株式会社アシュアードが提供する脆弱性管理クラウド「yamory」を利用した脆弱性管理サービスをアイティーエムが提供開始
～ソフトウェア開発で求められるSBOM（Software Bill of Materials）にも対応～

さくらインターネットのグループ会社でMCSSP（Managed Cloud & Security Service Provider）事業を展開するアイティーエム株式会社（本社：東京都新宿区、代表取締役社長：河本剛志）、は、株式会社アシュアード(本社：東京都渋谷区、代表取締役社長：大森厚志)が提供する脆弱性管理クラウド「yamory」を利用した脆弱性管理サービスを2024年5月15日より提供開始することをお知らせします。

背景

社会がデジタル化に向かう昨今、安心・安全なデジタル社会を実現するにはサイバーセキュリティ対策がますます重要であります。サイバーセキュリティ対策は、セキュリティリスクに対し保全や防御を実施することですが、その多くはソフトウェアの脆弱性によりもたらされており、ソフトウェアの脆弱性管理が益々重要になっています。(ソフトウェアの脆弱性とは、ソフトウェアの非機能要件におけるバグであり、2023年度だけでも約39,000件発見されている)
しかしながら、多くの企業の脆弱性管理には課題があり、攻撃者に脆弱性を利用する機会を与えています。そのことを示す一例として、IPAが発表した"情報セキュリティ10大脅威2024"のうち4つの脅威が既知脆弱性を突いた攻撃であり、継続的な脆弱性管理を行っていれば、リスクの緩和が見込めた脅威であります。

順位	「組織」向け脅威	初選出年	10大脅威での取り扱い（2016年以降）
1	ランサムウェアによる被害	2016年	9年連続9回目
2	サプライチェーンの弱点を悪用した攻撃	2019年	2019年
3	内部不正による情報漏えい等の被害	2016年	9年連続9回目
4	標的型攻撃による機密情報の窃取	2016年	9年連続9回目
5	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）	2022年	3年連続3回目
6	不注意による情報漏えい等の被害	2016年	6年連続7回目
7	脆弱性対策情報の公開に伴う悪用増加	2016年	4年連続7回目
8	ビジネスメール詐欺による金銭被害	2018年	7年連続7回目
9	テレワーク等のニューノーマルな働き方を狙った攻撃	2021年	4年連続4回目
10	犯罪のビジネス化（アンダーグラウンドサービス）	2017年	2年連続4回目

■継続的な脆弱性管理でリスクの緩和が見込める脅威

このように、実は多くのセキュリティ侵害は、攻撃者が脆弱性を利用する前に正しくパッチを適用していれば防げたと言われており、企業(防御者)はソフトウェアのアップデート、パッチ、セキュリティアドバイザリー、脅威の報告などの脅威情報をタイムリーに入手し、定期的に環境を見直して、攻撃者よりも先にこれらの脆弱性を特定する一連の継続的な脆弱性管理が求められています。
加えて、新たなリスクとして、ソフトウェア・サプライチェーン・リスク※が指摘され、このリスクにも継続的な脆弱性管理が有効と言われております。

※ソフトウェア・サプライチェーン・リスク：ソフトウェア(＝成果物)を開発、構築、配布するために使用されるコードやコンポーネント、ライブラリ、色々なツール、プロセスが複雑につながって構成されます。ソフトウェア・サプライチェーン・リスクは、このソフトウェア・サプライチェーンにある脆弱性によりもたらされるリスクを言います。
例えば、不正なプログラムの混入や改ざん、脆弱性なソフトウェアの使用で、8つのSupply chain threatsが指摘されています(https://slsa.dev/spec/v1.0/threats-overview)。

脆弱性管理の課題

より生産的な脆弱性管理を行うには、１）資産情報の把握、２）脆弱性情報の収集、３）脆弱性の検知、４）リスク評価、５）報告、６）循環プロセスが必要とされます。
しかしながら、当社が調査したところ、上記管理プロセスによる管理が実践出来ている企業はまだまだ少数で、多くの企業から課題の確認が取れております。

主な脆弱性管理の課題

・ソフトウェア・インベントリ(コンポーネント)の把握
・情報ソースが多岐にわたる脆弱性情報の収集
・システム毎のリスク評価
・ソフトウェア・サプライチェーン・リスクへの対応(今後重要となるポイント)
・各種ガイドラインへの対応と継続的な管理プロセスの確立(今後重要となるポイント)

これに加え、年間に発見される脆弱性の件数を考慮すると人海戦術で対応出来るレベルを超えており、システマチックで自動化された管理プロセスが必要になると多くの専門家が指摘しております。
Ref:NIST SP800-40 Rev.4 Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology.

当社の提供する脆弱性管理サービスの特徴

当社は上記課題を解決することを目標に開発されたもので、これらの解決に加え、日次ベースでインベントリの更新から脆弱性の検知、優先順位付け、管理者への通知と、より実用的な脆弱性管理プロセスを　リーズナブルな価格でご利用頂けます。
これにより、開発者を煩わしい脆弱性管理業務から解放し、開発業務に専念させることで、開発者のESと生産性向上に貢献します。

主なサービスの特徴

・ソフトウェア・インベントリ・ベースの脆弱性管理
・標準化を意識した脆弱性管理モデルの採用
・実用的な業務定義に基づくサービス内容
・管理に必須であるプロセス/ツール/フローをワンストップで提供
・ソフトウェア脆弱性管理で必須なSBOMにも対応

図：脆弱性管理サービス概念

脆弱性管理サービスの詳細

https://www.itmanage.co.jp/security/vul-management/

提供価格

110,000円(税込)/月額から

yamoryについて

「yamory」は、ITシステムに潜む脆弱性を自動で検知し、管理および対策ができるクラウドサービスです。独自で構築した脆弱性のデータベースを使い、危険度のレベルを算出し、対応の優先度を自動で判断するオートトリアージ機能※を搭載しています。

※脆弱性ごとに流通している攻撃コードを収集することで、悪用される可能性の高い脆弱性をリスクの大きさに応じて自動で分類する機能のこと。

特許取得済み。

アイティーエム株式会社　会社概要

代表者: 代表取締役社長　河本剛志
本社: 東京都新宿区西新宿7-20-1　住友不動産西新宿ビル
設立: 2017年1月4日
URL: https://www.itmanage.co.jp/

本リリースに記載されたすべてのブランドや製品は各社の商標または登録商標です。記載の商品名、価格および担当部署、担当者、WebサイトのURLなどは、本リリース発表時点のものです。

本件に関するお問い合わせ先

アイティーエム株式会社
アプリケーション・セキュリティ事業本部　久光/上田
E-mail：pr@itmanage.co.jp

プレスリリース・お知らせ一覧

株式会社アシュアードが提供する脆弱性管理クラウド「yamory」を利用した脆弱性管理サービスをアイティーエムが提供開始 ～ソフトウェア開発で求められるSBOM（Software Bill of Materials）にも対応～

背景