OSS の利活用領域は日々拡大中です。スマートデバイスやエッジと呼ばれる IoT 機器の普及にともない、組込み機器についてもより高度な処理やセキュリティ対策が必要な Linux OS のニーズが増加しています。
産業用途でも OSS 活用が広がるにつれ、開発の効率化による開発費の抑制、開発期間短縮、高い安定性・品質・透明性の確保、豊富な種類による新たな価値創出、ベンダロックインの回避といったメリットがある一方、ライセンス管理、ライフサイクル脆弱性管理、サプライチェーン管理などの新たな課題も出てきています。
サイバー攻撃はインフラ設備などをはじめさまざまな対象を狙って行われています。独立行政法人情報処理推進機構(IPA)発表の「情報セキュリティ10大脅威 2023」においても「サプライチェーンの弱点を悪用した攻撃」が上位にランクされており、機器のソフトウェアイメージにおいても OSS サプライチェーン管理が重要になってきています。
しかしながらソフトウェアの脆弱性は年々増加する傾向にあり、かつ不定期に突然発生することから、膨大なソフトウェアコンポーネントのサプライチェーンおよびそれに起因する脆弱性を人力で監視することは現実的ではありません。
そうした中、機器のソフトウェアイメージのソフトウェア・サプライチェーンを管理する方法として SBOM(Software Bill Of Materials : ソフトウェア部品管理)が注目されています。
SBOM はソフトウェアを構成するコンポーネントや依存関係、ライセンス情報などをリスト化した構成情報一覧表です。ソフトウェアサプライチェーンにおいてトランスペアレンシー(透明性)とトレーサビリティ(追跡可能性)を確保するための有効な手段として、世界的に普及が進んでいます。
Timesys Vigiles は、SBOM をベースにしたお客様のソフトウェアプラットフォームに合わせセキュリティ通知と対策情報通知を行うサービスです。自動化されたセキュリティ脆弱性監視と対策パッチ通知により、ソフトウェアセキュリティの維持にかかる時間とコストを大幅に削減します。
Vigiles は、お客様が脆弱性情報を継続的に監視して発見し、影響分析を行う負担を大幅に軽減します。
Vigiles を使用すると、ソフトウェアに関連する脆弱性通知をオンデマンドで受け取ることができます。
また、Vigiles は複数の脆弱性フィードからの Timesys が精査したデータを使用しているため、誤検知や脆弱性の見逃しが少ない監視プロセスと新しい脆弱性の迅速な通知を実現しています。
脆弱性が修正されたカーネルバージョン情報と対応する対策パッチへのリンクを受け取ることができます。対策パッチを選択して適用することができるので、何を更新するかを決めることができます。
当社のサービスは、お客様のソフトウェアが悪用される可能性を最小限に抑えます。お客様が脆弱性の特定、評価、対策パッチ/ アップデートを選択して適用することができるので、脆弱性に迅速かつ効率的に対応することが可能です。
Vigiles は、Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、Timesys Factoryを含むすべての Linux ビルドシステム統合をサポートし、正確な SBOM 生成を実現します。厳選された脆弱性データベースに対する SBOM の自動スキャンにより、脆弱性レポートが即時に作成されます。
使いやすいコラボレーションツールを使用して、脆弱性の管理と軽減を合理化します。脆弱性レポートにメモを追加したり、ホワイトリストに登録したりできるようにします。Vigiles を Jira に接続することもできます。
スキャンされた SBOM で見つかったすべての脆弱性について、Vigiles は修正があるかどうかを通知し、脆弱性を修正するために必要なパッチ、最小バージョン、および/または構成オプション情報を提供します。
Timesys Vigiles の脆弱性監視および対策パッチ通知サービスをご利用いただくと、最もコスト効率が高い方法で、お客様の組込み Linux ベースの製品の安全性を確保することができます。私たちは、何百ものボード、何千ものプロジェクト、そして Yocto Project、Timesys Factory、Buildroot、PetaLinux 等の多数のビルドシステムと連携してきており、これらの経験は、組込み Linux のセキュリティを向上させるための脆弱性の監視、分析、対応のプロセス全体の合理化を実現してきています。
本オンデマンドウェビナーでは、組込み機器を取り巻く世界のセキュリティ対応動向と、SBOM を利用して効率的に脆弱性を管理するためのツール「Timesys Vigiles」をご紹介します。
Vigiles は、Prime と Enterprise という2つのバージョンで提供されます。共に高度で時間を節約するトリアージおよび修復機能を含む年間サブスクリプションプランです。
| 機能 | Vigiles Prime | Vigiles Enterprise |
|---|
| SBOM 作成 / 管理 | ||
|---|---|---|
| 複数のソフトウェア BOM(SBOM)/マニフェストの追跡 | ||
| SBOM のアップロード/取り込み、Web-wizard を使用したSBOM 生成 | ||
| ビルドシステムのサポート:Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、Timesys Factory | ||
| SBOM を SPDX、CycloneDX、SPDX-Lite 形式でエクスポート | ||
| SBOM / マニフェストの編集およびリビジョン管理 | ||
| SBOM をさまざまな形式に変換してダウンロード | ||
| ビルド/リリース間の変更点の比較(SBOM/マニフェスト差分) |
| 規格とコンプライアンス | ||
|---|---|---|
| ソフトウェアライセンス情報 (Yocto と Buildroot のみ) | ||
| NTIA コンプライアンス規格および大統領令 EO14028 と IMDRF N60 への適合 |
| 脆弱性の検出と分析 | ||
|---|---|---|
| 重大度、ステータス、およびソフトウェアパッケージ毎の脆弱性サマリー | ||
| 早期の脆弱性を通知 | ||
| Timesys で正確に厳選した脆弱性データベースの参照 | ||
| 脆弱性レポートの比較 | ||
| 脆弱性のプッシュ通知 | ||
| Web を介したオンデマンド脆弱性レポートの生成 | ||
| コマンドラインによるオンデマンド脆弱性レポートの生成 | ||
| さまざまなファイル形式(CSV、XLSX、PDF など)での脆弱性レポートをダウンロード |
| 脆弱性のトリアージと優先順位付け | ||
|---|---|---|
| Kernel/U-boot コンフィグレーションによるフィルタリング | ||
| ソフトウェアコンポーネントまたはステータスによるフィルタリング | ||
| 重大度(CVSS)スコアまたは Attack Vector によるフィルタリング | ||
| カスタム脆弱性スコアでの優先順位付けとフィルタリング |
| チームコラボレーションとワークフロー | ||
|---|---|---|
| SBOM コラボレーション | ||
| 無料の Vigiles クイックスタートプログラムの提供 | ||
| 許可していないライセンスタイプおよび 設定した CVSS スコアのしきい値を超えた CVE に対するアラート | ||
| Timesys が管理をする脆弱性データベース用の脆弱性検索ツール | ||
| 脆弱性レポートの履歴と脆弱性トレンドをプロット | ||
| 脆弱性レポートの共有 | ||
| 脆弱性対応のためのチーム共有/コラボレーションツール | ||
| 特定の問題と脆弱性の状態の変化を継続的に追跡 | ||
| Jira、Nucleus Security、その他のツールとの統合管理による、効率的な脆弱性問題の追跡と管理 | ||
| アプリケーション プログラミング インターフェイス(API)ツールキットの提供 | ||
| シングル・サインオン | ||
| 組織/グループ機能 | ||
| 権限によるアクセス制御 |
| 脆弱性の緩和と修正 | ||
|---|---|---|
| ホワイトリスト機能による効率的なレビュー | ||
| 利用可能な対策パッチ、緩和策、攻撃プログラムへの参照リンク | ||
| Linux カーネル脆弱性のメインラインカーネル修正コミットへのリンク | ||
| カーネルの脆弱性の修正を含む最小カーネルバージョン | ||
| OSS の脆弱性改善のための提案された修正情報の参照 |
F 社は通信機器のメーカーであり、機器開発にあたりハードウェアおよび Linux をベースにした搭載ソフトウェアの開発を行っています。
自社製品のセキュリティ品質確保のため社内ツールを使用して管理していましたが、使いにくい上、多くの手作業が必要で時間と工数が肥大化してることに悩んでいました。
Vigiles について、よくある質問とその回答をご案内いたします。ご質問内容をクリックしていただくと回答が表示されます。
Vigiles は、ソフトウェアへのカスタマイズをソースコードレベルで追跡しません。
CVE パッチを適用する前にドライバを変更する場合は、変更に加えて適用するように CVE パッチを調整する必要があります。したがって、最初に CVE パッチを適用してから、カスタマイズすることをお勧めします。これには、カスタマイズパッチの調整が必要になる可能性があります。
Vigiles は、LinuxBSP のすべてのソフトウェアレイヤーの脆弱性を追跡します。これには、ブートローダー、Linux カーネル、ドライバー、ユーザースペースパッケージ、およびアプリケーションが含まれます。
Vigiles は、コードインジェクションのためのソースコードはスキャンしません。Vigiles は、BSP で使用している個々のソフトウェアパッケージのバージョンと、その上に適用されている対策パッチのリストについて報告します。
したがって、使用しているアプリケーションソフトウェアに対して CVE が報告された場合、Vigiles は情報を提供することができます。ただし、CVE が報告されない自社開発のプロプライエタリアプリケーションを使用している場合、Vigiles は脆弱性情報を提供できません。
Vigiles をご利用頂くターゲットデバイスではインターネット接続の必要はありません。
Vigiles は、ビルドシステム Yocto / Buildroot からパッケージ/バージョン情報を抽出するか、ユーザーがソフトウェア BOMCSV ファイルを生成/ Vigiles にアップロードすることで利用できます。次に、Vigiles は、パッケージ/バージョンのリストを Timesys が取捨選択した脆弱性データベースと比較し、エンドユーザーやユーザーのチームのみがアクセスできる Web レポートを生成します。
現在、Vigiles はホスト型/クラウドのみのソリューションです。インターネットにアクセスせずにネットワーク上に存在できるオンプレミスバージョンの Vigiles は提供していません。ただし、今後オンプレミスバージョンを提供する予定です。
Vigiles は様々なビルドシステムをサポートしています。
Vigiles ではサポートしてるビルドシステムや ソフトウェア BOM (SBOM) を使用すれば脆弱性を追跡することが可能です。
※注意点
Vigiles が追跡できる脆弱性は NVD に報告されている脆弱性となります。お使いの プロセッサ/アーキテクチャのに依存する脆弱性は NVD に報告さていれば検知可能です。
Vigiles は、Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、TimesysFactory などの多数のビルドシステムをサポートしています。また、Vigiles は他のビルドシステムでも使用できます。
Vigiles UI を使用して、Yocto、Buildroot、および Factory からソフトウェアマニフェストをアップロードできます。さらに、Vigiles は .csv 形式をサポートしているため、他のビルドシステムからソフトウェアマニフェストを生成し、アップロード可能な .csv スプレッドシートとして形式化できます。Vigiles .csv マニフェストの作成に関するガイダンスは、HOWTO Create a Vigiles CSV Manifest で提供されます。
Vigiles の「マニフェストの作成」UI を使用して、ソフトウェアマニフェストを完全にオンラインで最初から作成することもできます。
