Nordic Semiconductor、nRF Cloudに新機能を追加
低消費電力ワイヤレス接続のグローバルリーダーであるNordic Semiconductorは、このたびnRF Cloudに新たなファームウェア脆弱性スキャン機能を搭載しました。この追加により、EUサイバーレジリエンス法(Cyber Resilience Act:CRA)への対応がより一層強化されます。
新しい機能の概要
nRF Cloudに追加されたファームウェア脆弱性スキャン機能は、開発者がソフトウェア部品表(Software Bill of Materials:SBOM)をアップロードすることで、SBOM内に存在する共通脆弱性識別子(CVE)を自動で検出できるというものです。また、nRF Cloudに接続されている本番環境のデバイス全体の脆弱性の影響を分析することも可能です。
この新機能は、デバイスメーカーがCRAで求められる脆弱性監視の要件をクリアできるように設計されており、自前でCVE検出システムを構築する手間を減らします。加えて、ファームウェア無線更新(FOTA)サービスと連携し、市場に展開されたデバイスへの大規模なソフトウェアアップデートも実施できるようになります。
CRA対応の重要性
CRAでは、接続機器のセキュリティが製品ライフサイクルの全期間にわたって維持されることが求められています。これは、数年から十数年という長い製品運用期間を持つデバイスにとって、継続的なコンプライアンス対応が必須ということを意味します。nRF Cloudの脆弱性検出機能やFOTAの提供によって、開発者はコンプライアンスの要件を満たしつつ、製品開発に注力することができる環境が整います。これにより市場投入までの時間を短縮し、製品出荷後も効率良く法令に対応できるのです。
効率的な脆弱性管理
新しいファームウェア脆弱性スキャンは、開発者が各ソフトウェアバージョンごとのSBOMをnRF Cloudにアップロードすると、そのSBOMが継続的に自動スキャンされる仕組みです。このプロセスにより、セキュリティパッチの展開状況をリアルタイムで確認できるため、各脆弱性に対して、どの規模のデバイスが影響を受けているかを把握し、最優先で対処すべき項目を容易に判定できます。
さらに、nRF CloudのFOTA機能と組み合わせることで、脆弱性の検出からパッチ配信、修正確認までの作業を一つのシステム内で管理することができ、効率的な運用が実現します。すべての作業履歴は監査証跡(Audit Trail)として記録され、進捗状況が一目で分かるように設計されています。
今後の展開
ファームウェア脆弱性スキャン機能の提供開始は、今後数週間以内を予定しています。参加登録を行うことで、実際の機能を紹介するウェビナーに参加することができ、正式提供開始時の最新情報も手に入れることができます。
現在、FOTAを含むnRF Cloudの各種機能は利用可能で、開発者は無料でデベロッパーアカウントを作成し、いつでもプラットフォームを利用開始できます。
CRAの詳細については、Nordicが提供するガイドを参照し、セキュリティ面での万全な対策を講じてください。
Nordic Semiconductorの紹介
Nordic Semiconductorは、1983年の設立以来、低消費電力ワイヤレス接続ソリューションを提供し続けている企業です。Bluetooth® Low Energyのパイオニアとして知られ、セルラーIoTやWi-Fi、Matter、Threadなど多岐にわたるソリューションを展開しています。エネルギー効率に優れた接続型製品の開発を支援し、よりスマートな社会の実現に寄与しています。詳細については、
公式サイトをご覧ください。