2022年8月24日、Visionalグループは脆弱性管理クラウド「yamory(ヤモリー)」を強化。新たにWebアプリケーションとクラウドインフラのセキュリティ診断サービスを開始した。発表会では、ユーザーであるサイボウズも登壇し、導入効果や製品への期待を語った。
Visionalグループ yamory事業部 事業部長の山路 昇氏
全レイヤーの脆弱性対策をオールインワンで実現
脆弱性管理クラウド「yamory」は、ミドルウェア、開発、言語、OSなどのソフトウェアの脆弱性を診断するサービス。利用状態を自動で把握し、独自の脆弱性データベースと照合。プロダクトの各レイヤーの脆弱性を危険度ごとに管理できる。
脆弱性管理クラウド「yamory」
発表会に登壇したVisionalグループ yamory事業部 事業部長の山路 昇氏は、Apache Log 4jに代表される脆弱性を突いた攻撃が、この5年間で3倍に増えていると指摘。セキュリティ人材の不足も深刻化しているが、「北米のようにセキュリティの運用・管理を自動化することで、人手不足の課題を解決できる」(山路氏)とのことでyamoryを展開しているという。
今回yamoryでは新たに肥大化するWebアプリケーションの診断に対応するとともに、昨今大きな問題となっているクラウドインフラの設定不備に対応すべく、ガイドラインへの違反を継続的にチェックする(CSPM/Cloud Security Posture Management)も11月に追加する。
機能強化について、山路氏は「健康診断の検査項目が増えるイメージ。ITシステムの全レイヤーを対象とした脆弱性対策をオールインワンで実現できる」とアピール。今後は診断結果についてもyamory上に蓄積できるため、脆弱性の検知のみならず管理までカバーできるという。
全レイヤーの脆弱性管理をカバーする
yamoryを採用しているユーザーとして登壇したのがサイボウズだ。サイボウズは、PSIRT(Product Security I ncident Response Team)というチームで製品のセキュリティ向上を図っているが、「あたたかみのある手動管理」を実施していたため、きめ細かな分、脆弱性の管理に時間がかかっていた。具体的には、製品で利用しているライブラリやバージョン情報を台帳作成や脆弱性のキャッチアップにかかっていた45人日/月の作業時間を費やしていた。
しかし、yamoryを導入したことで、作業時間は10人日/月へと削減し、以前より早く脆弱性の情報をキャッチアップできるようになった。ドキュメントも整っているため、導入も容易。有事の時も迅速に影響範囲を特定できるメリットがあった。発表会に登壇したサイボウズ 開発本部 長友 比登美氏は「脆弱性管理のハブとして、Webアプリケーション業界がよりセキュアになるきっかけとなるサービスになってほしい」と期待を語った。
サイボウズ 開発本部 長友 比登美氏
なお、Visionalグループは採用プラットフォーム「ビズリーチ」や人材活用プラットフォーム「HARMOS」などのHR領域を手がける。M&Aや物流テック、セールス分野でもさまざまなサービスを立ち上げており、yamoryもサイバーセキュリティ領域の事業の一環となる。
