これによりyamoryでは、クラウドのみならずオンプレミス環境のIT資産やコンポーネント情報の統合的な脆弱性管理が可能になります。ITシステムに必要な脆弱性対策をオールインワンで実現し、安心してテクノロジーを活用できる世界を目指してサービスを磨いてまいります。
-
ネットワーク機器の脆弱性を狙ったサイバー攻撃の増加
サイバー攻撃が巧妙化する中、ネットワーク機器の脆弱性を悪用した攻撃が多発しています。昨今では、VPNの脆弱性を突かれたことによる医療機関へのサイバー攻撃が大きな話題となりました。この攻撃で悪用された可能性のある脆弱性(CVE-2018-13379)は、2019年に修正プログラムが公開されているにもかかわらず、2021年には63万件以上検出される(※1)など、多くの組織がVPN機器における脆弱性管理を徹底できておらず、それを見越した攻撃者による攻撃が行われています。ネットワーク機器の脆弱性を悪用したランサムウェアの侵入を防ぐためには、組織におけるIT資産・リスクを洗い出し、脆弱性管理を徹底する必要があります。
一方で、ネットワーク機器をはじめC/C++系のライブラリ、商用のミドルウェア等、自動スキャンツールではアセット検出ができないことが多く、その脆弱性管理はExcel等で独自管理しなければならず、多大な工数がかかっていました。
yamoryでは、これまで自動スキャンによるソフトウェアの脆弱性管理を提供してきましたが、昨今のインシデント増加を受け、Excel等で独自に管理されていたネットワーク機器等のIT資産やコンポーネント情報を取り込み、yamory上での資産管理および脆弱性の一元管理を可能にする「IT資産登録機能」をリリースいたします。
これにより、クラウドのみならずオンプレミス環境のIT資産やコンポーネント情報を含めた統合的な脆弱性管理が実現します。
※1 参照:https://www.trendmicro.com/ja_jp/jp-security/22/k/securitytrend-20221104-01.html
-
「IT資産登録機能」の特徴
1.製品名・ソフトウェア名の表記揺れにも対応できる独自の照合方法
各社が独自でIT資産やコンポーネント情報をExcel等で管理している場合、製品名・ソフトウェア名の表記揺れ等の問題が発生し、自動スキャンツールによる脆弱性データベースとの突合が難しいという課題がありました。yamoryでは独自の脆弱性データベースおよび照合方法により、表記揺れにも対応することが可能です。
2.自動スキャンと合わせて脆弱性の一元管理が可能
新機能によりyamoryでは、自動スキャンで検知しているソフトウェアと、Excel等でアップロードされたIT資産の脆弱性管理を一元化することができます。そのため、より効率的で網羅的な脆弱性の検知、管理・対策が可能になり、現状把握と着手すべき点が一目でわかります。
3.幅広い検知対象
ネットワーク機器のみならず、C/C++系のライブラリ、よく使われるミドルウェアや商用のソリューションなど、幅広くカバーできます。
<対応機器・ソフトウェアの例>
・ネットワーク機器(Cisco系/Fortinet系/F5系/Allied Telesis系等)
・C / C++、Java等のライブラリ(glibc/openssl/zlib/busybox/opencv/Java SE JDK/OpenJDK/jQuery等)
・よく使われているミドルウェア(WordPress/Apache HTTP Server/nginx/Tomcat/Node.js/OpenStack/Samba等)
・商用のミドルウェア・ソリューション(Microsoft系/Apple系/Oracle系/Palo Alto Networks系/Adobe系ソフトウェア等)
-
利用方法
yamoryの「Enterprise プラン」でご利用いただけます。
お問合せ先:https://yamory.io/contact/
-
セミナー情報
yamoryでは、IT資産のサプライチェーンリスクマネジメントに関するウェビナーを開催します。ソフトウェア(SBOM)と、あらゆるIT資産の脆弱性管理について、yamoryを活用した対応方法をお伝えします。
<開催概要>
・開催日:4月26日(水)13:00~14:00
※終了時間は、内容により前後する可能性がございます。
・参加料:無料
・視聴方法:Zoomでのアーカイブ配信
・申込みURL:https://seminar.yamory.io/about_it_asset_management
・アジェンダ:
‐ IT資産のサプライチェーンリスクの課題と事例
‐ 従来の対応方法と課題
‐ yamoryのIT資産登録機能と、この機能によって解決できる課題
‐ Q&A
【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。
Twitter:https://twitter.com/yamory_sec
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、SalesTechの領域においても、新規事業を次々に立ち上げている。