[新製品・サービス]

2025年12月23日(火)日川 佳三（IT Leaders編集部）

リスト

　アシュアードの「yamory（ヤモリー）」は、ソフトウェアの脆弱性を自動で検出し、対応策を通知するクラウドサービスである。ソフトウェアに含まれるオープンソース（OSS）を抽出して脆弱性データベースと照合し、サイバー攻撃の危険度などを基に、対応の優先度を自動で分類する（関連記事：脆弱性管理クラウド「yamory」にランタイムのサポート終了を検出する機能を追加─アシュアード）。

図1：オートトリアージ機能の自動判定ロジック（出典：アシュアード）
拡大画像表示

　yamoryの特徴の1つに、対応の優先度を自動で判断する「オートトリアージ機能」がある（図1）。CVSS（共通脆弱性評価システム）の深刻度スコアだけでなく、攻撃コードが流通しているか、外部からアクセス可能かなど、現実に攻撃を受けるリスクを複合的に分析して脆弱性の危険度を判定する。

　今回、エンタープライズプランに「オートトリアージカスタマイズ機能」が加わった。トリアージの自動判定ロジックをカスタマイズして、組織独自のリスク評価基準を組み込めるようになった。これにより、自社の攻撃対象領域やリスク許容度に応じて、対応が必須の脆弱性に絞って対策をとれる。

　判定ロジックの条件として、CVSSの「攻撃元区分」と「脆弱性種別」を組み合わせた条件を、各レイヤーで最大5つまで設定できる。例として、攻撃元区分が「ネットワーク経由」、脆弱性種別が「RCE（リモートコード実行）/認証バイパス」の脆弱性を重視する設定を追加する、といったカスタマイズが可能である（画面1）。

画面1：トリアージの自動判定条件を設定する画面（出典：アシュアード）
拡大画像表示

　コンテナイメージにおいては、ホストOS/ディストリビューション（Ubuntu、Oracle Linux、Amazon Linux、Red Hat Enterprise Linux、Alpine、Debian、FreeBSD、Windows）ごとに個別の条件設定が可能である。