[事例ニュース]

2023年8月9日(水)IT Leaders編集部、日川 佳三

リスト

　SOMPOホールディングスは、アシュアードのソフトウェア脆弱性管理クラウドサービス「yamory（ヤモリー）」を導入した（関連記事：脆弱性管理ツール「yamory」、クラウド設定不備の診断やWeb外部診断も可能に─アシュアード）。

　SOMPOホールディングスが保有するソフトウェア資産は、1つのサービスで数万件の規模になる。そのため、SBOM（Software Bill of Materials：ソフトウェア部品表、エスボム）を効率よく管理するには、ソフトウェア構成と脆弱性を可視化・管理するツールが必要だったという。

　yamoryの導入効果の1つとして同社は、依存関係を含んだソフトウェア構成情報をSBOMと対応づけられることを挙げる。例えば、Apache Log4jのようなライブラリが、どのソフトウェアで使われているかを簡単に見つけ出せる（画面1）。また、yamoryは、スキャンしたソフトウェア構成情報をSBOMの標準形式で出力可能であり、SBOMの管理に役立っている。

画面1：Apache Log4jのようなライブラリが、どのソフトウェアで使われているかを見つけ出せる（出典：ビジョナル）
拡大画像表示

　また、アプリケーション/ソフトウェアライブラリだけでなく、ネットワーク機器やゲートウェイサーバーなどのOSソフトウェアに含まれる脆弱性もチェックできる点や、ソフトウェア資産全体を管理するにあたり、製品名やソフトウェア名の表記揺れを吸収する点も評価している（画面2）。

　同社では従来、グループ各社が独自にIT資産やソフトウェア情報を管理していたことから、製品名やソフトウェア名の表記揺れが発生していた。このことから、自動スキャンツールでは脆弱性データベースとの突合が難しいという課題があった。導入したyamoryは、独自の脆弱性データベースと照合方法を使うことによって表記揺れを吸収する。

画面2：ソフトウェア資産全体を管理するにあたり、製品名やソフトウェア名の表記揺れを吸収する（出典：ビジョナル）
拡大画像表示

　加えて、攻撃リスクを加味した現実的なトリアージが可能な点も評価する。yamoryは元々備えるトリアージ機能に加えて、「Known Exploited Vulnerabilities Catalog」（KEVカタログ：攻撃リスクを評価する目的でCISAが公表している悪用を確認済みの脆弱性リスト）も、リスク評価の材料として使う。yamoryのトリアージとKEVカタログを照合することで、脆弱性の検知数が多い際に、リスクが高い脆弱性を絞り込める（画面3）。

画面3：yamoryのトリアージとKEVカタログを照合することで、脆弱性の検知数が多い際に、リスクが高い脆弱性を絞り込む（出典：ビジョナル）
拡大画像表示