〜SBOMの生成がyamoryで効率的・網羅的に対応可能に〜

2022年9月1日
株式会社アシュアード

 Visionalグループの株式会社アシュアード(所在地:東京都渋谷区/代表取締役社長:大森 厚志)が運営する脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下、yamory)は、SBOMの最小要素に対応したファイル出力機能を2022年9月1日(木)にリリースします。本機能は、米国の大統領令に従い、NTIA(米国商務省電気通信情報局)が公開したSBOM(Software Bill of Material)の最小要素で定められるデータフィールドに適応しており、SBOMの自動生成が可能となります。

 

米国大統領令の発令に伴い、日本国内でも普及が進むSBOM

 SBOMとは、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するための手法です。

 

 ソフトウェアの依存関係とシステムレイヤーの複雑化が進むなか、サイバーセキュリティリスクの高まりや多発するインシデントを受け、米国では2021年5月にSBOMに関する大統領令が発令されました。このなかで、各製品のSBOMを購入者に直接または公開Webサイトで提供することが必要とされています。

 

 日本国内でも経済産業省を中心に、サイバー・フィジカルセキュリティ対策フレームワーク実現のため、ソフトウェア管理手法を検討するタスクフォースが動いています。SBOM活用促進のための実証事業(PoC)を実施中で、今後普及が加速することが見込まれます。

yamoryで、SBOMの最小要素に対応したファイル出力が可能に

 yamoryでは、SBOMの最小要素として定められているデータフィールドに適応したファイル出力機能をリリースします。自社のITシステム情報をyamoryでスキャンすることで自動的に必要項目を洗い出し、SBOMの生成がyamoryで効率的・網羅的に対応可能となります。

 

<yamoryで出力可能なデータフィールド>

  • サプライヤー名(サプライヤー名が不明の場合は、パッケージリポジトリへのリンクを表示)
  • コンポーネント名
  • コンポーネントのバージョン
  • その他の一意な識別子
  • 依存関係
  • SBOMの作成者
  • タイムスタンプ
  • ライセンス情報

利用方法

yamoryの「CSIRT / PSIRT プラン」または「Enterprise プラン」を利用いただくことで、追加オプションなどは発生せず利用可能です。
お問合せ先:https://yamory.io/

SBOMに関するセミナー開催

 yamoryでは、SBOMの重要性と効率的な対応方法に関するウェビナーを開催予定です。
 SBOMを運用されている方や運用に向けて情報収集をされている方はぜひご参加ください。

 

<開催概要>

 

<過去開催レポート>
https://yamory.io/blog/sbom-seminar-report/

 


【脆弱性管理クラウド「yamory(ヤモリー)」について】
 「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。
URL:https://yamory.io/
Twitter:https://twitter.com/yamory_sec

 

【Visionalについて】
 「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。