〜ソフトウェアの統合的な脆弱性管理が可能に〜

2022年4月21日

ビジョナル・インキュベーション株式会社

 Visionalグループのビジョナル・インキュベーション株式会社(所在地:東京都渋谷区/代表取締役社長:村田 聡)が運営する脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下、yamory)は、コンテナイメージ(コンテナ仮想化技術)内の脆弱性を自動で検知し、管理・対策ができる機能を2022年4月21日に開始します。

 

 yamoryは、ITシステムに潜む脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。これまで、アプリケーション内で利用されているライブラリ・フレームワークの脆弱性を対象としてきたなか、2021年8月にはサーバーホスト内で利用されるOS、ミドルウェア・開発言語への対応を開始、この度の新機能で、ここ数年で利用が急速に広まっているコンテナイメージへの対応を開始、これによりソフトウェア開発における統合的な脆弱性管理が可能となり、システムレイヤーごとに異なるツールを利用することなく、yamoryで一元管理が出来るようになります。

コンテナイメージの半数以上に悪用可能な脆弱性が存在。セキュリティリスクへの対処が急務

 近年、コンテナの活用は急速に広がっており、日本国内でコンテナを導入済み、または検証段階や導入計画中の組織は、2016年では25%だったのが、2021年には約57%にのぼっています(※1)。海外においては、コンテナを本番環境で利用しているのは92%におよぶことから(※2)、今後日本でもコンテナの活用がより加速していくことが想定されます。

 一方で、Docker Hub(コンテナを共有するプラットフォーム)にアップロードされた約400万のコンテナイメージの51%以上に悪用可能な脆弱性が発見されており(※3)、サイバー攻撃のリスクに晒されています。

 

 コンテナの活用によって開発効率を大幅に向上できると同時に、品質向上にも繋げられる一方で、深刻なセキュリティリスクへの対処が急務であることが伺えます。

 

※1 参照:IDC Japan 株式会社「2021 年 国内クラウドネイティブ技術 ユーザー動向調査」

※2 参照:CNCF(Cloud Native Computing Foundation)「CNCF SURVEY 2020」

※3 参照:Prevasio「Operation "Red Kangaroo"」

 

yamoryでソフトウェアの統合的な脆弱性管理が可能

 yamoryはこれまで、アプリライブラリ、フレームワーク、そしてミドルウェア・OSの脆弱性を対象としてきましたが、新機能によりコンテナイメージの脆弱性にも対応を開始することで、ソフトウェアの統合的な脆弱性管理・検知・対策が可能になります。

 

<機能詳細>

  1. システム開発・運用時に構成されるすべてのシステムレイヤーを統合的に管理可能

     これまで、すべてのシステムレイヤーの脆弱性を管理するためには、それぞれのレイヤーに対してツールを分ける必要がありました。yamoryでは、今回の新機能によりコンテナも対象になったことから、システム開発・運用時に管理しなくてはいけない利用しているソフトウェアの脆弱性をyamoryのみで統合的に管理することが可能になります。これにより、より効率的で網羅的な脆弱性の検知、管理・対策を実現します。

 

  1. アプリケーション、ミドルウェア・OSにおける脆弱性管理でも活用されるオートトリアージ機能(特許取得済み)、ステータス管理などのyamory独自機能も搭載

     オートトリアージ機能(特許取得済み)は、脆弱性ごとに流通している攻撃コードを収集することで、悪用される可能性の高い脆弱性をリスクの大きさに応じて自動で分類する機能です。これにより、ITシステムが抱える多くの脆弱性のなかから、緊急度が高く直ちに対策すべき脆弱性を可視化し、漏れなくスピーディーに対応することが可能です。このyamory独自の機能を、コンテナイメージスキャンにおいても活用できます。
     また、検知された脆弱性情報は、yamory上で脆弱性の詳細(公表元、CVSSスコア、攻撃コードなど)や対応方法も含め、日本語表記で全ての情報を確認できます。加えて、チームや組織で脆弱性を管理できるように各脆弱性のステータス管理や、タイムラインでコメントを残すことも可能です。

 

先行ご利用企業様コメント/Chatwork株式会社 プロダクトセキュリティ部 新沼 孝之 氏

 yamoryの導入によって、弊社の課題であったライブラリの脆弱性管理運用の問題が解決しました。これまで多くのプロジェクトで導入し、現在も運用を続けています。

 コンテナイメージスキャン機能の検証に際しては、「軽量スキャン」「脆弱性結果が分かりやすいダッシュボード」「スキャン導入の手間が少ない」の三点が大変有効だと感じました。

 これによって、OS・ミドルウェアからコンテナイメージ・アプリケーションライブラリまでを統合的にyamoryで管理できるようになり、脆弱性管理運用の理想的な形を実現することができました。yamoryがシステムの脆弱性管理ツールとして、多くの企業に採用されることを期待しています。

ビジョナル・インキュベーション株式会社 yamory事業責任者 山路 昇 コメント

 セキュリティ対策において、境界防御だけでは、高度な防御を構築していても、小さな抜け穴から決壊する危険性があります。そのため、脆弱性を根本から無くす対策が必要であり、これまで、開発、運用、セキュリティのそれぞれのシステム担当者が、属人的にセキュリティ担保を行ってきました。

 しかし、DXが加速するなか激増するITシステムの複雑化が進み、一担当者がより多くのシステムの対応に追われる状況になっており、属人的な対応への依存は限界を迎えています。

 

 また技術的背景として、特に近年、ITシステムの仮想化が進化したコンテナ技術が注目され、導入・検討中の企業様が増加し、コンテナのセキュリティも一元管理していく必要性が高まっていることを受け、新機能追加に至りました。

 

 yamoryは、「情報漏洩リスクをゼロにする」を目指しています。サービス開始時より、脆弱性管理として、さまざまなプログラミング言語のライブラリなどに対応し、昨年は、OS/ミドルウェア、またOSSライセンス管理へと対応範囲を広げてきました。

 この度、コンテナセキュリティにも対応を開始したことで、より多くのお客様のITシステムをサイバー攻撃のリスクから守ることができるようになりました。引き続き、複雑化するITシステムのセキュリティ対策に対応し、お客様のセキュリティ向上に寄与していきます。

 

 

【脆弱性管理クラウド「yamory(ヤモリー)」について】

 「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。独自で構築した脆弱性のデータベースを使い、危険度のレベルを算出し、対応の優先度を自動で判断するオートトリアージ機能(特許取得済み)を搭載しています。ITシステムのライブラリ・フレームワーク、ミドルウェア・開発言語、OSの脆弱性、および、オープンソースのライセンス違反を一元管理できる国内初のサービスです。脆弱性を管理・対策することでサイバー攻撃から身を守り、ITシステムからの情報漏洩と、ライセンス違反による法的リスクの軽減を実現します。

URL:https://yamory.io/

Twitter:https://twitter.com/yamory_sec

 

【ビジョナル・インキュベーション株式会社について】

 「新しい可能性を、次々と。」をミッションとするVisionalグループの新規事業開発を担う。脆弱性管理クラウド「yamory(ヤモリー)」、クラウド活用と生産性向上の専門サイト 「BizHint(ビズヒント)」、クラウドリスク評価「Assured(アシュアード)」を運営。2020年2月、グループ経営体制への移行にともない、株式会社ビズリーチの新規事業開発組織を分社化し新設。

URL:https://visional.inc/visional-incubation/

 

【Visionalについて】

 「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、事業承継M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。