　日立製作所（以下、日立）とServiceNow Japan（以下、サービスナウ）は2022年3月22日、製造業が開発、生産しユーザーに提供する製品やサービスについてのサイバー攻撃対策やセキュリティの向上を担うPSIRT（Product Security Incident Response Team：製品セキュリティインシデント対応チーム）分野での協業を開始すると発表した。協業成果の第1弾として、サービスナウのSOAR（Security Orchestration, Automation, and Response）ソリューション「Security Operations」と、日立の脆弱性情報のあいまい検索を可能とする脆弱性検索サービスを組み合わせたPSIRT運用プラットフォームの提供を同日に始める。

PSIRT運用プラットフォームの概要［クリックで拡大］出所：日立

　今回発表したPSIRT運用プラットフォームの特徴は3つある。1つ目は「増大する脆弱性情報の収集と製品情報の管理」である。製品セキュリティでは、米国標準技術研究所（NIST）のNVD（National Vulnerability Database）や、日本のJPCERT コーディネーションセンターと情報処理推進機構が共同で管理するJVN（Japan Vulnerability Notes）などの脆弱性情報を利用して対処することになる。ただし、これらの脆弱性情報の収集や管理は、製品のソフトウェア構成の増大と複雑化によって困難になっているという課題がある。

PSIRTを中心とする製品セキュリティの業務フローのイメージ［クリックで拡大］出所：日立

　これらの公開されている脆弱性情報の表記に揺らぎがあることも障害になっている。日立サービス＆プラットフォームビジネスユニットサービスプラットフォーム事業本部 IoT・クラウドサービス事業部エンジニアリングサービス第1本部インテグレーション＆サービス第3部部長代理の山下知起氏は「脆弱性情報の表記フォーマットであるCPE（Common Platform Enumeration）には、大文字や小文字、記号の追加、バージョン範囲、接頭辞などによる表記揺れが存在する。単純な検索、マッチングでは製品情報との照合が行えず、手作業による分析に頼ることになってしまい多大な時間を要してしまう」と語る。

　PSIRT運用プラットフォームでは、日立独自の脆弱性検索サービスのあいまい検索を用いることで、表記揺れのパターンを解析するとともに、より高い精度で脆弱性情報や製品情報を照合できる。例えば、製品構成情報800件に対して脆弱性情報15万件の照合を行う作業は、手作業では膨大な時間がかかってしまうが、日立の独自技術により約90分で照合を完了したという。

あいまい検索による増大する脆弱性情報の収集と製品情報の管理の効率化［クリックで拡大］出所：日立

　特徴の2つ目の「脆弱性対応時間を短縮するワークフロー」と3つ目の「リアルタイムで把握できるリスクモニタリングダッシュボード」は、サービスナウのSecurity Operationsに基づくものだ。

　サービスナウは、企業内のさまざまな部署で行われているワークフローをデジタル化し、部署内や部署間の横串を通して業務の自動化につなげていく「デジタルワークフロー」を実現するための「Now Platoform」を展開している。Now Platoformでは、ITや従業員、顧客、ローコード開発向けのSaaSを利用可能で、今回のPSIRT運用プラットフォームに組み込まれたSecurity Operationsは、IT向けSaaSの「Technology Workflows」の一つになる。

　PSIRT運用プラットフォームでは、製品情報や脆弱性情報はSecurity Operations上で一元管理される。セキュリティ対策が必要な製品が検出された場合、自動的にインシデントを起票し、設計／開発／品質管理などの関連部門に調査、対応の依頼を展開することができる。脆弱性に関わる基本情報に加え、リスクスコアがついた状態で依頼が通知されるため、担当部署では優先度に応じて効率的な調査、対策の業務を進めることができる。深刻な脆弱性が検出された際に対応が遅れた場合などは、催促メールの自動通知など対策を確実に進めるためのワークフローも提供される。これらの機能によって、2つ目の特徴となる「脆弱性対応時間を短縮するワークフロー」が提供されるというわけだ。

「Security Operations」による脆弱性対応時間を短縮するワークフロー［クリックで拡大］出所：日立

　PSIRT運用プラットフォームは、セキュリティ運用に関わる脆弱性情報、インシデント情報、製品情報などを一元管理することになるので、これらの情報を用途に合わせて適切かつリアルタイムに可視化できるようになる。これが3つ目の特徴の「リアルタイムで把握できるリスクモニタリングダッシュボード」である。

リアルタイムで把握できるリスクモニタリングダッシュボード［クリックで拡大］出所：日立

　「リアルタイムで把握できるリスクモニタリングダッシュボード」では、セキュリティ運用に関わる脆弱性情報、インシデント情報、製品情報などをPSIRT運用プラットフォームに一元管理することで、リアルタイムなセキュリティ運用状況の可視化や把握が可能になる。時系列での脆弱性調査状況や、部署、脆弱性、製品ごとの傾向も可視化できるので、ビジネスに影響するリスクを早期に把握できる。

　ServiceNow Japan 営業事業統括　製造営業統括本部長の松本大輔氏は「Security Operationsは、セキュリティインシデント対応に用いられるSOAR製品だが、一般的なSOAR製品とは異なり、脆弱性対応を含むセキュリティ運用について、計画、準備からセキュリティインシデント対応後のポストインシデント活動、これら全てのプロセスに必要な可視化や洞察も視野に入れたエンドツーエンドの包括的なソリューションになっている。これも、デジタルワークフローに主眼を置くサービスナウならではの機能だ」と説明する。