Cloudbase Sensor、オンプレミス環境のアプリケーション層におけるSBOM収集に対応

Cloudbase
～Node.js依存パッケージの脆弱性可視化を強化、サプライチェーンリスク対策を拡張～

Cloudbase株式会社（本社：東京都港区、代表取締役CEO：岩佐晃也）は、同社が提供する国産CNAPP（CSPM、SBOM、脆弱性管理）「Cloudbase」において、Cloudbase Sensorの機能を拡張し、Node.jsアプリケーションにおける依存パッケージのスキャンおよびSBOM収集に対応したことをお知らせします。
近年、ソフトウェアサプライチェーンリスクへの関心が高まる中、企業にはOSレベルの脆弱性管理にとどまらず、アプリケーションが利用するオープンソースライブラリまで含めた可視化が求められています。
今回のアップデートにより、Cloudbaseはアプリケーション層まで監視対象を拡張し、クラウドおよびオンプレミス環境で稼働するNode.jsアプリケーションの脆弱性をより包括的に把握できるようになりました。

開発背景

これまでCloudbase Sensorは、OSレベルのパッケージに関する脆弱性情報を収集していました。
一方で、Webサービスやクラウドネイティブ開発で広く利用されているNode.jsは、多数の外部ライブラリに依存する構造を持ちます。こうしたアプリケーション層の依存関係は、OSとは別のリスク要因となるため、より詳細な可視化が求められていました。
今回の機能拡張では、Node.jsプロジェクトにおいて実際に利用されている依存パッケージを自動的に検出・収集し、SBOMとして管理できるようにしました。お客様のより安全な開発環境を共に創るため、今回の拡張を決定しております。

アップデート内容

Cloudbase Sensorはサーバー上のNode.jsアプリケーションを自動的に検出し、利用中のライブラリ情報を収集します。
収集される主な情報は以下の通りです。
- ライブラリ名
- バージョン
- ライセンス情報
- 配置場所

収集された情報はSBOMとして一覧表示され、該当ライブラリに関連する脆弱性情報もあわせて確認できます。

本機能の特長
パッケージ管理ツールに依存しない検出方式
`package.json` を直接解析するため、npm・yarn・pnpm等のパッケージマネージャーの種類に依存しません。

実際に利用されているライブラリのみを可視化
ロックファイル（`package-lock.json` / `yarn.lock` 等）ではなく、実際にインストールされているパッケージのみを正確に収集します。

追加設定不要で利用可能
Sensorのアップデートのみで本機能が有効になります。


なお、今回のリリースはNode.jsへの対応となります。今後は他のプログラミング言語にも順次対応予定です。

期待される効果

本機能により、企業はOSレベルからアプリケーション層までを横断した脆弱性の一元管理が可能になります。
これにより、
- クラウドおよびオンプレミス環境におけるアプリケーションリスクの包括的把握
- SBOMを活用した継続的な脆弱性管理の高度化
- OSS利用状況の可視化によるガバナンス強化

が期待されます。

Cloudbaseは今後も、クラウド環境におけるリスクの可視化と継続的なセキュリティ運用を支援する機能拡充を進めてまいります。

Cloudbase株式会社について

エンジニアとしてのバックグラウンドを持つ代表岩佐が2019年に創業したスタートアップ企業です。AWS・Microsoft Azure・Google Cloud・Oracle Cloudといったマルチクラウド環境におけるリスクを統合的に監視・管理できるセキュリティプラットフォーム「Cloudbase」を提供しています。クラウドのみならずオンプレミス環境も含め、企業のインフラ資産全体を横断的に可視化し、セキュリティリスクの継続的な管理を支援しています。

会社概要

社名：Cloudbase株式会社

代表取締役CEO：岩佐晃也

事業内容：クラウドセキュリティプラットフォーム「Cloudbase」の開発

本社所在地：東京都港区三田3-2-8 THE PORTAL MITA 2F

設立： 2019年11月

企業HP：https://cloudbase.co.jp/