減することを目指しています。

具体的な対策として、ソフトウェア部品表「SBOM」(Software Bill of Materials)の導入と管理が推奨されています。日本国内でも、経済産業省を中心に自動車産業や医療業界を含むさまざまな業界向けの国際基準に準じたガイドラインの策定が進んでおり、企業はSBOMを活用したソフトウェア・サプライチェーンの管理が急務となっています。しかし、一部の企業ではSBOMを作成するところまでは行われていますが、その後の運用フローの構築やSBOMを活用したリスク管理に課題があるという状況も見られます。

SBOM運用における課題

急増するサイバー攻撃

IPAが発行している「組織向け情報セキュリティ10大脅威 2023」によると、2022年に社会的に大きな影響を与えた脅威のランキングでは、脆弱性を悪用した攻撃がトップ10に3つランクインしています。

2位 サプライチェーンの弱点を悪用した攻撃
6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
8位 脆弱性対策情報の公開に伴う悪用増加

2位の「サプライチェーンの弱点を悪用した攻撃」は、ソフトウェアの開発に関連するコード・ライブラリなどの一連のプロセスを指すソフトウェア・サプライチェーン攻撃を含んでいます。

情報セキュリティ10大脅威 2023出典:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2023」に基づきサイレックスが作成

SBOM管理の難しさ

SBOMの基本は、当該製品に含まれるソフトウェアをデータベース化し、迅速かつ網羅的に脆弱性への対応を可能にすることです。SBOMには、ソフトウェアに含まれる構成要素の名称、バージョン情報、コンポーネントの開発者等の情報を含みます。組織間で共有することでソフトウェア・サプライチェーンの透明性を高め、製品セキュリティを強化します。
SBOM管理には、以下のような難しい課題があります。

  • SBOMの作成と継続的な更新

SBOMを作成し、そして継続的に最新状態に保つことは容易ではありません。ソフトウェアパッケージやその構成要素の変更都度、正確な情報を維持する必要があります。
 

  • 脆弱性評価と対応の優先付け

SBOMに含まれる構成要素の脆弱性を評価し、それに対する適切な対応の優先付けは非常に難しい作業です。脆弱性の深刻度や影響を正確に把握し、それに基づいて優先度を決定する必要があります。

  • 脆弱性の管理と対策ソフトウェアの適用

 脆弱性の管理とそれに対する対策ソフトウェアの適用は、迅速かつ正確に行う必要があります。SBOMを活用して、脆弱性の早期発見と適切な対処を行うことが重要です。

お問い合わせ

AMC Protectについては、お問い合わせフォームからお願いいたします。

AMC Protectに関するお問い合わせ

参考情報

製品のご購入・サービスカスタマイズ・資料請求など
お気軽にお問い合わせください

各種お問い合わせ