〜ゼロデイ脆弱性を即座に通知し、迅速な脆弱性対策が可能に〜

2022年5月18日

ビジョナル・インキュベーション株式会社

 Visionalグループのビジョナル・インキュベーション株式会社(所在地:東京都渋谷区/代表取締役社長:村田 聡)が運営する脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下、yamory)は、緊急脆弱性を速報通知する機能を2022年5月18日に開始します。

 

 新機能により、昨今攻撃リスクが高まり続ける、ゼロデイ脆弱性(※1)、Nデイ脆弱性(※2)、脆弱性公開直後の攻撃情報について即座に通知を受け取ることができ、ゼロデイ攻撃やNデイ攻撃などの緊急性の高いサイバー攻撃に対して、より迅速に対策を進めることでセキュリティリスクの軽減が可能となります。

※1:その存在が公表される前や、修正用プログラムがリリースされる前のソフトウェアの脆弱性

※2:修正プログラムのリリースから、エンドユーザーがそれを適用するまでの間の脆弱性

 

「Log4jShell」や「Spring4Shell」などのゼロデイ脆弱性に対するサイバー攻撃が急増

 昨今、ゼロデイ攻撃の脅威が急速に広まっています。実際に、2021年12月にログ出力ライブラリ「Apache Log4j」で発見された「Log4jShell」や、2022年3月にアプリケーションフレームワーク「Spring Framework」で発見された「Spring4Shell」などのゼロデイ脆弱性を悪用したサイバー攻撃による深刻なセキュリティ被害が世界中で多数発生しました。IPAが毎年発表している「情報セキュリティ10大脅威 2022」でも、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が昨年までの圏外から、新しく7位にランクインし(※3)、そのリスクの高さが伺えます。

 

 これらの攻撃を未然に防ぐためには、脆弱性に対して直ちに対処することが重要です。しかしその脆弱性情報が公式に発表されるまでには数日かかる場合もあるため、各脆弱性情報サイトだけでなく、SNSやブログなど様々な情報源から不確定な情報も含めて常に調査し、必要な対策を迅速に実行する必要があります。

 

※3 IPA(情報処理推進機構)「情報セキュリティ10大脅威 2022」

緊急脆弱性の速報通知により、ゼロデイ攻撃対策が可能に

 yamoryは、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。yamoryでは、独自の脆弱性データベースを構築していることから、迅速な脆弱性検知を可能とし、ゼロデイ脆弱性なども素早く検知できます。さらにこの度の新機能により、不確定情報の多い脆弱性や攻撃情報もスピーディーに通知することで、より迅速な脆弱性対策が可能になります。

 

具体的な機能概要

  1. yamory専任のセキュリティアナリストがリサーチした脆弱性情報をスピーディーに通知

     通常、新しく脆弱性が発見された場合、NVDなどの脆弱性情報サイトで公式に発表されるまでには数日間のリードタイムが発生します。その期間にも、脆弱性を悪用した攻撃が行われる可能性があり、公式情報の公開前に脆弱性への対策が必要になる場合があります。その際、SNSやブログなどの情報源も含めて情報収集し、対策を検討するためには、高度なセキュリティに関する知識が必要です。

     yamoryの速報通知機能では、ゼロデイ脆弱性のようなまだ情報が公式に公開されていない脆弱性についても、セキュリティアナリストがリサーチした情報を速報通知することにより注意喚起を促します。これにより、状況が深刻化する前に対策することが可能です。

最新の脆弱性情報を反映した脆弱性データベースで、CVEなどに公開前のゼロデイ脆弱性の検知も可能
拡大
最新の脆弱性情報を反映した脆弱性データベースで、CVEなどに公開前のゼロデイ脆弱性の検知も可能
  1. 自社のITシステムで利用しているソフトウェアに影響のある緊急性の高い脆弱性を通知

     複数の開発チームがそれぞれの言語やライブラリやミドルウェアなどのソフトウェアを活用して開発を行うなか、その状況を把握したうえで、新たに発生した脆弱性が自社にどのような影響があるかを調査するには時間と工数がかかり、スピーディーな脆弱性対策の妨げになります。

     新機能により、自社のITシステムで利用しているソフトウェアに該当するゼロデイ脆弱性やNデイ脆弱性、公開直後の脆弱性に対する攻撃情報をスピーディーに通知を受け取ることができるため、対策の方針をすぐに定め、即座に実行に移すことが可能です。

速報通知機能のイメージ
拡大
速報通知機能のイメージ

ビジョナル・インキュベーション株式会社 yamory事業責任者
山路 昇 コメント

 近年、ITシステム内部で利用されているソフトウェアの脆弱性を突いた攻撃が増え、脆弱性管理体制の構築が急務とされています。yamoryでは独自の脆弱性DBを構築しているため、脆弱性を素早く検知することが可能です。一方で、ゼロデイ脆弱性や、Nデイ脆弱性と言われる緊急性の高い脆弱性は、脆弱性情報の公開直後から攻撃が観測されるケースが増えており、これらの攻撃リスクから自社のITでシステムを守るためには、対応スピードが非常に重要です。

 そこでyamoryは、より早くユーザー様に脆弱性に関する情報をお伝えし、十分な対策をスピーディーに行っていただくため、脆弱性が正式に発表される前の、情報が不十分な状況でもゼロデイ脆弱性や公開直後の攻撃の注意喚起情報を速報通知する機能をリリースしました。

 引き続き、yamoryではさまざまなセキュリティ対策に対応し、お客様のセキュリティ向上に寄与していきます。

 

 

【脆弱性管理クラウド「yamory(ヤモリー)」について】

 「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。独自で構築した脆弱性のデータベースを使い、危険度のレベルを算出し、対応の優先度を自動で判断するオートトリアージ機能(特許取得済み)を搭載しています。ITシステムのライブラリ・フレームワーク、ミドルウェア・開発言語、OSの脆弱性、および、オープンソースのライセンス違反を一元管理できる国内初のサービスです。脆弱性を管理・対策することでサイバー攻撃から身を守り、ITシステムからの情報漏洩と、ライセンス違反による法的リスクの軽減を実現します。

URL:https://yamory.io/

Twitter:https://twitter.com/yamory_sec

 

【ビジョナル・インキュベーション株式会社について】

 「新しい可能性を、次々と。」をミッションとするVisionalグループの新規事業開発を担う。脆弱性管理クラウド「yamory(ヤモリー)」、クラウド活用と生産性向上の専門サイト 「BizHint(ビズヒント)」、クラウドリスク評価「Assured(アシュアード)」を運営。2020年2月、グループ経営体制への移行にともない、株式会社ビズリーチの新規事業開発組織を分社化し新設。

URL:https://visional.inc/visional-incubation/

 

【Visionalについて】

 「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、事業承継M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。