ビジョナルは2023年8月23日、グループ会社アシュアードの脆弱性管理クラウドサービス「yamory(ヤモリー)」にSBOMインポート機能を追加した。スキャンしたソフトウェア構成情報のSBOM標準形式での出力に加えて、今回よりSBOM形式のデータを取り込めるようにした。SBOMの生成・管理・運用を一貫して行え、ソフトウェア部品の資産管理と脆弱性管理を一元的に提供できるようになった。
アシュアードの「yamory(ヤモリー)」は、ソフトウェアの脆弱性を自動で検出し、対応策を通知するクラウドサービスである。ソフトウェアに含まれるオープンソースソフトウェア(OSS)を抽出して脆弱性データベースと照合し、サイバー攻撃の危険度などを基に、対応の優先度を自動で分類する(関連記事:脆弱性管理ツール「yamory」、クラウド設定不備の診断やWeb外部診断も可能に─アシュアード)。
図1:脆弱性管理クラウド「yamory」を強化し、SBOMを出力できるだけでなく、SBOMを取り込めるようにした(出典:ビジョナル) 今回、取引先やグループ会社から取得したSBOM(Software Bill of Materials:ソフトウェア部品表、エスボム)の標準形式ファイル(SPDXおよびCycloneDX)のインポート機能が加わった(図1)。これまでも、スキャンして取得したソフトウェア構成情報をSBOM標準形式で出力できていた。今回、出力だけでなく取り込みも可能になった。これにより、SBOMの生成・管理・運用を一貫して行え、ソフトウェア部品の資産管理と脆弱性管理を一元的に提供できるようになった。
SBOMを作成する際に、ソフトウェア名称やバージョンの付け方に表記揺れが発生すると、脆弱性データベースとの突合が難しい場合がある。yamoryは、取り込んだSBOMに含まれる表記揺れを吸収する。取引先やグループ会社が他のツールでSBOMを作成・出力していても、ツールによる表記揺れを解消したうえで脆弱性を検出する。
●Next:国内外で利用が進むSBOMの導入効果
会員登録(無料)が必要です
- 業務システム 2027年4月強制適用へ待ったなし、施行迫る「新リース会計基準」対応の勘所【IT Leaders特別編集版】
- 生成AI/AIエージェント 成否のカギは「データ基盤」に─生成AI時代のデータマネジメント【IT Leaders特別編集号】
- フィジカルAI AI/ロボット─Society 5.0に向けた社会実装が広がる【DIGITAL X/IT Leaders特別編集号】
- メールセキュリティ 導入のみならず運用時の“ポリシー上げ”が肝心[DMARC導入&運用の極意]【IT Leaders特別編集号】
- ゼロトラスト戦略 ランサムウェア、AI詐欺…最新脅威に抗するデジタル免疫力を![前提のゼロトラスト、不断のサイバーハイジーン]【IT Leaders特別編集号】
-
VDIの導入コストを抑制! コストコンシャスなエンタープライズクラスの仮想デスクトップ「Parallels RAS」とは
-
AI時代の“基幹インフラ”へ──NEC・NOT A HOTEL・DeNAが語るZoomを核にしたコミュニケーション変革とAI活用法
-
加速するZoomの進化、エージェント型AIでコミュニケーションの全領域を変革─「Zoom主催リアルイベント Zoomtopia On the Road Japan」レポート
-
14年ぶりに到来したチャンスをどう活かす?企業価値向上とセキュリティ強化・運用効率化をもたらす自社だけの“ドメイン”とは
-
-
-
-
生成AIからAgentic AIへ―HCLSoftware CRO Rajiv Shesh氏に聞く、企業価値創造の課題に応える「X-D-Oフレームワーク」
-
-
-
「プラグアンドゲイン・アプローチ」がプロセス変革のゲームチェンジャー。業務プロセスの持続的な改善を後押しする「SAP Signavio」
-
BPMとプロセスマイニングで継続的なプロセス改善を行う仕組みを構築、NTTデータ イントラマートがすすめる変革のアプローチ
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
