2025年3月5日、日立製作所(以下、日立)は、製品セキュリティにおける脆弱性対処に必要な知見を補う「脆弱性分析サービス」を販売開始したと発表した。
同サービスは、サイバーレジリエンス法(CRA)などの法規への対応を背景に、製品セキュリティの強化やPSIRTの設置・取り組みを検討している製造業の顧客を中心に提供するとのことだ。
同サービスは、生成AIを活用してセキュリティの専門的知見が必要な脆弱性情報を解析し、製品が脆弱性の影響を受ける条件のみをチェックリストとして提供。これにより、製品の設計書やソースコードから製品が脆弱性の影響を受けるかどうかを調査するために必要な知見を補い、製品セキュリティの知見や人材不足の課題解決を支援するという。
詳細な特徴は以下のとおり。
脆弱性の影響に関する調査時間を約45%削減、効率的な脆弱性対処が可能
製品が脆弱性の影響を受ける条件の調査をチェックリストの確認のみで行えるため、作業時間が短縮できるとのことだ。
また、チェックリストに出力される条件のうち、製品に含まれるソフトウェア名やコンポーネント名、バージョン情報などは、PSIRT運用プラットフォームで一元管理されているため、条件に当てはまるかを容易に調査できるという。結果、脆弱性の影響に関する調査にかかる時間を約45%削減でき、担当者の知見が不足していても効率的な脆弱性対処が実現できるとしている。
チェックリストの活用により抜け漏れを防止し、脆弱性対処の品質を向上
チェックリストを活用することで、脆弱性の影響に関する調査の抜け漏れを防止。セキュリティの知見が少ない人でも、知見がある人と同等の品質での調査が可能に。これにより、知見や人材が不足している組織でも、脆弱性対処の品質の向上が図れるという。また、チェックリストは調査を網羅的に行っていることを示すエビデンスとしても活用できるとのことだ。
なお、同サービスでの生成AI活用効果について、同サービスは生成AIに日立独自のプロンプトエンジニアリングを適用することで、生成AIが脆弱性の影響を受ける条件のみを抽出してチェックリスト化しているという。
同社は、同サービスにより顧客の製品セキュリティの知見・人材不足の課題へもアプローチし、製造業各社へのPSIRT運用プラットフォームの展開を加速していくという。また、製造業の顧客のセキュリティに関する課題解決に向けて、コンサルティングやSIなどのサービスも提供していくとのことだ。
【関連記事】
・日立、データセンター事業を日立システムズに統合 生成AIへの対応などを向上し事業体制強化へ
・ANA・日立・京成電鉄・京急電鉄、Universal MaaSの実証開始 空港からの移動をスムーズに
・日立・北國銀行・NECら13者、アンチマネーローンダリング共同化に向けた実証実験開始
