SOMPO、脆弱性管理クラウド「yamory」を導入–SBOM対応やセキュリティ強化に

今回は「SOMPO、脆弱性管理クラウド「yamory」を導入–SBOM対応やセキュリティ強化に」についてご紹介します。

関連ワード (クラウド等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 SOMPOホールディングスは、脆弱(ぜいじゃく)性管理クラウド「yamory」を導入した。同サービスを提供するVisionalグループが発表した。

 yamoryは、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービス。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現する。

 SOMPOホールディングスは、効率的なSBOM(ソフトウェア部品表)対応やグループ全体での脆弱性管理によるセキュリティ強化のため、今回の導入に至ったという。

 同社はyamoryについて、「多岐にわたるソフトウェアおよびインフラを単一の管理画面で効率よく管理できる」「ライブラリやフレームワークなど、依存関係を含むソフトウェア構成情報の管理と、SBOM対応が可能」「ソフトウェアのみならずIT資産の脆弱性管理が可能」「攻撃リスクを加味した、現実的なトリアージができる」などの点を評価している。

 効率よく管理できる点は、デジタルサプライチェーン管理におけるアセットが全体で数万件を超えている同社にとって重要なポイントだったという。ソフトウェアサプライチェーン管理という観点では、1つのサービスで数万件という規模感になるため、ツールを活用しなければSBOMの管理も不可能となってしまう。そのため使いやすいツールが不可欠だった。さらにインフラの管理からアプリケーションの開発まで幅広く手掛けているため、アプリからサーバ、インフラ面まで一貫して管理できることが重要だったという。

 ソフトウェア構成情報の管理については、yamoryを利用することで、特定のライブラリが、どのソフトウェアでどう使われているかを簡単に把握できる。またSBOM対応では、同サービスでスキャンした構成情報を国際的なSBOM標準フォーマットでエクスポートできるという。

 IT資産の脆弱性管理の面では、yamoryのIT資産登録機能により、アプリケーションだけでなく、インフラについても、利用しているゲートウェイ機器やファイアウォール機器などのIT資産を登録しておくと、OSに含まれる脆弱性を自動でチェックされる。

 これまでSOMPOホールディングでは、グループ各社が独自にIT資産やソフトウェア情報を管理していたため、製品名・ソフトウェア名の表記揺れが発生し、自動スキャンツールでは脆弱性データベースとの突合が難しいという課題があった。yamoryでは、独自の脆弱性データベースおよび照合方法により、表記揺れにも対応できるという。

 さらに同サービスではオートトリアージ機能に加え、攻撃リスク評価のため公認情報システム監査人(CISA)が公表している悪用が確認された脆弱性リスト「Known Exploited Vulnerabilities Catalog」(KEVカタログ)もリスク評価材料として加わっており、このこともSOMPOホールディングスは高く評価している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
鈴与、AGVを活用した次世代物流センター–データ分析で業務を最適化
IT関連
2025-02-05 19:29
竹富町、統合型セキュリティ基盤を採用–有人離島での住民サービスなど向上へ
IT関連
2024-01-12 20:43
Raspberry Pi財団がPicoに搭載したRaspberryシリコン「RP2040」を一般向けに発売開始
ハードウェア
2021-06-03 07:41
Webマーケのトレンダーズが異例の「ラノベ共創サービス」 「新入社員の熱烈アピール」で新規事業化
企業・業界動向
2021-08-14 14:36
「Linux」、バージョン6.1でRustを導入へ–トーバルス氏が明言
IT関連
2022-09-21 18:01
Tailor Technologies、「ChatGPT」から会話形式でシステムを操作できるプラグイン公開
IT関連
2023-09-05 10:56
OpenAI、AI搭載の検索エンジン「SearchGPT」公開
IT関連
2024-07-27 20:56
Facebook、バイデン大統領の「人々を殺している」に反論 「米政府よりワクチン接種に貢献している」
企業・業界動向
2021-07-20 10:23
NY州で米国初のワクチンパスポート、IBMの技術活用–導入進展へ期待
IT関連
2021-03-30 23:28
マイクロソフト、欧州で懸念されていたクラウドライセンシングのルールを緩和へ
IT関連
2022-05-21 18:17
日本の社員の40%がハイブリッドワークで生産性と仕事の質の向上を実感—シスコ調査
IT関連
2022-06-03 06:27
「Windows 365」の無料試用枠、1日で予定数に達して終了(再開予定あり)
アプリ・Web
2021-08-06 17:44
「4MLinux」レビュー–初期の「Linux」風の雰囲気を備えた個性的なディストロ
IT関連
2025-01-31 08:39
時価27万円以上の北米版「クロノトリガー」も―スーファミやメガドラ用ゲーム未開封数百本が倉庫から28年ぶりに発掘
IT関連
2022-02-22 18:11