日立は、サプライヤーから取得するソフトウェアの構成に関する詳細な情報が得られない場合でも、公開された脆弱性に関する情報を基に、AIを用いて自社で開発するソフトウェア製品の脆弱性を効率的に推定・評価できるモデルを開発しました。
本成果の一部は情報処理学会誌2023年12月号に掲載されました。

従来の脆弱性評価では、お客さまのインシデント対応チーム(PSIRT)*1がソフトウェアベンダーやセキュリティ機関がリリースする脆弱性レポート、パッチノート、セキュリティ勧告などを手作業で分析し、自社のソフトウェア製品に問題となるコンポーネントが含まれないか調査していました。今回、日立が提案する脆弱性評価モデルは、ナレッジグラフ*2データベース(DB)から製品に関連すると推定される脆弱性情報をAIを用いて自動抽出するプロセスと、その情報を用いてお客様のPSIRTが脆弱性を特定する2段階のプロセスで構成されます(図1)。

本手法を検証するために、公開された脆弱性データからナレッジグラフDBを作成し、製品に関連すると推定される脆弱性に関する情報を自動抽出する機能を開発しました。今後、さまざまな分野のお客さまのニーズを把握し、自然言語処理技術などを活用してWebサイトから脆弱性に関する情報を収集してナレッジグラフDBを構築する機能などを開発し、ソフトウェアサプライチェーンセキュリティ*3の強化に貢献していきます。

画像: 図1 ソフトウェアの脆弱性評価モデルのブロック図

図1 ソフトウェアの脆弱性評価モデルのブロック図

*1 PSIRT: Product Security Incident Response Team;自社で製造・開発するソフトウェア製品のセキュリティレベル向上やインシデント発生時の対応を行う組織
*2 ナレッジグラフ: 様々な知識・情報を体系的に繋ぎグラフ構造で表したネットワーク
*3 ソフトウェアサプライチェーンセキュリティ: 自社のソフトウェアに組み込まれるライブラリや外部コードなどのサードパーティコンポーネントに脆弱性がないことを確認し、製品やサービスの安全性を確保すること

照会先

株式会社日立製作所 研究開発グループ
研究開発 お問い合わせフォームへ

This article is a sponsored article by
''.