サイバー空間の脅威が加速し、製造メーカーは法規制である日本政府の安全保障政策やサイバーレジリエンス法(CRA)などで「製品出荷後の脆弱性管理」を求められています。
そのような状況で東芝のセキュリティチームは、長年利用してきた自社開発システムで脆弱性をハンドリングしてきたが、限界を迎えようとしていました。
その理由は、近年のセキュリティに対する要求水準が高まり脆弱性情報が増えたことや、脆弱性対応の優先順位付けする新指標への追従でコストが膨れ上がっていたことが原因です。
さらに、膨大な製品群の構成情報を一つひとつ手作業でリスト化する運用は、もはや処理量の拡大に対して限界を迎えていました。
自社システムの運用と開発に忙殺され、本来注力すべきリリースした製品の脆弱性管理や支援業務が削られていく状況に危機感を抱き、FutureVulsという新たな選択へと舵を切る決定打となりました。
十数種類の脆弱性管理ツールを比較して、選ばれたFutureVuls
東芝様のセキュリティチームと事業部PSIRTとまとめた業務要件と照らし合わせ、多くの脆弱性管理ソリューションを調査。
当時は非公開の脆弱性情報や業務要件に対応できるものがほとんどない中、フューチャー社のFutureVulsを拡張して共に作り上げていくパートナーシップと柔軟性が決め手となりました。
現在では東芝様と開発した「FutureVuls PSIRTプラン」を活用し、出荷後の製品に脆弱性が検知された場合、最善の解決案を実施できているとのことです。
今後は自社製品のSBOMを柔軟に管理をしていき、セキュリティリスクの明確化や法規制への対応をFutureVulsで行いたいと検討しています。
本資料(PDF)でわかること
・FutureVulsを導入前の現場状況
・なぜ「他製品」ではなくFutureVulsを選んだか?
・年間1万時間を削減後の組織はどのように好転したのか
本資料は、製造メーカー独自の自社製品が抱える脆弱性の管理を効率化(PSIRT業務)させた成功事例です。
「製造業かつメーカー企業」「出荷後の脆弱性管理の効率化」「法規制への対応を進めたい」組織の方へ、解決のヒントとしてご活用ください。
