AGESTは2025年12月1日、「SBOM管理ツール」を発表した。2026年1月より提供開始する。日本語の機能・サポートにより、海外製品より安価かつ容易にSBOMを導入・運用できるとしている。価格(税別)は管理対象10台までで月額5万円、SBOM作成支援が1台10万円など。
AGEST(アジェスト)の「SBOM管理ツール」は、SBOM(ソフトウェア部品表)を管理するソフトウェアである。管理対象サーバーをスキャンしてSBOMを作成する機能と、作成したSBOMを基に、最新の脆弱性データベースと照合してリスクを判定し、推奨する対応策を提示する機能を備える(図1)。
図1:AGESTが開発した「SBOM管理ツール」の概要(出典:AGEST)拡大画像表示
SBOMはSoftware Bill of Materialsの略で、あるソフトウェアを構成するすべてのコンポーネントやライブラリおよびそれらの依存関係、ライセンス情報などを一覧にしたリスト(部品表)である。SBOMを参照することで、そのソフトウェアがどのようなオープンソースソフトウェア(OSS)のライブラリを使用しているかがわかる。脆弱性が内在するライブラリのバージョンを使用しているかを正確に調べることができる。
仕組みとして、米NISTの「National Vulunerability Database(NVD)」などの脆弱性情報データベースに基づいて脆弱性を検出し、CVSS(共通脆弱性評価システム)に沿って脆弱性の深刻度を評価する。また、検出した脆弱性が実際にソフトウェア内で使われているかを分析し、脆弱性やOSSのライセンス違反などがあれば修正の推奨策を提示する。検出したコンポーネントのサポート終了時期(EOL/EOS)も提示し、終了日に近づいたらアラートを出す。
「海外製のSBOM管理ツールは高価で、かつ運用負荷が高い」(AGEST)ことから、日本語の機能とサポートを備えた同ツールを開発した。海外製品より安価かつ容易にSBOMを導入・運用できるとしている。
2026年1月より提供開始する。価格(税別)は初期費用が10万円で、利用料は管理対象10台まで月額5万円。11台以降は1台追加ごとに月額5000円を加算。また、ユーザーに代わってSBOMを作成するサービスを1台10万円で提供する(ユーザー先でのオンサイト対応は個別見積もり)。
