製造業における製品脆弱性管理の課題と対応方法

製造業における製品脆弱性管理の 課題と対応方法 2025年4月18日 フューチャー株式会社 Cyber Security Innovation Group 木戸俊輔 Copyright © 2025 by Future Corporation -1-

本発表の目的 1. 製品セキュリティを守るPSIRTならではの目線で、 脆弱性管理課題について認識を深める。 2. 課題を解決するためのアプローチの一つとして、 弊社が取り組むクラウドサービス「FutureVuls」を紹介することで、 解決のためのヒントを得てもらう。（あるいはサービスに興味を持ってもらう） Copyright © 2025 by Future Corporation -2-

アジェンダ ● ● 第一部: 製品脆弱性管理の概要とその課題 ○ 製品脆弱性管理の必要性 ○ 製品脆弱性管理業務 ○ 製品脆弱性管理の課題 ○ 課題へ向き合うために 第二部: 課題解決のためのアプローチ「FutureVuls」 ○ FutureVulsとは ○ 課題解決に向けた取り組みの紹介 Copyright © 2025 by Future Corporation -3-

自己紹介 木戸俊輔（Kido Shunsuke） ● フューチャー株式会社 Cyber Security Innovation Group ● 大阪出身 ● 所属・担当 ○ 脆弱性管理 SaaS「FutureVuls」チーム ■ ○ ● 現在はPSIRT向けクラウド型セキュリティサービスの推進をリード その他活動 ○ ● サービス開発 → カスタマーサポート → セールス 技術書の執筆（［入門］Webフロントエンド E2E テスト @ 技術評論社） キーワード: 踊るエンジニア （ダンスが趣味） Copyright © 2025 by Future Corporation -4-

第一部: 製品脆弱性管理の概要とその課題 製造業における製品脆弱性管理は、 ● コネクテッド化とOSS利用の拡大 ● サイバー攻撃の高度化 ● 法規制の強化 等を背景に、製品の安全と事業継続に不可欠です。 業務は多岐に渡り情報システムとは異なるPSIRT特有の課題が山積しています。 まずは、製品脆弱性管理業務の内容とよくある課題について認識し、 ● 自社の課題に対してどうアプローチしていくか ● これから訪れ得る課題は何か を正しく考えるための準備を行います。 Copyright © 2025 by Future Corporation -5-

製品脆弱性管理の必要性 ものづくりの進化に伴いサイバー攻撃も高度化し、 製品安全性を守り継続的に事業を行うためには脆弱性管理が不可欠である。 ・家電等を始めとしたネットワークに接続する製品・設備の増加 Point1 構成要素の変化 ・OSSの利活用を含む製品構成要素の複雑化 Point2 攻撃の変化 ・攻撃パターンや経路が多様化し被害の規模も増大 ・製造拠点だけでなく製品そのものに対する攻撃 Point3 関係者の変化 ・EUのCRA法を始め対応が必要な法規制が制定 ・顧客の関心が高まり脆弱性への対応状況が製品選定の一要因 Copyright © 2025 by Future Corporation -6-

製品脆弱性管理業務の概要 脆弱性を埋め込まない、あるいは出荷後の脆弱性発見へ早期に対応すべく、 監視体制を構築しながら関係者を巻き込み対応していく必要がある。 自社やサプライチェーンにて開発されたソフトウェア、 OSS、ハードウェア等、製品の構成要素を正しく管理。 開発部門や供給業者と連携して、 対応計画に基づき脆弱性への対応を実施。 脆弱性および修正バージョンについて、 顧客や調整機関に報告。 JPCERTや各脆弱性データベース等をウォッチし、 自社製品に関連がある脆弱性が無いかを監視。 製品構成 要素の 把握 脆弱性 情報の 収集 脆弱性 の評価 対応計画 の策定 対応の 実施 収集した脆弱性情報に基づき、自社製品への 影響範囲や深刻度、攻撃可能性等を評価。 その他 法規制対応等。 脆弱性への対応要否や優先度を判断し、 スケジュールや対応方針を計画。 （修正パッチの開発、緩和策の実施、リスク受容等） Copyright © 2025 by Future Corporation 報告 -7-

製品脆弱性管理の課題 情報システムにも共通する一般的な課題に加え、 構成要素の把握や対応の難しさなどPSIRTならではの難題が多数ある。 ● ● 構成要素の把握 ○ 構成要素の保管・継続管理の運用コストが高い ○ バージョンと共に構成要素を把握する必要がある ○ レガシーな開発システムを採用しているが故にパッケージマネージされていない ○ サプライチェーンから納入を受ける部品ソフトウェアの構成要素が不明 ○ 古い製品だったり一点物（実物やコピーが自社にない）で構成要素を把握する術がない 脆弱性の特定 ○ 日々大量の脆弱性が公開され全てに追従することは不可能 ○ 開発中・リリース済含め、全ての製品ごとに脆弱性の有無を評価するコストが高すぎる ○ 特殊なコンポーネントを利用している場合に脆弱性情報の公開が不十分なことがある ○ 公開されていない脆弱性を受領し対応を求められる場合がある Copyright © 2025 by Future Corporation -8-

製品脆弱性管理の課題 ● ● ● 脆弱性の評価・対応計画 ○ 脆弱性のリスクを評価するための専門知識が求められる（CVSSやSSVC、EPSS等） ○ 評価のための情報収集や判断作業のコストも高い ○ 製品への影響度合いを調査するためには製品に詳しい関係者の協力が必要 脆弱性への対応 ○ 自社利用でなく、アップデートまでの障壁が高い（実施後正常に動くかの評価など） ○ 修正パッチの開発コストが高い ○ 開発部門や顧客の協力が必要 管理プロセス ○ ● 脆弱性管理全体を通して管理漏れを防ぐための仕組みがない、あるいは運用コストが高い 法規制対応 ○ 業界としても様子見しながらの部分が多く、手探りで進めている ○ フォーマットやツール依存、基準となるレベル感等、SBOM問題が多い ○ VEX等まだ広く浸透していない要素への対応も求められる Copyright © 2025 by Future Corporation -9-

課題へ向き合うために 全ての課題を全て解決してくれる銀の弾丸はないので、 社内外関係者との協力体制構築、ツール活用による自動化等を組み合わせ、 脆弱性管理の品質向上および効率化を進めていくことが重要である。 Copyright © 2025 by Future Corporation - 10 -

第二部: 課題解決のためのアプローチ「 FutureVuls」 Futureは7,8年前から、 脆弱性管理業務を徹底的に自動化し、 携わる関係者のコストを下げ本来力を入れるべき業務に注力してもらえるよう、 「FutureVuls」というサービスを開発し貢献してきた。 近年顕著になりつつある製品脆弱性管理の課題に対して、 FutureVulsがどうアプローチしている、あるいは今後していくのか。 多数の企業に利用してもらうツールベンダとしての見解を紹介する。 Copyright © 2025 by Future Corporation - 11 -

FutureVulsとは 製品構成情報の収集から脆弱性の検知、運用者への指示までを自動化し、 対応コストを削減した脆弱性管理を実現するクラウドサービスである。 IT資産情報の収集 情 報 収 集 対 応 判 断 • • • • • Application Middleware Container OS(Linux / Windows) オンプレ / クラウド など 脆弱性情報の収集 脆弱性の検知・特定 影響範囲の特定 3万件 関連のある脆弱性を スキャナが検知 検出された脆弱性の 影響範囲を自動特定 年間 以上 CVE-****-**** CVE-****-**** CVE-****-**** ソフトウェアA ソフトウェアB CVE-****-**** リスク判断 タスク起票 タスククローズ 対応状況の追跡 脆弱性のリスク自動で判断し、 優先順位づけ 対応優先度や対応期限など、 運用者への対応指示を自動設定 脆弱性の解消を判別し、 自動でタスクをクローズ 各タスクの対応状況を追跡し、 対応漏れを防止 Copyright © 2025 by Future Corporation immediate out-of-cycle CLOSE scheduled defer - 12 - 未対応 期限：X月X日 担当者：XX

取り組み① : 脆弱性管理プロセスの徹底的な自動化 全ての自社製品に対して何十万件と存在する脆弱性を管理するため、 運用コストの肥大化は大きな課題となる。脆弱性情報との突合、 参考情報の収集やリスク評価など可能な限り徹底的に自動化する。 ③ NVD, Vender Security Advisory ・Application ・Middleware ・OS CVSS Score&Vector, EPSS Score, 攻撃情報, パッチ提供, 緩和策, ... ・Application ③参考情報収集の自動化 ・リスク評価のための参考指標値 ・対応のための公開情報 ・その他ディスカッション CVE-****-**** 突 合 ① CVE-****-**** ② CVE-****-**** 製品 ①構成要素管理の自動化 ・スキャナでOS以上を丸ごとスキャン ・依存ライブラリ情報を自動で連携 ・SCAツールの解析結果取り込み Copyright © 2025 by Future Corporation ④ Critical ②脆弱性検知の自動化 ・各脆弱性ソースとの定期的な突合 ・脆弱性が解決された場合クローズ - 13 - ④リスク評価の自動化 ・SSVCによる優先度付け ・CVSSや脅威情報の組み合わせで 組織ポリシー準拠の優先度づけ

取り組み② : SBOMへの対応と柔軟な利活用 法規制への対応のためにはSBOMを手軽に生成・管理する仕組みが必要。 また、サプライチェーンリスクの管理のためにも利活用が期待できる。 Export/Import の仕組みを整備し、柔軟なSBOM対応を支援する。 CVE-****-**** 部品ソフトウェアA SBOM Component1 Component2 製品A Component1 CVE-****-**** 部品ソフトウェアB SBOM Component3 Component2 製品A Component3 部品ソフトウェアC SBOM SBOM 管理している製品の構成要素、および関連する脆弱性情報を、 いつでもSBOMとして出力・保管できるように備える。 Copyright © 2025 by Future Corporation サプライチェーンからの納入等を想定し、 各部品ソフトウェアの構成要素をSBOMから取得し、 統合して一製品の情報として管理できるようにする。 - 14 -

取り組み③ : 多様な特性の脆弱性を一元管理 公開されている既知の脆弱性だけでなく、自社製品独自の脆弱性や、 調整機関から共有受ける非公開な脆弱性情報へも対応できる仕組みが必要。 組織独自のデータを登録し統合管理を可能にする。 管理IDやタイトル、詳細、関連するソフトウェア、 補足の添付資料等を独自データベース化する。 NVD等で公開されている既知の脆弱性と併せて、 製品への関連性を管理する。 また、機密度が高いため、参照権限の管理を 柔軟に実現できるようにする。 独自DB NVD, Vender Security Advisory 突 合 製品 Copyright © 2025 by Future Corporation - 15 -

取り組み④ : 組織横断での円滑な管理 組織全体で製品のセキュリティを守っていくためには、 関係者が情報連携しながら横断で管理できる仕組みが必要。 ステータスや期限管理をはじめワークフローの基盤を実現。 製品グループα 企業全体 部門 CVE-****-**** ・ステータス: 未対応 ・担当者 ・対応期限 製品A 製品B ユーザⅠ 製品 グループβ 製品 グループγ 製品 グループδ 製品C ユーザⅡ 任意の単位で製品グループを作成し、 各製品の構成要素や脆弱性対応状況を管理する。 機密性を守るため、アクセス権限は、 製品グループ単位でコントロールする。 Copyright © 2025 by Future Corporation 製品 グループα さらに製品グループを横断で管理できる上位構造を用いて、 権限や役割に応じて閲覧を行う。 脆弱性ごとの対応状況やコンポーネントごとの使用状況を 把握しながら注意喚起・対応指示ができる基盤を実現する。 - 16 -

まとめ ● 製造業における製品脆弱性管理の重要性と、PSIRTが直面する特有の課題について概 観した。構成要素の把握や対応の難しさなど、その課題は多岐にわたる。 ● 全ての解決策を提供する銀の弾丸は存在しないが、社内外の関係者との強固な協力体 制を構築し、脆弱性管理を効率化するツールを組み合わせることで、課題に対してアプ ローチ可能。 ● 弊社のクラウドサービス「FutureVuls」は、脆弱性管理プロセスの自動化、SBOMへの対 応、多様な脆弱性の一元管理、組織横断での連携強化といった機能を通じて、PSIRTの 皆様が本来注力すべき業務に集中できる環境を提供。 本日の発表が、皆様の製品セキュリティ強化の一助となれば幸いです。 Copyright © 2025 by Future Corporation - 17 -