脆弱性管理クラウド「yamory」、ウェブアプリとクラウドインフラ向けに新機能

今回は「脆弱性管理クラウド「yamory」、ウェブアプリとクラウドインフラ向けに新機能」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Visionalグループが運営する脆弱性管理クラウド「yamory(ヤモリー)」は8月24日、サーバー/コンテナーを対象とした脆弱性対策に加えて、新たにウェブアプリケーションとクラウドインフラを対象としたサービスの提供を開始した。

 Visionalグループ yamory事業部 事業部長の山路昇氏は、元エンジニアという立場で発見された脆弱性に対して徹夜で対応したり、いつどう攻撃されるか分からなかったりなど、セキュリティへの不安や負荷を常に抱えていた経験から、「yamoryを通じて、エンジニアが抱えるセキュリティに対する不安や負荷を少しでも軽減できるサービスを目指している」と語った。

 なお、Visionalグループは人材サービス「ビズリーチ」が創業事業で、現在はグループミッションとして「新しい可能性を、次々と。」を掲げて産業のデジタル変革(DX)を推進するさまざまなサービスを運営する。yamory事業は「インキュベーション(新規事業領域)」の中の「サイバーセキュリティ」事業と位置付けられる。

 yamoryは、ITシステムの脆弱性を自動で検知し、管理・対策が可能なサービスで、大きく「ソフトウェアの利用状況を自動把握」「yamory独自の脆弱性データベースと照合」「複数プロダクトレイヤーの脆弱性を危険度別に一元管理」の3ステップで脆弱性管理を行う。現在のITシステムは複雑化しており、一般的に「クラウドインフラ」「サーバー/コンテナー」「ウェブアプリケーション」の3レイヤーに対してそれぞれ正しくセキュリティ管理を行う必要がある。

 日本は米国などと比較してもセキュリティ人材の不足に悩む企業が多い傾向が顕著だが、この理由について山路氏は「米国ではセキュリティ人材が多いというよりも『セキュリティ業務がシステム化され、自動化/省力化されている』ために少ない人材でも対応できている」と指摘しており、yamoryによる脆弱性管理サービスもシステム化/省力化の一環と位置付けられる。

 従来は3レイヤーのうちのサーバー/コンテナー層に対して「ソフトウェア脆弱性自動検知・管理」を提供していたが、今回新たにウェブアプリケーション層とクラウドインフラ層に対して、それぞれ診断サービスを追加することでITシステムの全レイヤーを対象として脆弱性検知サービスを提供する体制が整う。

 さらに今後、2022年11月には、主にクラウドインフラの設定不備の検出やガイドラインに対する違反有無を継続的にチェックする自動検知サービス(Cloud Security Posture Management、CSPM)を開始する。また、2023年春にはウェブアプリケーション診断結果も、yamory上で管理可能となる計画だ。これにより、ITシステム全レイヤーの脆弱性の検知・対策履歴のデータをyamory上に蓄積することで、ITシステム全体のリスクを可視化し、網羅的な脆弱性対策をより少ない工数で対応できるようになるとしている。

 続いて、yamoryのユーザー企業としてサイボウズ 開発本部 PSIRTの長友比登美氏が同社におけるyamoryの活用事例を説明した。同社は「チームワークあふれる社会を創る」をパーパス(存在意義)として掲げ、グループウェア「サイボウズOffice」「サイボウズGaroon」や業務システム構築プラットフォーム「kintone」、メール共有システム「Mailwise」などのクラウドサービスを提供する。

 同社のセキュリティは、セキュリティ室と製品セキュリティの向上を目的とするPSIRT(Product Security Incident Response Team)を組み合わせた仮想組織「Cy-SIRT(Cybozu-Security INcident Response Team)」を中心として、提供サービスのゼロデイ脆弱性を早期に発見し改修することを目的としたさまざまな活動を行っている。

 yamoryの導入前は、自社製品で利用しているオープンソースソフトウェア(OSS)ライブラリーの情報を製品チームから集め、各ライブラリーのバージョン情報とどの製品で利用しているかをひも付けるための管理台帳を手動で作成した上で、OSSライブラリーの更新情報を週に1回確認するなど、脆弱性管理に45人日/月を要していたという。yamoryの選定理由は「必要な機能/欲しい機能がそろっていた」「導入が容易だった」の大きく2点で、導入後は脆弱性管理のための工数が10人日/月に減少したという。

 現在のソフトウェア開発は大量のOSSを活用して進められるため、こうしたソフトウェアコンポーネントに脆弱性が発見された場合に迅速に対応できる体制作りが不可欠となる。yamoryではこうした作業の多くを自動化し、クラウドプラットフォーム、アプリケーションの実行基盤となるサーバーやコンテナー環境、さらに自社開発のウェブアプリケーションのレイヤーまで網羅的に管理できるサービスへと進化し、「脆弱性対策をオールインワンで実現」するとしている。

元記事: https://japan.zdnet.com/article/35192296/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
生成型AIは企業をどう変えるのか–根本的に変わる顧客体験
IT関連
2023-03-07 14:40
ユーザーによる写真投稿数55万枚、美容医療の口コミ・予約アプリ「トリビュー」が10億円のシリーズB調達
IT関連
2022-02-02 01:30
AWSの新たな「ユーザー視点のパートナー施策」は奏功するか
IT関連
2022-03-18 14:21
GM、「ChatGPT」の技術による自動車向けAIアシスタントを計画か
IT関連
2023-03-16 20:52
Dropbox、AI搭載の検索ツールをベータ提供–開発背景やAI利用の方向性なども明らかに
IT関連
2023-07-13 22:44
グローバルのクラウドインフラ市場、市場の成長率が鈍化する中でAWSがシェア30%超を維持、AzureとGoogle Cloudは堅調。2022年第4四半期、Synergy ResearchとCanalysの調査結果
AWS
2023-02-14 17:07
AIによる不正取引検知の現状と将来性
IT関連
2022-03-30 23:41
東大、AI・データサイエンスの基礎教材を無償公開 豊富なスライドで学べる
ロボット・AI
2021-06-10 17:01
より高速なRubyのWebAssembly実装「Ruvy」、Shopifyがオープンソースで公開。Ruby仮想マシンとRubyアプリを組み合わせてビルド
Ruby
2023-10-20 19:01
Ubuntuベースの「Linux」でフォルダーの色を変更するには
IT関連
2022-12-23 22:06
Google、オーストラリアでも「News Showcase」を開始 首相は「建設的に話し合った」
企業・業界動向
2021-02-07 08:59
マイクロソフト、医療クラウドのセキュリティリファレンス公開
IT関連
2021-07-27 00:12
Google Meetに複数ピン留めや明るさ自動調整、背景置き換えなどの新機能追加
ネットサービス
2021-04-23 02:46
NFTの本当の可能性は「8月12日の三河屋のコーラ」にあり (1/3 ページ)
くわしく
2021-04-17 13:30