Armadilloフォーラム

脆弱性管理方法について

saitoh99

2024年8月21日 13時04分

いつもお世話になっております。
ArmadilloーIoT G3LをIoTGW端末としてアプリケーションを組み込んでクラウドに中継する機器として運用しているのですが、
脆弱性の確認、パッチ管理等について、問われています。
どのようにして運用、管理、対策していったら良いのかご教示をお願い致します。

コメント

古関です。

社内に以下のような基準・フロー・体制を設け対処していくのはいかがでしょうか。
・CVE/JPCERT等の脆弱性情報を随時チェックする
・脆弱性に対する対応方針決定
 ・脆弱性の内容・CVSSスコアからお客様のシステムへの影響を確認し対応方針を決める
  (なるべく早くアップデート、定期的なアップデートに取り込む、影響なし等のジャッジ)
・パッチの作成と評価
 パッチを作成したら、お客様のアプリケーションへ影響がないか評価をする
 変更規模に応じた評価項目を用意し評価を実施
  CI等でテスト等が自動化されているとスピードや品質が安定します
・リリース

IPAが公開している以下のような文書も参考になると思います。
https://www.ipa.go.jp/security/iot/index.html

■ ブートローダー・カーネルのセキュリティ更新
ブートローダー、Linux-Kernelは弊社が提供している最新版のご利用を推奨致します。

現時点の最近版は以下ですが、
linux-stableマージなどをしながら随時セキュリティ更新をしています。
* U-Boot v2016.07-at25
* Linux-Kernel v6.1-x1-at7

アップデートがあった場合は、製品アップデートニュースから通知いたします。
https://armadillo.atmark-techno.com/news/software-updates

■ Debianのセキュリティ更新
Debianパッケージは弊社が提供しているモノもありますが、
ほとんどがDebianから配布されているモノになります。

お客様のシステムでインストールしているパッケージを把握し、
古いものが無いか、脆弱性のあるものが無いか把握し、
適切にアップデートを行ってください。

https://www.debian.org/security/cve-compatibility.ja.html
https://security-tracker.debian.org/tracker/

ちなみにArmadillo-IoT G3Lより新しい世代の製品では、Armadillo Base OSを中心とした
SBOMによる脆弱性の管理、アップデートの提供が可能になっており、
セキュリティアップデートについて包括的な管理、運用が可能な仕組みを今後も継続的に
提供されるシリーズとなっています。

以降の新規開発では、より新しいArmadilloのご利用をオススメします。

https://armadillo.atmark-techno.com/guide/armadillo-base-os
https://www.atmark-techno.com/news/press-release/202311_sbom