脆弱性管理クラウド「yamory」、SBOM 標準フォーマット SPDX / CycloneDX の出力に対応

この記事は約4分で読めます。
Visional グループが運営する、脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下、yamory)は、SBOM(Software Bill of Material)の標準フォーマットである「SPDX」と「CycloneDX」の出力対応を2023年4月18日より開始します。これにより、ソフトウェアサプライチェーンの中で組織を越えて SBOM を共有するための相互運用性が向上します。

 

  • 日本国内でも今後普及が進む SBOM

SBOM とは、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するための手法です。
ソフトウェアの依存関係とシステムレイヤーの複雑化が進むなか、サイバーセキュリティリスクの高まりや多発するインシデントを受け、米国では2021年5月に SBOM に関する大統領令が発令されました。大統領令では、ソフトウェアサプライチェーンセキュリティを向上するためのガイドラインや SBOM の最小要素の発行が命じられています。
日本国内においても、経済産業省に「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理⼿法等検討タスクフォース」(ソフトウェアタスクフォース)が設置され、 SBOM 導入に向けた議論が進むなど、今後普及が加速することが見込まれます。
 

  • ソフトウェアサプライチェーンにおける SBOM の相互運用性

ソフトウェアサプライチェーンの中で組織を越えて SBOM を共有するためには、データフォーマットを統一する必要があります。標準的なフォーマットとして、「SPDX」「CycloneDX」があり、米国大統領令においてもこれらのフォーマットを使用することが求められています。
yamory ではこれまで、ITコンポーネント情報を SBOM 最小要素に対応した CSVファイルで出力することが可能でしたが、この度「SPDX」および「CycloneDX」の出力対応を開始いたします。標準フォーマットの出力に対応することで、特に大統領令により SBOM 共有が必須である米国の取引先への共有など、ソフトウェアサプライチェーンにおける SBOM の相互運用性が高まります。

 

  • 利用方法

yamory の「CSIRT / PSIRT プラン」または「Enterprise プラン」を利用いただくことで、追加オプションなどは発生せず利用可能です。
お問合せ先:https://yamory.io/
 

  • SBOM 導入支援個別相談会

yamory では、セキュリティエンジニアによる SBOM 導入支援個別相談会を実施しています。SBOM の説明や、SBOM 導入に向けたロードマップについて、セキュリティエンジニアにご相談いただけます。
お申込み:https://seminar.yamory.io/consultation_sbom

【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会の DX 加速を支えます。
URL:https://yamory.io/
Twitter:https://twitter.com/yamory_sec

【Visional について】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech 領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、SalesTech の領域においても、新規事業を次々に立ち上げている。
URL:https://www.visional.inc/

 

タイトルとURLをコピーしました