Visionalグループのビジョナル・インキュベーションが運営する脆弱性管理クラウド「yamory(ヤモリー)」は4月21日、コンテナイメージ(コンテナ仮想化技術)内の脆弱性を自動で検知し、管理・対策ができる機能をリリースした。

  • 「yamory」でコンテナイメージの脆弱性を自動検知する機能をリリースした

    「yamory」でコンテナイメージの脆弱性を自動検知する機能をリリースした

yamoryは、ITシステムに潜む脆弱性を自動で検知し、管理・対策ができるクラウドサービス。これまで、アプリケーション内で利用されているライブラリ・フレームワークの脆弱性を対象としてきたが、昨年8月にはサーバホスト内で利用されるOS、ミドルウェア・開発言語への対応を開始している。

今回の新機能により、利用が急速に広まっているコンテナイメージへの対応を開始することでソフトウェア開発における統合的な脆弱性管理を可能とし、システムレイヤーごとに異なるツールを利用することなく、yamoryで一元管理ができるようになる。

ビジョナル・インキュベーション yamory事業責任者の山路昇氏は「Docker Hub(コンテナを共有するプラットフォーム)にアップロードされた約400万のコンテナイメージの51%に悪用可能な脆弱性が発見されておいる。安全なコンテナを使いサービスを提供し続けることは急務であるが、それ以上のスピードで利用が広がっている。エンジニアが属人的にコンテナのセキュリティを守ることが困難な状況となっている。そのため、yamoryのようなツールを用いて自動的に脆弱性を検出して、対応が必要なっていることから新機能を開発した」と話す。

  • ビジョナル・インキュベーション yamory事業責任者の山路昇氏

    ビジョナル・インキュベーション yamory事業責任者の山路昇氏

近年、コンテナの活用は急速に広がっており、日本国内でコンテナを導入済み、または検証段階や導入計画中の組織は、2016年では25%だったのが、2021年には約57%にのぼっている。海外においては、コンテナを本番環境で利用しているのは92%に及ぶことから、今後は国内でもコンテナの活用がより加速していくことが想定されている。

コンテナの活用で開発効率を向上できると同時に、品質向上にもつなげられるものの、セキュリティリスクへの対応が必要となっている。

yamoryはこれまで、アプリライブラリ、フレームワーク、ミドルウェア・OSの脆弱性を対象としてきたが、新機能によりコンテナイメージの脆弱性にも対応を開始することで、ソフトウェアの統合的な脆弱性管理・検知・対策が可能になる。

新機能は、これまですべてのシステムレイヤーの脆弱性を管理するためには、それぞれのレイヤーに対してツールを分ける必要があったが、yamoryでは今回の新機能でコンテナも対象になったことから、システム開発・運用時に管理しなくてはいけない利用しているソフトウェアの脆弱性をyamoryのみで統合的に管理することが可能。これにより、効率的で網羅的な脆弱性の検知、管理・対策を実現するという。

  • 各レイヤ―を一元管理できる

    各レイヤ―を一元管理できる

また、脆弱性ごとに流通している攻撃コードを収集することで、悪用される可能性の高い脆弱性をリスクの大きさに応じて自動で分類する機能のオートトリアージ機能(特許取得済み)は、ITシステムが抱える多くの脆弱性のから、緊急度が高く直ちに対策すべき脆弱性を可視化し、漏れなくスピーディーに対応することができる。

  • オートトリアージ機能の概要

    オートトリアージ機能の概要

さらに、検知された脆弱性情報はyamory上で脆弱性の詳細(公表元、CVSSスコア、攻撃コードなど)や対応方法も含め、日本語表記ですべての情報を確認できることに加え、チームや組織で脆弱性を管理できるように各脆弱性のステータス管理、タイムラインでコメントを残すことも可能としている。

  • 脆弱性情報の管理画面

    脆弱性情報の管理画面

コンテナイメージスキャンのサポートOSはLinux、ディストリビューションはUbuntu(サポートバージョンは14、16、18、19、20)、Red Hat Enterprise Linux/CentOS(同5、6、7、8)、Debian(同7、8、9、10、11)、Amazon Linux(同2)、Alpine Linux(3.2以下、3,15以上)となる。