ビジョナルグループのアシュアードは2022年8月24日、クラウド型脆弱性管理ツール「yamory」を強化し、脆弱性診断の対象をクラウドインフラやWebアプリケーションにまで広げた。yamoryは従来、システムで利用しているOSSライブラリ/ツールの脆弱性を診断するツールだった。今回、脆弱性の診断対象をシステム全体へと広げた形である。同日、新サービスとして、クラウドインフラ向けの診断サービスと、Webアプリケーション向けの診断サービスを提供開始した。
ビズリーチなどを子会社に持つビジョナルグループのアシュアードは、脆弱性管理ツール「yamory(ヤモリー)」を提供している。yamoryは、ITシステムの脆弱性を自動で検出し、対応策を通知するクラウドサービスである。利用しているオープンソースソフトウェア(OSS)を抽出し、その脆弱性情報を格納した脆弱性データベースと照合。サイバー攻撃の危険度などを基に、対応の優先度を自動で分類する(関連記事:脆弱性管理ツール「yamory」、Windows Serverの脆弱性を検知・対処可能に)。
図1:脆弱性管理クラウドサービス「yamory」を強化し、脆弱性診断の対象をクラウドインフラやWebアプリケーションにまで広げた(出典:ビジョナル・インキュベーション)拡大画像表示
今回、yamoryで脆弱性を診断可能な対象を広げた(図1)。クラウドインフラ向けの診断サービスと、Webアプリケーション向けの診断サービスを、それぞれ追加で提供開始した。これにより、アプリケーションの基盤となるオープンソースに含まれる脆弱性だけでなく、アプリケーションを稼働させるシステムインフラ(クラウドサービス)の設定上の脆弱性と、ユーザーが構築したWebアプリケーションの動作上の脆弱性を診断できるようになった。
クラウドインフラ向けの診断サービスは、クラウドサービスの設定上の不備を診断するスポットサービスである。診断結果はPDFにまとめて提供するほか、報告会を実施して報告する。価格(税別)は、診断対象となるクラウドサービス1アカウントあたり50万円。2022年11月には、スポット診断だけでなく、設定の変化を日々監視して変更点を検出したり、修正の反映をチェックしたりといった運用を含めたCSPM(クラウドセキュリティポスチャ管理)機能を提供する。
Webアプリケーション向けの診断サービスは、ユーザーが構築して運用しているWebアプリケーションに対して、ネットワーク越しに外部検査を実施するサービスである。Webアプリケーションにアクセスし、その挙動から、脆弱性があるかどうかを診断する。既存のyamoryはユーザーが記述したソースコードの中身については診断対象外だが、今回の外部診断を使うことで、ネットワーク越しにはなるものの、Webアプリケーションの単位で脆弱性を診断可能になる。価格は50万円(税別)から。
