ビジョナルは2023年8月23日、グループ会社アシュアードの脆弱性管理クラウドサービス「yamory(ヤモリー)」にSBOMインポート機能を追加した。スキャンしたソフトウェア構成情報のSBOM標準形式での出力に加えて、今回よりSBOM形式のデータを取り込めるようにした。SBOMの生成・管理・運用を一貫して行え、ソフトウェア部品の資産管理と脆弱性管理を一元的に提供できるようになった。
アシュアードの「yamory(ヤモリー)」は、ソフトウェアの脆弱性を自動で検出し、対応策を通知するクラウドサービスである。ソフトウェアに含まれるオープンソースソフトウェア(OSS)を抽出して脆弱性データベースと照合。サイバー攻撃の危険度などを基に、対応の優先度を自動で分類する(関連記事:脆弱性管理ツール「yamory」、クラウド設定不備の診断やWeb外部診断も可能に─アシュアード)。
図1:脆弱性管理クラウド「yamory」を強化し、SBOMを出力できるだけでなく、SBOMを取り込めるようにした(出典:ビジョナル) 今回、取引先やグループ会社から取得したSBOM(Software Bill of Materials:ソフトウェア部品表、エスボム)の標準形式ファイル(SPDXおよびCycloneDX)のインポート機能が加わった(図1)。これまでも、スキャンして取得したソフトウェア構成情報をSBOM標準形式で出力できていた。今回、出力だけでなく取り込みも可能になった。これにより、SBOMの生成・管理・運用を一貫して行え、ソフトウェア部品の資産管理と脆弱性管理を一元的に提供できるようになった。
SBOMを作成する際に、ソフトウェア名称やバージョンの付け方に表記揺れが発生すると、脆弱性データベースとの突合が難しい場合がある。yamoryは、取り込んだSBOMに含まれる表記揺れを吸収する。取引先やグループ会社が他のツールでSBOMを作成・出力していても、ツールによる表記揺れを解消したうえで脆弱性を検出する。
●Next:国内外で利用が進むSBOMの導入効果
会員登録(無料)が必要です
