岡山トヨタシステムサービス、NIST SP800-171対応で脆弱性管理ツールを採用

　岡山トヨタシステムサービスは、サイバートラストの脆弱性管理ツール「MIRACLE Vul Hammer」を導入し、ソフトウェア部品表（SBOM）を生成できる仕組みを実現した。8月26日、サイバートラストが明らかにした。受託開発事業の主要取引先であるNECの取引基準に対応してシステムの脆弱性管理を高度化・効率化するための取り組みだという。

　同社は1975年創業の独立系ITベンダーで、NECからの受託開発や地域企業のシステム開発が主軸事業。近年、NECが米国のセキュリティガイドライン「NIST SP800-171」への対応を取引先にも求めたことが、MIRACLE Vul Hammer導入のきっかけになった。

　NIST SP800-171では、アプリケーションの定期的な脆弱性検査と、発見された脆弱性への対処ができる仕組みを構築することが求められている。同社は、納品したシステムにどのようなアプリケーションやモジュールが使われているかという構成を管理し、脆弱性が見つかった場合に迅速に対応できる手段として、SBOMに着目。SBOMを生成できるツールの導入を検討した。

　複数製品を評価する中で、オンプレミス環境で構築しているOSやミドルウェア、アプリケーションなど、全ての構成要素をSBOMとして生成できたのがMIRACLE Vul Hammerだったことが決め手になったという。サーバー構築が不要で、ブラウザ上で管理を完結できる手軽さや、分かりやすいユーザーインターフェースも採用理由に挙げている。

　MIRACLE Vul Hammerの導入により、受託開発したシステムの納品前に一度SBOMを生成すれば、その後の脆弱性情報を自動で収集できるようになった。脆弱性が発見された際には管理画面での表示に加え、メールでも通知されるため、運用負荷の軽減につながったとしている。今後は通信、医療、自動車など、SBOMの活用が見込まれる業界が増えることを視野に入れ、セキュリティへの取り組みを強化していく方針だ。