[新製品・サービス]

2026年1月6日(火)日川 佳三、河原 潤（IT Leaders編集部）

リスト

　AGEST（アジェスト）の「SBOM Archi（エスボム アーキ）」は、SBOM（ソフトウェア部品表）を管理するソフトウェアである。国産製品ならではの日本語の機能・サポートにより、海外製品より安価かつ容易にSBOMを導入・運用できるとしている（関連記事：AGEST、日本語に対応した国産のSBOM管理ツールを発表、2026年1月より月額5万円で提供）。

　管理対象サーバーをSSH経由でスキャンしてSBOMを作成するオンプレミスソフトウェアの「スキャナ」と、SBOMを基に脆弱性を診断するSaaSの「管理サイト」で構成する。

　自社で利用するソフトウェア製品の部品構成をSBOMにして、脆弱性を含むバージョンのオープンソースソフトウェア（OSS）を部品に使っているかを診断する。脆弱性の検出に、米NISTの「National Vulunerability Database（NVD）」などの脆弱性情報データベースを利用。同データベースなどに収録された既知の脆弱性が対象のソフトウェアに含まれているかを明らかにする（図1）。

図1：「SBOM Archi」の「スキャナ」と「管理サイト」が提供する主な機能（出典：AGEST）
拡大画像表示

　脆弱性の評価にあたっては、脆弱性のシステム上の深刻度を表したスコアであるCVSS（共通脆弱性評価システム）と、マシンラーニング（機械学習）で算出した、今後30日間に脆弱性が悪用される確率を示す「EPSS（The Exploit Prediction Scoring System）」を併用する。リスクを多次元的に評価することで、緊急対応が必要な真のリスクを特定できるとしている。

図2：「SBOM Archi」の利用方法（出典：AGEST）
拡大画像表示

　図2は、SBOM Archi」の利用の流れを示したものである。企業のシステム管理者が、入手したSBOMや実環境をスキャナで調べて生成したSBOMを管理サイトにアップロードすると診断が始まる。ライブラリなどの部品に潜む脆弱性やライセンス違反、EOL/EOSリスクを自動で検出し、一覧にする（画面1）。

画面1：SBOM Archiが脆弱性を検出して一覧化した画面の例（出典：AGEST）
拡大画像表示

　レコメンド機能を備えており、脆弱性/ライセンス違反に対する具体的な修正推奨策を提示する。リスクを抱えたソフトウェアのSBOMに対し、部品の入れ替えやバージョンアップをシミュレートする機能も持つ。また、Log4shellのような重大なインシデントが発生した際に、SBOMを横断検索してインシデントに対応済みかを確認する機能も備えている。

　価格（税別）は初期手数料が10万円で、利用料は管理対象10台まで月額5万円。11台以降は1台追加ごとに月額5000円を加算。また、ユーザーに代わってSBOMを作成するサービスを1台10万円で提供する（ユーザー先でのオンサイト対応は個別見積もり）。