Visionalグループのビジョナル・インキュベーションは8月26日、同社が提供する脆弱性管理クラウド「yamory(ヤモリー)」にITシステムのOS(オペレーティングシステム)とミドルウェア・開発言語の脆弱性を自動で検知し管理・対策ができる機能と、オープンソースのライセンス情報を可視化してライセンス違反を検知する機能の提供を開始した。
yamoryは、ITシステムに潜む脆弱性を自動で検知し、管理・対策ができるクラウドサービス。これまでは、アプリケーション内で利用されているライブラリ・フレームワークにおける脆弱性を対象としてきたが、新機能ではITシステムの脆弱性とオープンソースのライセンス違反を一元管理できるという。
ビジョナル・インキュベーション yamory事業責任者の高橋則行氏は「yamoryの提供開始から2年が経ち、ユーザーが抱える課題点を集めて抽出した結果、運用後のサーバ上にある脆弱性への対応とライセンス違反を起こさないようにコンプライアンスを遵守する必要があり、これらを管理するために新機能を追加した」と話す。
脆弱性の管理・対策をすることでサイバー攻撃から身を守り、ITシステムからの情報漏えいとオープンソースライセンス違反による法的リスクを軽減するとしている。
既知の脆弱性に対するサイバー攻撃のリスクに対して十分な対応ができていない背景には、ITシステムの多様化と管理者による属人的な対応が挙げられ、新しい技術が次々に生まれて会社や事業、サービスごとに最適な開発環境が変わり続けているため、ITシステムの多様化が進んでいる。
そのような状況下において、開発、運用、セキュリティの各担当者がITシステムの利用状況を把握したうえで、それらに含まれる脆弱性情報を属人的に収集しているケースが多いことから、網羅的に適切な管理・対策をすることが難しいのが現状となっているという。
yamoryは、常に最新の脆弱性情報と攻撃用コードをyamory独自で収集し、ITシステムの利用状況と照合し、脆弱性を可視化するほか、オートトリアージ機能(特許取得済み)は脆弱性ごとに流通している攻撃コードを収集することで、悪用される可能性の高い脆弱性をリスクの大きさに応じて自動で分類する。これにより、ITシステムが抱える多くの脆弱性から緊急度が高く、直ちに対策すべき脆弱性を可視化し、漏れなくスピーディーに対応することができるという。
今回、追加した機能はOSとミドルウェア・開発言語への対応と、オープンソースライセンス違反の検知の2つ。OSとミドルウェア・開発言語への対応では、これまで、アプリケーション内で利用されているライブラリ・フレームワークにおける脆弱性に対応していたが、新機能ではOS、ミドルウェア・開発言語の脆弱性も自動検知し、管理・対策ができるようになる。
オープンソースライセンス違反の検知では、オープンソースは誰でも自由に無償で入手できるメリットがある一方で、それぞれのオープンソースで利用時のライセンス(ソフトウェアの利用許諾契約書)が定められていることから、利用条件を把握せずに意図せず著作権を侵害してしまうリスクが存在しており、損害賠償やソースコードの公開を請求されるなど、経営上の大きな損失につながるケースが多数発生している。そのため、ITシステムのオープンソースの利用状況とともに、それぞれのライセンス情報も管理することで、違反を防ぐことを可能としている。
高橋氏は、今後のロードマップとして「脆弱性の対応を自動化していくことがyamoryの基本的なポリシーのため、今後はアップデート用のコマンドを作り、システムに対してリモートでの更新やパブリッククラウドの情報をスキャンして取り込み、管理する機能の提供を検討している」と展望を語っていた。