脆弱性管理クラウド「yamory」、Webアプリとクラウドインフラのセキュリティ診断

Visionalグループのアシュアードは8月24日、同社が提供する脆弱性管理クラウド「yamory(ヤモリー)」がWebアプリケーションとクラウドインフラのセキュリティ診断サービスを開始するとオンライン説明会で発表した。

日本企業の9割がセキュリティ人材の不足を感じている

yamoryは、これまでITシステムのライブラリ・フレームワーク、ミドルウェア・開発言語、OSの脆弱性を対象としてきたが、新サービスの開始でITシステムの全レイヤを対象とした脆弱性対策が可能になる。

現状認識として、アシュアード yamory事業部事業部長の山路昇氏は「この10年でサイバー攻撃は約110倍に拡大している。ITシステムのWebアプリケーションの層は、さまざまな機能要求によるシステムの肥大化、サーバ・コンテナの層ではシステムを支える膨大なソフトウェアと管理、クラウドインフラの層はオンプレミスからの意向でクラウドインフラサービスの利用増加などを要因にITシステム環境が複雑化している。そのため、各レイヤに対して正しく対処する必要がある」との認識を示した。

アシュアード yamory事業部事業部長の山路昇氏

国内においてDX(デジタルトランスフォーメーション)が進展するなか、ITシステムの脆弱性を狙ったサイバー攻撃の被害は拡大しており、実際にIPA(情報処理推進機構)の「情報セキュリティ10大脅威 2022」は半数以上が脆弱性に関する脅威が挙げられているほか、米国立標準技術研究所(NIST)が確認した脆弱性は直近5年で3倍超に達することから、自社のITシステムをサイバー攻撃から守るため、脆弱性対策は必要不可欠だという。

しかし、日本企業の9割がセキュリティ人材の不足を感じており、十分な対策ができていない。一方で、人材不足を感じる企業が1割にとどまる米国では、充足している理由として約4割の企業が「セキュリティ業務がシステムなどにより自動化・省力化されているため」と回答し、人的リソースに依存しない仕組みの整備が人材不足解消の一手であることが伺えるとしている。

山路氏は「レイヤごとに異なる専門知識が必要であり、ツールなど対策方法もバラバラで属人的な運用になっており、網羅的に管理・対策することが困難だ。また、これまでyamoryはサーバ・コンテナを対象としたソフトウェア脆弱性自動検知・管理を提供していたが、新サービスはWebアプリケーションとクラウドのセキュリティ診断を加えることで、全レイヤを対象に脆弱性の検知ができるようになる」と説明した。

ITシステムの各レイヤが複雑化している

従来、yamoryではITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスを提供することで、企業の効率的な脆弱性対策を支援しており、複雑化するITシステムに必要な脆弱性対策に対応し、検知した脆弱性リスクをすべて管理することで、網羅的な対策をより少ない工数で実現するため、新サービスを開始する。

一般的にWebアプリケーション、クラウドインフラはプロフェッショナルによる定期監査が必要となる。

そのため、Webアプリケーション診断ではプログラムの設計やセキュアなコーディングをチェックするほか、クラウドインフラのセキュリティ診断は設定不備の有無などをチェックする。こうしたセキュリティ診断をyamoryで対応することで、ITシステムの全レイヤの脆弱性対策が可能になるという。