SBOM 管理&脆弱性通知サービス

Timesys Vigiles

30 日間無償トライアル

組込み機器に最適な SBOM 管理・脆弱性通知サービス Vigiles を
30 日間無償でご利用いただけます。

トライアル申し込み

SBOM による管理の必要性

IoT 機器・組込み機器へのオープンソースソフトウェア(OSS)の浸透

OSS の利活用領域は日々拡大中です。スマートデバイスやエッジと呼ばれる IoT 機器の普及にともない、組込み機器についてもより高度な処理やセキュリティ対策が必要な Linux OS のニーズが増加しています。

産業用途でも OSS 活用が広がるにつれ、開発の効率化による開発費の抑制、開発期間短縮、高い安定性・品質・透明性の確保、豊富な種類による新たな価値創出、ベンダロックインの回避といったメリットがある一方、ライセンス管理、ライフサイクル脆弱性管理、サプライチェーン管理などの新たな課題も出てきています。

サイバー攻撃の脅威

サイバー攻撃は、インフラ設備などをはじめさまざまな対象を狙って行われています。独立行政法人情報処理推進機構(IPA)発表の「情報セキュリティ10大脅威 2023」においても「サプライチェーンの弱点を悪用した攻撃」が上位にランクされており、機器のソフトウェアイメージにおいても OSS サプライチェーン管理が重要になってきています。

しかしながらソフトウェアの脆弱性は年々増加する傾向にあり、かつ不定期に突然発生することから、膨大なソフトウェアコンポーネントのサプライチェーンおよびそれに起因する脆弱性を人力で監視することは現実的ではありません。

SBOM 管理と脆弱性対策

そうした中、機器のソフトウェアイメージのソフトウェア・サプライチェーンを管理する方法として SBOM(Software Bill Of Materials : ソフトウェア部品管理)が注目されています。

SBOM はソフトウェアを構成するコンポーネントや依存関係、ライセンス情報などをリスト化した構成情報一覧表です。ソフトウェアサプライチェーンにおいてトランスペアレンシー(透明性)とトレーサビリティ(追跡可能性)を確保するための有効な手段として、世界的に普及が進んでいます。

組込み機器における OSS サプライチェーンと脆弱性を一元管理:Timesys Vigiles

Timesys Vigiles は、SBOM をベースにしたお客様のソフトウェアプラットフォームに合わせセキュリティ通知と対策情報通知を行うサービスです。自動化されたセキュリティ脆弱性監視と対策パッチ通知により、ソフトウェアセキュリティの維持にかかる時間とコストを大幅に削減します。

Timesys Vigiles の特長

製品に固有の既知のセキュリティ問題(CVE)が発見された場合、お客様に通知します。
脆弱性の修正状況(修正済み、未修正)をお知らせし、修正プログラムへのリンクを提供します。
ソフトウェアのアップデートや対策パッチを選択して適用することができます。

Timesys Vigiles が解決する課題

脆弱性の監視時間の削減

Vigiles は、お客様が CVE の情報を継続的に監視して発見した脆弱性の影響分析を行う負担を大幅に軽減します。
Vigiles を使用すると、ソフトウェアに関連する脆弱性通知をオンデマンドで受け取ることができます。 また、Vigiles は複数の脆弱性フィードからの Timesys が精査したデータを使用しているため、誤検知や CVE の見逃しが少ない監視プロセスと新しい脆弱性の迅速な通知を実現しています。

セキュリティフィックスの制御

脆弱性が修正されたカーネルバージョン情報と対応する対策パッチへのリンクを受け取ることができます。対策パッチを選択して適用することができるので、何を更新するかを決めることができます。

安全性の維持

当社のサービスは、お客様のソフトウェアが悪用される可能性を最小限に抑えます。お客様が脆弱性の特定、評価、対策パッチ/ アップデートを選択して適用することができるので、CVE の脆弱性に迅速かつ効率的に対応することが可能です。

Timesys Vigiles 操作画面例

ソフトウェア BOM (SBOM) の生成と統合

Vigiles は、Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、Timesys Factoryを含むすべての Linux ビルドシステム統合をサポートし、正確な SBOM 生成を実現します。厳選された脆弱性データベースに対する SBOM の自動スキャンにより、CVE レポートが即時に作成されます。

コラボレーション機能

使いやすいコラボレーションツールを使用して、脆弱性の管理と軽減を合理化します。CVE にメモを追加したり、ホワイトリストに登録したりできるようにします。Vigiles を Jira に接続することもできます。

ワンクリックで修復オプションを参照

スキャンされた SBOM で見つかったすべての CVE について、Vigiles は修正があるかどうかを通知し、脆弱性を修正するために必要なパッチ、最小バージョン、および/または構成オプション情報を提供します。

オープンソースの組込みソフトウェアの専門知識を駆使し、お客様のセキュリティ維持に貢献します。

Timesys Vigiles の脆弱性監視および対策パッチ通知サービスをご利用いただくと、最もコスト効率が高い方法で、お客様の組込み Linux ベースの製品の安全性を確保することができます。私たちは、何百ものボード、何千ものプロジェクト、そして Yocto Project、Timesys Factory、Buildroot、PetaLinux 等の多数のビルドシステムと連携してきており、これらの経験は、組込み Linux のセキュリティを向上させるための脆弱性の監視、分析、対応のプロセス全体の合理化を実現してきています。

組込み Linux IoT 機器の管理とセキュリティ対応

~Timesys Vigiles のご紹介~

本オンデマンドウェビナーでは、組込み機器を取り巻く世界のセキュリティ対応動向と、SBOM を利用して効率的に脆弱性を管理するためのツール「Timesys Vigiles」をご紹介します。

ウェビナー詳細・視聴 »

オンデマンドウェビナー:組込み Linux IoT 機器の管理とセキュリティ対応 ~Timesys Vigiles のご紹介~

Timesys Vigiles ラインアップ

Vigiles は、Plus と Prime という2つのバージョンで提供されます。共に高度で時間を節約するトリアージおよび修復機能を含む年間サブスクリプションプランです。

Vigiles Plus

無制限のコンポーネントリストに対応し、CVE のトリアージと軽減のためのコラボレーションツール、高度なフィルタリング、詳細な通知、高度なレポートツールなどをご利用いただけます。

Vigiles Prime

Plus のすべての機能に加えて、独自のパッチ通知および管理機能、識別された CVE に基づく Linux カーネルパッチへのリンク、高度な CVE フィルタリング、および OSS の修正バージョン通知機能をご利用いただけます。

詳細な機能比較表

機能Vigiles PlusVigiles Prime
ライセンス体系年間サブスクリプション
ソフトウェアコンポーネントに影響を与える CVE 情報
脆弱性のプッシュ通知
複数のソフトウェア BOM(SBOM)/マニフェストの追跡プロダクトファミリで無制限
Web を介したオンデマンド CVE レポートの生成
コマンドラインによるオンデマンドの CVE レポート生成
重大度、ステータス、およびソフトウェアパッケージ別の CVE サマリー
ビルドシステムのサポート:Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、Timesys Factory
SBOM をアップロードするか、ウェブウィザードを使用した BOM の生成
ソフトウェアライセンス情報 (Yocto と Buildroot のみ)
コンポーネントまたはステータスに基づくフィルタ
Timesys が管理をする CVE データベースから CVE 情報を検索するツールの提供
CVE レポートの履歴とお客様環境における報告された CVE の傾向をプロット
CVE レポートの共有
CVE の早期通知
チームで共有するためのツール
Jira での統合管理による、効率的な脆弱性問題の追跡と管理
特定の問題と CVE の状態の変化を継続的に追跡
ホワイトリスト機能による効率的なレビュー
重大度(CVSS)スコアまたは攻撃ベクトルによるレポートのフィルタリング
SBOM/マニフェストエディタとリビジョン管理
さまざまなファイル形式(CSV、Excel、PDF)でレポートをダウンロード
ビルド/リリース間の変更点の比較(SBOM/マニフェスト差分)
新規と変更された CVE のレポート比較
SBOM を SPDX形 式でエクスポート
カスタム脆弱性スコア/優先順位付けとフィルタリング
利用可能な対策パッチ、緩和策、攻撃プログラムへの参照リンク
Linux カーネル CVE のメインラインカーネル修正コミットへのリンク
カーネルの CVE の修正を含む最小カーネルバージョン
カーネルと U-Boot 設定に基づいたレポートのフィルタリング
OSS の CVE 改善のための提案された修正
クイックスタートプログラムの提供
Vigiles ユーザー(Vigiles Prime トライアルユーザーを含む)は、Vigiles を使い始めるために必要となる準備を Timesys がサポートする「クイックスタート教育プログラム」を無償でご利用頂けます。詳しくはクイックスタート教育プログラムページをご参照ください。

Vigiles 30 日間無償トライアル

Vigiles Prime を 30 日間無償でご利用いただけます。下記ボタンより必要事項をご記入ください。

Vigiles Prime 30 日間無償トライアル 申し込み

Vigiles トライアルをお申し込みいただいた方に向け、ファーストステップガイドをご用意しております。

Vigiles ファーストステップガイドVigiles ファーストステップガイド 2

Vigile 導入事例

採用企業 : 通信機器製造企業 F 社

SBOM 生成と精度の高いキュレーションデータを通じ脆弱性管理の作業効率を劇的に改善

F 社は通信機器のメーカーであり、機器開発にあたりハードウェアおよび Linux をベースにした搭載ソフトウェアの開発を行っています。
自社製品のセキュリティ品質確保のため社内ツールを使用して管理していましたが、使いにくい上、多くの手作業が必要で時間と工数が肥大化してることに悩んでいました。

この事例を詳しく見る »

Timesys Vigiles のすべての事例を見る »

SBOM 生成と精度の高いキュレーションデータを通じ脆弱性管理の作業効率を劇的に改善

Vigiles サポート BLOG

Timesys Vigiles についてのよくある質問とその回答

Vigiles について、よくある質問とその回答をご案内いたします。ご質問内容をクリックしていただくと回答が表示されます。

Vigiles は、ソフトウェアへのカスタマイズをソースコードレベルで追跡しません。

CVE パッチを適用する前にドライバを変更する場合は、変更に加えて適用するように CVE パッチを調整する必要があります。したがって、最初に CVE パッチを適用してから、カスタマイズすることをお勧めします。これには、カスタマイズパッチの調整が必要になる可能性があります。

Vigiles は、LinuxBSP のすべてのソフトウェアレイヤーの脆弱性を追跡します。これには、ブートローダー、Linux カーネル、ドライバー、ユーザースペースパッケージ、およびアプリケーションが含まれます。

Vigiles は、コードインジェクションのためのソースコードはスキャンしません。Vigiles は、BSP で使用している個々のソフトウェアパッケージのバージョンと、その上に適用されている対策パッチのリストについて報告します。

したがって、使用しているアプリケーションソフトウェアに対して CVE が報告された場合、Vigiles は情報を提供することができます。ただし、CVE が報告されない自社開発のプロプライエタリアプリケーションを使用している場合、Vigiles は脆弱性情報を提供できません。

Vigiles をご利用頂くターゲットデバイスではインターネット接続の必要はありません。

Vigiles は、ビルドシステム Yocto / Buildroot からパッケージ/バージョン情報を抽出するか、ユーザーがソフトウェア BOMCSV ファイルを生成/ Vigiles にアップロードすることで利用できます。次に、Vigiles は、パッケージ/バージョンのリストを Timesys が取捨選択した脆弱性データベースと比較し、エンドユーザーやユーザーのチームのみがアクセスできる Web レポートを生成します。

現在、Vigiles はホスト型/クラウドのみのソリューションです。インターネットにアクセスせずにネットワーク上に存在できるオンプレミスバージョンの Vigiles は提供していません。ただし、今後オンプレミスバージョンを提供する予定です。

Vigiles は様々なビルドシステムをサポートしています。
Vigiles ではサポートしてるビルドシステムや ソフトウェア BOM (SBOM) を使用すれば脆弱性を追跡することが可能です。

※注意点
Vigiles が追跡できる脆弱性は NVD に報告されている脆弱性となります。お使いの プロセッサ/アーキテクチャのに依存する脆弱性は NVD に報告さていれば検知可能です。

Vigiles は、Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、TimesysFactory などの多数のビルドシステムをサポートしています。また、Vigiles は他のビルドシステムでも使用できます。

Vigiles UI を使用して、Yocto、Buildroot、および Factory からソフトウェアマニフェストをアップロードできます。さらに、Vigiles は .csv 形式をサポートしているため、他のビルドシステムからソフトウェアマニフェストを生成し、アップロード可能な .csv スプレッドシートとして形式化できます。Vigiles .csv マニフェストの作成に関するガイダンスは、HOWTO Create a Vigiles CSV Manifest で提供されます。

Vigiles の「マニフェストの作成」UI を使用して、ソフトウェアマニフェストを完全にオンラインで最初から作成することもできます。

すべてのよくある質問とその回答を見る »

お問い合わせ

Timesys Vigiles について、ご質問・ご相談・お見積り希望がございましたら、リネオソリューションズまでお問い合わせください。

お問い合わせフォーム