サイバートラストは2023年9月21日、脆弱性管理ソフトウェア「MIRACLE Vul Hammer」の新版を提供開始した。新版では、検知した脆弱性を外部ツールなどに通知する手段を拡充した。MIRACLE Vul HammerのAPIを公開したほか、検知した脆弱性情報を日立製作所のシステム運用管理ツール「JP1/Integrated Management 3」(JP1/IM)に通知できるようにした。
サイバートラストの「MIRACLE Vul Hammer」は、構成するOSやソフトウェアの脆弱性を調べて可視化する脆弱性管理ツールである。Linuxなどオープンソースソフトウェアを中心に、ソフトウェアの脆弱性管理を自動化・効率化する。「脆弱性を含んだバージョンのソフトウェアを使っているか」「脆弱性を修正する更新プログラムを適用しているか」などが分かる(関連記事:サイバートラスト、脆弱性管理「MIRACLE Vul Hammer V4」を提供、SBOMでライブラリ全体を検査)。
脆弱性の情報ソースとして、ベンダー各社が発信する脆弱性情報/データベース(NVDなど)を利用する。システムに対する脆弱性のスキャンは、ユーザーサイトに設置するサーバーソフトウェア(SCANマネージャ)が実行する。監視対象のシステムにリモートログイン(SSH)して脆弱性を調べる方法と、WindowsのPowerShellスクリプトをリモート実行(WinRM)する方法がある。SCANマネージャのWeb画面を介して、脆弱性の一覧や詳細、サーバーごとの脆弱性などを把握できる。
新版では、検知した脆弱性を外部ツールなどに通知する手段を拡充して、ソフトウェア管理業務を省力化する。前版までは検知した脆弱性を通知する手段が乏しく、メールやSlackを使った通知に限られていた。
MIRACLE Vul HammerのAPIを公開し、Web画面を介さず、外部ツールとAPIから機能連携できるようになった。レポート作成のためのデータの入出力や、タスク通知などを行える。
また、日立製作所のシステム運用管理ツール「JP1/Integrated Management 3」(JP1/IM)との連携機能を追加した。MIRACLE Vul Hammerで検知した脆弱性情報をJP1/IMにイベントとして通知することで、脆弱性管理とシステム運用管理を一元化する(図1)。
図1:MIRACLE Vul Hammerで検知した脆弱性の情報をシステム監視ツールのJP1/IMに通知できるようにした(出典:サイバートラスト)拡大画像表示
このほか、組織で管理している独自の脆弱性の対応状況や各種セキュリティガイドライン(NIST SP800-171、NIST SP800-53、PCIDSS)の対応状況など、独自のステータス管理が可能になった。また、Web画面でSBOM(ソフトウェア部品表)のインポート機能が加わり、依存関係にあるパッケージを含めて脆弱性を管理できるようになった。利用可能なSBOMファイル形式は、SPDX(JSON)である。
