SOMPOホールディングスは、脆弱(ぜいじゃく)性管理クラウド「yamory」を導入した。同サービスを提供するVisionalグループが発表した。
yamoryは、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービス。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現する。
SOMPOホールディングスは、効率的なSBOM(ソフトウェア部品表)対応やグループ全体での脆弱性管理によるセキュリティ強化のため、今回の導入に至ったという。
同社はyamoryについて、「多岐にわたるソフトウェアおよびインフラを単一の管理画面で効率よく管理できる」「ライブラリやフレームワークなど、依存関係を含むソフトウェア構成情報の管理と、SBOM対応が可能」「ソフトウェアのみならずIT資産の脆弱性管理が可能」「攻撃リスクを加味した、現実的なトリアージができる」などの点を評価している。
効率よく管理できる点は、デジタルサプライチェーン管理におけるアセットが全体で数万件を超えている同社にとって重要なポイントだったという。ソフトウェアサプライチェーン管理という観点では、1つのサービスで数万件という規模感になるため、ツールを活用しなければSBOMの管理も不可能となってしまう。そのため使いやすいツールが不可欠だった。さらにインフラの管理からアプリケーションの開発まで幅広く手掛けているため、アプリからサーバ、インフラ面まで一貫して管理できることが重要だったという。
ソフトウェアおよびインフラの一元管理イメージ
ソフトウェア構成情報の管理については、yamoryを利用することで、特定のライブラリが、どのソフトウェアでどう使われているかを簡単に把握できる。またSBOM対応では、同サービスでスキャンした構成情報を国際的なSBOM標準フォーマットでエクスポートできるという。
IT資産の脆弱性管理の面では、yamoryのIT資産登録機能により、アプリケーションだけでなく、インフラについても、利用しているゲートウェイ機器やファイアウォール機器などのIT資産を登録しておくと、OSに含まれる脆弱性を自動でチェックされる。
これまでSOMPOホールディングでは、グループ各社が独自にIT資産やソフトウェア情報を管理していたため、製品名・ソフトウェア名の表記揺れが発生し、自動スキャンツールでは脆弱性データベースとの突合が難しいという課題があった。yamoryでは、独自の脆弱性データベースおよび照合方法により、表記揺れにも対応できるという。
さらに同サービスではオートトリアージ機能に加え、攻撃リスク評価のため公認情報システム監査人(CISA)が公表している悪用が確認された脆弱性リスト「Known Exploited Vulnerabilities Catalog」(KEVカタログ)もリスク評価材料として加わっており、このこともSOMPOホールディングスは高く評価している。
オートトリアージとKEVカタログの照合により、現実的な対応が可能に