[新製品・サービス]

2025年10月16日(木)日川 佳三（IT Leaders編集部）

リスト

　サイバートラストの「MIRACLE Vul Hammer with Clarity」（図1）は、SBOM（ソフトウェア部品表）の生成から脆弱性管理までを一貫して支援するソフトウェアパッケージである。SBOM生成ソフトウェア「Insignary Clarity」（カナダInsignary製）と、脆弱性管理ソフトウェア「MIRACLE Vul Hammer」をセット化した。

図1：SBOM生成・脆弱性管理ソフトウェアパッケージ「MIRACLE Vul Hammer with Clarity」の概要（出典：サイバートラスト）
拡大画像表示

　SBOMは、ソフトウェアを構成するコンポーネントやライセンスの構成情報を記したデータである。SBOMを参照することで、ソフトウェアがどのようなオープンソースソフトウェア（OSS）のライブラリを組み込んでいるかが分かる。脆弱性が残っているライブラリのバージョンを組み込んでいる場合、これを検出できる。

　構成要素の1つ、Insignary Clarityは、利用しているOSSを特定してSBOM（SPDX形式やCycloneDX形式）を生成する、ソフトウェア構成分析（SCA）ツールである。特徴は、ソースコードがなくても、独自のフィンガープリント技術により、バイナリファイルからSBOMを生成できること。

　もう1つの構成要素である「MIRACLE Vul Hammer」は、アプリケーションを構成するOSやソフトウェアの脆弱性を調べて可視化する脆弱性管理ツールである（関連記事：脆弱性管理「MIRACLE Vul Hammer」新版、参照するDBを拡充して欧州法規制に対応）。SBOM情報と脆弱性データベースを突合し、影響範囲を特定し、対応の優先度を判定する。

　背景として、欧州サイバーレジリエンス法（CRA）が2027年12月全面適用になる。これに先行して2026年9月には、欧州に製品を出荷する製造業者や部品を納入する製造業者に脆弱性の報告義務が生まれる。

　サイバートラストによると、日本国内で流通している主要なSBOM生成ツールは、ソフトウェアのパッケージマネージャーを利用してSBOMを生成しており、取引先が納品するバイナリファイルからSBOMを生成することは難しい。