Cybellum(サイベラム)
IoT製品セキュリティプラットフォーム
Cybellum(サイベラム) とは
Cybellumは、製品の脆弱性管理・SBOM(ソフトウェア部品表)管理・インシデント対応など、製品セキュリティのワークフロー全体を統合・自動化するプラットフォームです。特に、IoT製品・組込み機器に特徴的なマイクロコンピュータなどのアーキテクチャーを幅広くサポートしています。
このようなお悩みはありませんか?
- 課題
- 解決
-
課題
- PSIRTが管理するSBOM形式が各部門バラバラ。SBOMが入手できないこともある
-
解決
さまざまな形式のSBOMをインポートまたはバイナリから新規作成して一元管理します。
-
課題
- 急ぎ対応が必要な脆弱性を知りたいのに大量の脆弱性が検知され選り分けが大変
-
解決
複数の観点で自動的にトリアージするので、緊急度の高い脆弱性に集中できます。
-
課題
- 製品のバージョンアップや仕向け地ごとの変更で、運用とともに製品情報の管理が煩雑に
-
解決
製品単位でまとめて管理し、運用の効率化を実現します。
概要
さまざまなモノのIoT化が進むなか、組込みソフトウェアもITシステムと同様に、脆弱性管理が求められるようになりました。
脆弱性の管理にはPSIRT*1の構築が重要ですが、組織を構築しても以下のような理由により、運用に苦慮している企業は少なくないのではないでしょうか。
- 現場部門やサプライヤーが使っているツールが統制されておらずフォーマットがバラバラ。またサプライヤーからSBOMを入手できないケースもあり、全社で効率的に管理できない
- 脆弱性情報との突合せを行うと実際には影響がないと考えられる沢山の情報がヒットしてしまい、無駄な確認工数がかかってしまう
- 製品のバージョンアップや仕向け地ごとの変更によって、運用とともに製品情報の管理が煩雑になってしまう
Cybellumはバイナリ解析によりSBOM*2を生成することができ、収集した脆弱性情報との突き合わせを自動で継続的に実施。製造業の開発に合ったさまざまな管理手法や、自動トリアージ機能の提供により、PSIRTの運用を強力に支援します。
*1 PSIRT(Product Security Incident Response Team):製品開発・販売時に発生する製品のセキュリティインシデントに対応する組織
*2 SBOM(Software Bill of Materials):ソフトウェア部品表
特長
3つのポイント
-
Efficient operation
PSIRT運用を効率化
ソフトウェア構成情報と収集した脆弱性情報の突き合わせを自動で実施。脆弱性とその対策状況を製品を横断して確認し、全体を俯瞰することも可能です。継続的な脆弱性管理を手間をかけずに実現でき、PSIRTの運用を効率化します。
-
Triage assistance
脆弱性のトリアージ
複数の観点で自動的にトリアージし、対策の優先度が高い脆弱性を効率よく見極められるようにします。バイナリから自動生成した場合は、CPUアーキテクチャなど脆弱性判断に必要な付帯情報を収集するのでより精度よくトリアージが可能です。
-
Effective management
運用に合った管理手法
製品でまとめられる情報にはSBOMなどの構成情報のほか、バージョン履歴や仕向け地ごとのブランチも含まれ製品単位で管理が可能です。差異の確認や脆弱性が発見された際の影響範囲の見極めなどを効率化できます。
機能
脆弱性のトリアージ
トリアージ機能「Vulnerability Management CoPilot(VM CoPilot)」が、前提プラットフォームやハードウェアインターフェースなどの条件をもとに脆弱性の対応要否を判断。スコアの閾値の設定も併せて優先度が高い脆弱性を絞り込むことが可能です。
トリアージを実現するCDT*3
SBOMに加え、CPUなどのアーキテクチャー、ネットワークインターフェース、OS設定といった情報を収集しCDTを生成。このCDTの情報をもとに、検知した脆弱性のトリアージを実施します。さらに、バイナリに含まれる認証情報、IPアドレスやEメールアドレスなども併せて収集するため、不適切な情報が意図せず混入していないかをチェックすることも可能です。
*3 CDT(Cyber Digital Twin) 製品全体の構成情報を再現したデジタルレプリカ
多様な管理手法
同一コンポーネントにおいて複数バージョンでの世代管理や、コンポーネントを束ねてプロダクト単位で管理することが可能です。仕向け地や付加機能などによる差異にも対応できるほか、脆弱性からの逆引きで影響のあるコンポーネントを特定することもできます。
日立ソリューションズだからできること
-
point 01
製品セキュリティのことならお任せください
法規、ガイドライン対応のコンサルティングから、開発現場のセキュアバイデザイン対応の支援まで、製品セキュリティ全般をサポート可能です。
-
point 02
評価から導入支援まで手厚くサポート
多数の海外のセキュリティ製品を取り扱ってきた経験にもとづき、評価から導入支援まで手厚くサポートします。
-
point 03
豊富なノウハウをもとに的確なご提案
日立グループをはじめとする製造業のお客さまを支援したノウハウをもとに、的確な提案を行います。
よくあるご質問
-
購入前の評価は可能ですか?
はい。当社が用意する環境で使用感を評価するPoCと、お客さま自身のソフトウェアで導入可否を評価するPoVを用意しています。
-
ライセンス体系について教えてください。
管理する製品単位で課金します。バージョンアップや仕向け地ごとの修正、利用者数での課金はありません。詳細は、お問い合わせください。
-
SBOMのインポート、エクスポートは可能ですか?
可能です。SPDX、SPDX-LiteとCycloneDXに対応しています。詳細は、お問い合わせください。
価格
お問い合わせボタンよりお問い合わせください。
最終更新日:2025年3月18日
※本ページの一部は、生成AIにより生成されたコンテンツを使用しています。
