[新製品・サービス]

2025年10月16日(木)日川 佳三、河原 潤（IT Leaders編集部）

リスト

　サイバートラストの「MIRACLE Vul Hammer with Clarity」は、SBOM（ソフトウェア部品表）の生成から脆弱性管理までをワンストップで支援するソフトウェアパッケージである。2025年10月16日にPoC（概念検証）の受注を開始し、2026年1月23日から提供する。

　新製品はカナダInsignaryとの協業の下で開発された。サイバートラストの脆弱性管理ソフトウェア「MIRACLE Vul Hammer」に、Insignaryのソフトウェア構成分析（SCA）/SBOM生成ソフトウェア「Insignary Clarity」を連携させて、SBOM生成から脆弱性管理まで一貫した運用モデルを提供する（図1）。

図1：SBOM生成・脆弱性管理ソフトウェアパッケージ「MIRACLE Vul Hammer with Clarity」の概要（出典：サイバートラスト）
拡大画像表示

　SBOMはSoftware Bill of Materialsの略で、あるソフトウェアを構成するすべてのコンポーネントやライブラリおよびそれらの依存関係、ライセンス情報などを一覧にしたリスト（部品表）である。SBOMを参照することで、そのソフトウェアがどのようなオープンソースソフトウェア（OSS）のライブラリを使用しているかがわかる。脆弱性が内在するライブラリのバージョンを使用しているかを正確に調べることができる。

　Insignary Clarityは、Vul Hammer with Clarityにおいて、SCAとSBOM生成を担う。SCAによって対象のソフトウェアで使用しているOSSを特定し、SPDX形式やCycloneDX形式のSBOMを生成する。ソースコードがなくても、独自のフィンガープリント技術によってバイナリファイルからSBOMを生成できる点を特徴としている。

　Vul Hammerは、SBOM情報と脆弱性データベースを突合し、影響範囲を特定し、対応の優先度を判定する（関連記事：脆弱性管理「MIRACLE Vul Hammer」新版、参照するDBを拡充して欧州法規制に対応）。

　サイバートラストとInsignaryの協業は、2027年12月より全面適用の欧州サイバーレジリエンス法（CRA）への対応が求められる製造業者への支援を目的としたもの。CRAの全面適用に先立ち、2026年9月には欧州に製品を出荷する製造業者や部品を納入する製造業者に脆弱性の報告義務が発生する。

　「国内で流通している主要なSBOM生成ツールは、ソフトウェアのパッケージマネージャを利用してSBOMを生成しており、取引先が納品するバイナリファイルからSBOMを生成することは難しい」（サイバートラスト）ことから、課題を解決すべく、バイナリファイルからSBOMを生成できるClarityをVul Hammerと共に提供するに至った。