ビジョナル・インキュベーションは2022年5月18日、脆弱性管理クラウドサービス「yamory(ヤモリー)」に、緊急の脆弱性を速報として通知する機能を追加した。修正プログラムが出ていないゼロデイ脆弱性や、公開直後の緊急性の高い脆弱性について、即座に通知を受け取れるようになった。
ビズリーチなどを子会社に持つビジョナルグループのアシュアードは、脆弱性管理ツール「yamory(ヤモリー)」を提供している。yamoryは、ITシステムの脆弱性を自動で検出し、対応策を通知するクラウドサービスである。脆弱性データベースと照合して、利用しているソフトウェアの脆弱性を調査する(関連記事:ビズリーチ、オープンソースの脆弱性管理ツール「yamory」をリリース)。
拡大画像表示
yamoryは、独自の脆弱性データベースを構築している(図1)。これにより、修正プログラムがリリースされていないゼロデイ脆弱性などについても、素早く検知するとしている。今回の新機能では、脆弱性が正式に発表される前の、情報が不十分な状況においても、ゼロデイ脆弱性や公開直後の攻撃の注意喚起情報を通知するようにした。より迅速な脆弱性対策が可能になった。
通常、新しく脆弱性が発見された場合、NVDなどの脆弱性情報サイトで公式に発表されるまでには、数日間のリードタイムが発生する。この間にも、脆弱性を悪用した攻撃が行われる可能性があることから、公式情報の公開前に脆弱性への対策が必要になる場合がある。
一方、SNSやブログなどの情報源も含めて情報収集し、対策を検討するためには、セキュリティに関する知識が必要になる。yamoryは、まだ情報が公式に公開されていない脆弱性についても、セキュリティアナリストがリサーチした情報を速報として通知する。