SOMPOホールディングス(本社:東京都新宿区)は、アシュアードのソフトウェア脆弱性管理クラウドサービス「yamory(ヤモリー)」を導入した。yamoryの活用によって、SBOM(ソフトウェア部品表)を効率よく管理できるようになった。アシュアード親会社のビジョナルが2023年8月9日に発表した。
SOMPOホールディングスは、アシュアードのソフトウェア脆弱性管理クラウドサービス「yamory(ヤモリー)」を導入した(関連記事:脆弱性管理ツール「yamory」、クラウド設定不備の診断やWeb外部診断も可能に─アシュアード)。
SOMPOホールディングスが保有するソフトウェア資産は、1つのサービスで数万件の規模になる。そのため、SBOM(Software Bill of Materials:ソフトウェア部品表、エスボム)を効率よく管理するには、ソフトウェア構成と脆弱性を可視化・管理するツールが必要だったという。
yamoryの導入効果の1つとして同社は、依存関係を含んだソフトウェア構成情報をSBOMと対応づけられることを挙げる。例えば、Apache Log4jのようなライブラリが、どのソフトウェアで使われているかを簡単に見つけ出せる(画面1)。また、yamoryは、スキャンしたソフトウェア構成情報をSBOMの標準形式で出力可能であり、SBOMの管理に役立っている。
画面1:Apache Log4jのようなライブラリが、どのソフトウェアで使われているかを見つけ出せる(出典:ビジョナル)拡大画像表示
また、アプリケーション/ソフトウェアライブラリだけでなく、ネットワーク機器やゲートウェイサーバーなどのOSソフトウェアに含まれる脆弱性もチェックできる点や、ソフトウェア資産全体を管理するにあたり、製品名やソフトウェア名の表記揺れを吸収する点も評価している(画面2)。
同社では従来、グループ各社が独自にIT資産やソフトウェア情報を管理していたことから、製品名やソフトウェア名の表記揺れが発生していた。このことから、自動スキャンツールでは脆弱性データベースとの突合が難しいという課題があった。導入したyamoryは、独自の脆弱性データベースと照合方法を使うことによって表記揺れを吸収する。
画面2:ソフトウェア資産全体を管理するにあたり、製品名やソフトウェア名の表記揺れを吸収する(出典:ビジョナル)拡大画像表示
加えて、攻撃リスクを加味した現実的なトリアージが可能な点も評価する。yamoryは元々備えるトリアージ機能に加えて、「Known Exploited Vulnerabilities Catalog」(KEVカタログ:攻撃リスクを評価する目的でCISAが公表している悪用を確認済みの脆弱性リスト)も、リスク評価の材料として使う。yamoryのトリアージとKEVカタログを照合することで、脆弱性の検知数が多い際に、リスクが高い脆弱性を絞り込める(画面3)。
画面3:yamoryのトリアージとKEVカタログを照合することで、脆弱性の検知数が多い際に、リスクが高い脆弱性を絞り込む(出典:ビジョナル)拡大画像表示
