メルマガはこちらから

PAGE
TOP

脆弱性管理クラウド「yamory」、SBOMインポート機能の提供を開始

PR TIMES

Visional
~SBOMの生成・管理・運用をオールインワンで実現し、ソフトウェアサプライチェーンのセキュリティ強化を支援~

Visionalグループが運営する、脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下、yamory)は、SBOM(Software Bill of Materials)のインポート機能を2023年8月23日より提供開始します。 yamoryではこれまで、SBOM標準フォーマットであるSPDX、CycloneDXおよびCSVでのエクスポート機能を提供していましたが、インポート機能が追加されることで、取引先やグループ会社から取得したSBOM形式のファイルを取り込むことが可能になります。 SBOMのエクスポートおよびインポート機能が完備されることで、yamory上でSBOMの生成・管理・運用を行うことができ、ソフトウェアコンポーネントの資産管理および脆弱性の一元管理を実現します。




世界的に普及が進むSBOM


SBOMとは、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するための手法です。
ソフトウェアの依存関係とシステムレイヤーの複雑化が進むなか、サイバーセキュリティリスクの高まりや多発するインシデントを受け、米国では2021年5月にSBOMに関する大統領令が発令されました。また昨年9月には、EUから「サイバーレジリエンス法案」が公表されており、デジタル要素を備えた全ての製品を対象にSBOMの作成義務が求められるなど、世界的にSBOMの普及が進みつつあります。
日本国内においても、経済産業省に「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」(ソフトウェアタスクフォース)が設置され、 産業分野ごとに実証実験を実施し、7月31日には「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」(※1)が公表されるなど、SBOM導入に向けた取り組みが進んでいます。政府調達のソフトウェアに関しては、早ければ2024年にもSBOM提出が義務化される可能性もあり、今後国内においても様々な業界で対応が求められると考えられます。

※1 参照:経済産業省「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」
https://www.meti.go.jp/press/2023/07/20230728004/20230728004-1-1.pdf

SBOM導入のメリット


OSS活用の普及とともに、OSSをターゲットとしたサプライチェーン攻撃が急増しており、2021年には前年比650%増加するなど(※2)、サプライチェーンのセキュリティ対策は急務です。SBOMを導入していれば、あるコンポーネントにおいて脆弱性が明らかになった場合に、影響を即座に認識することができ、脆弱性対応にかかる期間を短縮することができます。また、脆弱性管理にかかるコストについて、医療機器分野における2022年度の実証では、SBOMを活用した場合に要する工数が、手動での脆弱性管理と比較して70%程度低減されることが確認されています。

※2 参照:Sonatype's 2021 State of the Software Supply Chain
https://www.sonatype.com/resources/state-of-the-software-supply-chain-2021

yamory SBOM機能の特徴


1.SBOM標準フォーマットに対応
ソフトウェアサプライチェーンの中で組織を越えてSBOMを共有するためには、データフォーマットを統一する必要があります。yamoryでは、SBOM標準フォーマットである「SPDX」「CycloneDX」のエクスポート・インポートに対応しているため、取引先やグループ会社間で統一したフォーマットでの共有が可能です。

2.ソフトウェア名称の表記揺れにも対応し、脆弱性の検出が可能
SBOMを作成する際に、企業間でソフトウェア名称やバージョンの付け方に表記ゆれが発生すると、自動スキャンツールによる脆弱性データベースとの突合が難しい場合があります。yamoryでは独自の脆弱性データベースおよび照合方法により、表記揺れにも対応することが可能です。また、取引先やグループ会社が他のツールで作成・エクスポートしたSBOMを受け取った場合でも、表記揺れに対応した上で脆弱性の検出を行うことができます。

3.脆弱性管理までオールインワンで実現
取引先・グループ会社から提出されたSBOMをインポートし、ITコンポーネント情報の一元管理が可能。オートトリアージ機能により、検出された脆弱性が対応優先度別に分類され、対応状況も可視化されます。SBOMの生成はもちろん、運用・管理までをオールインワンで実現することで、網羅的かつ効率的なサプライチェーンセキュリティマネジメントを可能にします。



「ソフトウェア管理に向けたSBOMの導入に関する手引」にて、国産ツールとして唯一紹介


経済産業省が策定した本手引では、SBOMを導入するメリットやSBOMに関する誤解と事実などSBOMに関する基本的な情報を提供するとともに、SBOMを実際に導入するにあたって認識・実施すべきポイントが、(1)環境構築・体制整備フェーズ、(2)SBOM作成・共有フェーズ、(3)SBOM運用・管理フェーズと、フェーズごとに示されています。
SBOMの作成や運用・管理に資するSBOMツールの一例も紹介されており、yamoryは国産ツールとして唯一紹介されています。(P68)

https://www.meti.go.jp/press/2023/07/20230728004/20230728004-1-1.pdf

利用方法


インポート機能は「Enterpriseプラン」のオプション機能です。
エクスポート機能は「CSIRT/PSIRTプラン」または「Enterpriseプラン」を利用いただくことで、追加オプションなどは発生せず利用可能です。
SBOM導入支援相談会も開催しておりますので、下記よりお気軽にお問い合わせください。
相談会申し込みフォーム:https://seminar.yamory.io/consultation_sbom

SBOMセミナー
<今、対応が求められるSBOMとは?SBOM(ソフトウェア部品表)の重要性と効率的な対応方法>


yamoyでは、SBOMに関するセミナーを開催します。SBOMの概要と重要性、yamoryを活用した効率的なSBOM対応方法やSBOM機能についてお伝えします。ぜひご参加ください。
開催日:8月30日(水)13:00-14:00
参加料:無料
視聴方法:Zoomでのオンライン配信
申込フォーム:https://seminar.yamory.io/about_sbom_8


【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。
URL:https://yamory.io/
Twitter:https://twitter.com/yamory_sec
運営会社:株式会社アシュアード https://www.visional.inc/ja/assured.html


【Visional について】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、SalesTechの領域においても、新規事業を次々に立ち上げている。
URL:https://www.visional.inc/