日立、サイバー攻撃対処を自動化したセキュリティリスク評価技術を開発

　日立製作所は26日、ソフトウェアの脆弱性に対する攻撃リスクを自動的に算出し、対策優先度を提示することで、情報システム管理者による迅速な対処を支援するセキュリティリスク評価技術を開発したと発表した。

　この技術により、サイバー攻撃の進入経路の推定や脆弱性対策の優先度付けなどの処理を自動化することで、高度な情報セキュリティスキルを持たないシステム管理者でも容易かつ迅速に対策を行えるようになる。そのほか、脆弱性対策に関わるコスト低減ができる。典型的なWEBシステムの場合、一般的な方法と比較して対策すべき脆弱性の数を約1/3まで絞り込むことが可能となるという。

　公開されている脆弱性情報には、脆弱性の内容とともに対象となるソフトウェアの識別子が記載されている。このソフトウェア識別子と、既存の構成管理ツール等により機器から取得できるソフトウェア名称は一致しないことがあったため、機器に内在する脆弱性を機械的に特定することが困難だった。そこで、日立は、機器から取得したソフトウェア名称とソフトウェア識別子の類似度を算出することで、公開脆弱性情報との突き合わせを可能とし、脆弱性の有無を自動的に特定する技術を開発した。

　また、組織を狙ったサイバー攻撃では、システムに内在する脆弱性を次々に狙うことにより侵入範囲の拡大を図る。通常は、外部から直接アクセスできない機器の脆弱性も、一度システムに侵入されてしまうことで危険に晒されることがある。そのため、脆弱性がもたらすリスクは、その機器への侵入経路の有無やその経路の侵入確率によって変動する。そこで、システムのネットワーク構成情報からサイバー攻撃の到達可能性を自動解析し、各システムにおいて侵入可能な経路を網羅的に抽出する技術を開発した。

　今後は、セキュリティ運用の支援サービスとして、提供できるように開発を進めていくとしている。