nRF Cloudがファームウェアの脆弱性の検出と影響を受ける導入済みデバイスを特定し、
デバイスメーカーのEUサイバーレジリエンス法(CRA)への対応を支援
低消費電力ワイヤレス接続ソリューションのグローバルリーダーであるNordic Semiconductorは、nRF Cloudに新たにファームウェア脆弱性スキャン(Firmware Vulnerability Scanning)機能の追加を発表しました。これにより、EUサイバーレジリエンス法(Cyber Resilience Act:CRA)への対応を支援するnRF Cloudの機能がさらに強化されます。
nRF Cloudのファームウェア脆弱性スキャンでは、開発者はソフトウェア部品表(Software Bill of Materials:SBOM)をnRF Cloudへアップロードするだけで、そのSBOMに含まれる共通脆弱性識別子(Common Vulnerabilities and Exposures:CVE)を自動的に検出できます。さらに、nRF Cloudに接続されている本番環境のデバイス群全体に対して、それらの脆弱性がどの程度影響しているかを分析できます。
この新機能は、デバイスメーカーがCRAで求められる脆弱性監視の要件を満たせるよう設計されており、自社でCVE検出システムを構築・維持する負担を軽減します。また、この機能は、市場に展開されたデバイスに向けて大規模にソフトウェア更新を配信できる、ファームウェア無線更新(Firmware Over-the-Air:FOTA)サービスと連携して動作します。
CRA対応の負担を軽減
CRAでは、接続機器のセキュリティを製品ライフサイクル全体にわたって維持することが義務付けられています。製品によっては、数年から十数年に及ぶ長期間の運用が想定されるため、コンプライアンス対応は製品出荷後も継続して行う必要があります。
nRF Cloudは、脆弱性検出機能やFOTAなどを提供することで、開発者がコンプライアンス対応を効率的に進めながら、本来注力すべき製品開発に専念できる環境を提供します。その結果、市場投入までの期間を短縮するとともに、製品出荷後も限られたリソースで継続的な法令対応を実現できます。
継続的な脆弱性検出と実際の影響範囲を可視化
新しいファームウェア脆弱性スキャンでは、開発者がソフトウェアバージョンごとのSBOMをアップロードすると、nRF CloudがそのSBOMを継続的に自動スキャンします。
さらに、検出された各脆弱性について、実際に何台の導入済みデバイスが影響を受けているかを可視化します。この情報により、どの脆弱性を優先して対処すべきかを判断しやすくなります。また、セキュリティパッチの展開状況をリアルタイムで確認し、脆弱性の修正状況を継続的に監視できます。
検出から修正までを単一システムで実現
nRF Cloudが従来から提供しているFOTA機能と組み合わせることで、デバイスメーカーは脆弱性の検出からパッチ配信、修正完了の確認までを、一つのシステム上で一元管理できます。さらに、すべての作業履歴が監査証跡(Audit Trail)として記録されます。
また、セキュリティパッチの配信状況をリアルタイムで監視できるため、デバイス群全体に対する修正作業の進捗を容易に把握できます。nRF Cloudを活用することで、開発者はCRAで求められる脆弱性の継続的監視やセキュリティアップデートの提供といった重要な要件への対応を効率化できます。
提供開始時期
ファームウェア脆弱性スキャン機能は、今後数週間以内に提供開始される予定です。実際の動作を紹介するウェビナーへの参加登録を行うことで、機能の詳細をいち早く確認できるほか、正式提供開始時の最新情報も受け取ることができます。
FOTAをはじめとするnRF Cloudの各種機能は現在利用可能です。開発者は無料のデベロッパーアカウントを作成し、いつでもプラットフォームの利用を開始できます。
CRAの要件について詳しく知りたい方は、Nordicが提供するガイドをご覧ください。