脆弱性管理クラウド「yamory」、ウェブアプリとクラウドインフラ向けに新機能

今回は「脆弱性管理クラウド「yamory」、ウェブアプリとクラウドインフラ向けに新機能」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Visionalグループが運営する脆弱性管理クラウド「yamory(ヤモリー)」は8月24日、サーバー/コンテナーを対象とした脆弱性対策に加えて、新たにウェブアプリケーションとクラウドインフラを対象としたサービスの提供を開始した。

 Visionalグループ yamory事業部 事業部長の山路昇氏は、元エンジニアという立場で発見された脆弱性に対して徹夜で対応したり、いつどう攻撃されるか分からなかったりなど、セキュリティへの不安や負荷を常に抱えていた経験から、「yamoryを通じて、エンジニアが抱えるセキュリティに対する不安や負荷を少しでも軽減できるサービスを目指している」と語った。

 なお、Visionalグループは人材サービス「ビズリーチ」が創業事業で、現在はグループミッションとして「新しい可能性を、次々と。」を掲げて産業のデジタル変革(DX)を推進するさまざまなサービスを運営する。yamory事業は「インキュベーション(新規事業領域)」の中の「サイバーセキュリティ」事業と位置付けられる。

 yamoryは、ITシステムの脆弱性を自動で検知し、管理・対策が可能なサービスで、大きく「ソフトウェアの利用状況を自動把握」「yamory独自の脆弱性データベースと照合」「複数プロダクトレイヤーの脆弱性を危険度別に一元管理」の3ステップで脆弱性管理を行う。現在のITシステムは複雑化しており、一般的に「クラウドインフラ」「サーバー/コンテナー」「ウェブアプリケーション」の3レイヤーに対してそれぞれ正しくセキュリティ管理を行う必要がある。

 日本は米国などと比較してもセキュリティ人材の不足に悩む企業が多い傾向が顕著だが、この理由について山路氏は「米国ではセキュリティ人材が多いというよりも『セキュリティ業務がシステム化され、自動化/省力化されている』ために少ない人材でも対応できている」と指摘しており、yamoryによる脆弱性管理サービスもシステム化/省力化の一環と位置付けられる。

 従来は3レイヤーのうちのサーバー/コンテナー層に対して「ソフトウェア脆弱性自動検知・管理」を提供していたが、今回新たにウェブアプリケーション層とクラウドインフラ層に対して、それぞれ診断サービスを追加することでITシステムの全レイヤーを対象として脆弱性検知サービスを提供する体制が整う。

 さらに今後、2022年11月には、主にクラウドインフラの設定不備の検出やガイドラインに対する違反有無を継続的にチェックする自動検知サービス(Cloud Security Posture Management、CSPM)を開始する。また、2023年春にはウェブアプリケーション診断結果も、yamory上で管理可能となる計画だ。これにより、ITシステム全レイヤーの脆弱性の検知・対策履歴のデータをyamory上に蓄積することで、ITシステム全体のリスクを可視化し、網羅的な脆弱性対策をより少ない工数で対応できるようになるとしている。

 続いて、yamoryのユーザー企業としてサイボウズ 開発本部 PSIRTの長友比登美氏が同社におけるyamoryの活用事例を説明した。同社は「チームワークあふれる社会を創る」をパーパス(存在意義)として掲げ、グループウェア「サイボウズOffice」「サイボウズGaroon」や業務システム構築プラットフォーム「kintone」、メール共有システム「Mailwise」などのクラウドサービスを提供する。

 同社のセキュリティは、セキュリティ室と製品セキュリティの向上を目的とするPSIRT(Product Security Incident Response Team)を組み合わせた仮想組織「Cy-SIRT(Cybozu-Security INcident Response Team)」を中心として、提供サービスのゼロデイ脆弱性を早期に発見し改修することを目的としたさまざまな活動を行っている。

 yamoryの導入前は、自社製品で利用しているオープンソースソフトウェア(OSS)ライブラリーの情報を製品チームから集め、各ライブラリーのバージョン情報とどの製品で利用しているかをひも付けるための管理台帳を手動で作成した上で、OSSライブラリーの更新情報を週に1回確認するなど、脆弱性管理に45人日/月を要していたという。yamoryの選定理由は「必要な機能/欲しい機能がそろっていた」「導入が容易だった」の大きく2点で、導入後は脆弱性管理のための工数が10人日/月に減少したという。

 現在のソフトウェア開発は大量のOSSを活用して進められるため、こうしたソフトウェアコンポーネントに脆弱性が発見された場合に迅速に対応できる体制作りが不可欠となる。yamoryではこうした作業の多くを自動化し、クラウドプラットフォーム、アプリケーションの実行基盤となるサーバーやコンテナー環境、さらに自社開発のウェブアプリケーションのレイヤーまで網羅的に管理できるサービスへと進化し、「脆弱性対策をオールインワンで実現」するとしている。

元記事: https://japan.zdnet.com/article/35192296/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
マイクロソフトの「Bing」、「ChatGPT」のデフォルト検索エンジンに
IT関連
2023-05-25 11:22
約1分で寝床ができる「ポンプ一体エアーマット」、キングジムが発売 オフィスの防災備蓄品に
くらテク
2021-04-07 08:20
インターネット犯罪被害額は2021年も拡大、69億ドル超に–FBI報告書
IT関連
2022-03-24 03:51
あらゆる脅威に備えを–忘れがちだが重要な4つのセキュリティ対策
IT関連
2024-01-30 18:13
一時低迷していたクラウドインフラのグローバル成長率、再上昇へ。2024年第1四半期は前年比21%成長、日本は25%以上の高成長。Synergy Research Group
AWS
2024-05-29 13:03
シャープ、2年ぶり営業黒字–事業譲渡などのアセットライト化も進展
IT関連
2024-11-15 19:31
北國FHD、BIPROGYらと次世代地域デジタル基盤構築に向けたプロジェクト検討
IT関連
2023-01-19 22:26
ドコモ、店舗にメルカリの無人投函ボックス 携帯ショップで初
企業・業界動向
2021-02-05 19:11
マカフィー、「MVISION CNAPP」の一般提供を開始
IT関連
2021-04-22 18:56
Amazon Musicのハイレゾ、Unlimitedプランで無料に(日本は対象外)
アプリ・Web
2021-05-19 01:32
「ピカチュウジェット」沖縄の空へ ポケモン社全面協力 版権使用料なしで観光支援
くらテク
2021-06-22 16:48
イトーキ、データ事業に本腰–オフィスの進化を導く「Data Trekking」提供
IT関連
2024-02-17 05:18
「PUI PUI モルカー」のBD/DVD予約開始 エンドレスに再生できる“無限モルカー”仕様
くらテク
2021-03-24 18:16
[速報]Googleの生成的AI「Bard」が日本語に対応。ウェイトリストもなくなり、すぐに利用できるように。Google I/O 2023
Google
2023-05-11 02:15