SOMPO、脆弱性管理クラウド「yamory」を導入–SBOM対応やセキュリティ強化に

今回は「SOMPO、脆弱性管理クラウド「yamory」を導入–SBOM対応やセキュリティ強化に」についてご紹介します。

関連ワード (クラウド等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 SOMPOホールディングスは、脆弱(ぜいじゃく)性管理クラウド「yamory」を導入した。同サービスを提供するVisionalグループが発表した。

 yamoryは、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービス。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現する。

 SOMPOホールディングスは、効率的なSBOM(ソフトウェア部品表)対応やグループ全体での脆弱性管理によるセキュリティ強化のため、今回の導入に至ったという。

 同社はyamoryについて、「多岐にわたるソフトウェアおよびインフラを単一の管理画面で効率よく管理できる」「ライブラリやフレームワークなど、依存関係を含むソフトウェア構成情報の管理と、SBOM対応が可能」「ソフトウェアのみならずIT資産の脆弱性管理が可能」「攻撃リスクを加味した、現実的なトリアージができる」などの点を評価している。

 効率よく管理できる点は、デジタルサプライチェーン管理におけるアセットが全体で数万件を超えている同社にとって重要なポイントだったという。ソフトウェアサプライチェーン管理という観点では、1つのサービスで数万件という規模感になるため、ツールを活用しなければSBOMの管理も不可能となってしまう。そのため使いやすいツールが不可欠だった。さらにインフラの管理からアプリケーションの開発まで幅広く手掛けているため、アプリからサーバ、インフラ面まで一貫して管理できることが重要だったという。

 ソフトウェア構成情報の管理については、yamoryを利用することで、特定のライブラリが、どのソフトウェアでどう使われているかを簡単に把握できる。またSBOM対応では、同サービスでスキャンした構成情報を国際的なSBOM標準フォーマットでエクスポートできるという。

 IT資産の脆弱性管理の面では、yamoryのIT資産登録機能により、アプリケーションだけでなく、インフラについても、利用しているゲートウェイ機器やファイアウォール機器などのIT資産を登録しておくと、OSに含まれる脆弱性を自動でチェックされる。

 これまでSOMPOホールディングでは、グループ各社が独自にIT資産やソフトウェア情報を管理していたため、製品名・ソフトウェア名の表記揺れが発生し、自動スキャンツールでは脆弱性データベースとの突合が難しいという課題があった。yamoryでは、独自の脆弱性データベースおよび照合方法により、表記揺れにも対応できるという。

 さらに同サービスではオートトリアージ機能に加え、攻撃リスク評価のため公認情報システム監査人(CISA)が公表している悪用が確認された脆弱性リスト「Known Exploited Vulnerabilities Catalog」(KEVカタログ)もリスク評価材料として加わっており、このこともSOMPOホールディングスは高く評価している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
CTCテクノロジー、AIを活用したマネージドサービスを提供
IT関連
2024-02-04 03:34
クロスボーダー送金のWiseがロンドン証券取引所に直接上場へ
フィンテック
2021-06-20 03:02
CopilotがRPA(Robotic Process Automation)のスクリプト生成や生成支援に対応、Power Automate for desktopで。Ignite 2023
Microsoft
2023-11-17 17:22
ネットワンシステムズ、「Celonis EMS」導入–業務プロセスを可視化し改善効果を測定
IT関連
2023-01-20 01:01
GitHubを解雇された社員が復職を断り「友好的解決」を達成
ネットサービス
2021-03-17 06:18
PS4版「Apex Legends」、データ初期化のバグが発生 開発元「DDoS攻撃を受けた」
セキュリティ
2021-04-07 01:44
ネットワークの推奨帯域を満たす小・中・高等学校は約2割–文科省
IT関連
2024-04-28 15:31
チヌ→クロダイ、カサゴ→ボッカ──魚の「地方名」と「標準和名」を自動変換 産地と食品スーパーの取引アプリに新機能
企業・業界動向
2021-06-10 05:05
Splunk、製品ポートフォリオ全体にAI拡張機能を組み込み
IT関連
2024-06-14 17:30
阪大、クラウド連動型HPC・HPDAシステム「SQUID」の運用を開始
IT関連
2021-05-07 14:33
「Go」、2月のTIOBE指標で過去最高8位に
IT関連
2024-02-14 08:32
富士通が社会課題の解決を目指す「Uvance」に注力する理由–高橋執行役員が力説
IT関連
2023-07-19 07:13
眼科手術ロボットスタートアップForSightが約11億円を調達
ロボティクス
2021-03-11 08:18
日本HP、リモートアクセスやハイブリッドワークを実現する新ワークステーション
IT関連
2023-04-20 00:44