株式会社アシュアード(本社:東京都渋谷区、代表取締役社長:大森 厚志)が運営する、脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下、yamory)は、アズビル株式会社(本社:千代田区丸の内2-7-3、取締役 代表執行役社長:山本 清博、以下 アズビル)に導入されたことをお知らせいたします。
アズビルは、計測・制御をキーテクノロジーとして、「ビルディングオートメーション」「アドバンスオートメーション」「ライフオートメーション」の3つの事業をグローバルで展開しています。インターネットを通じたサービスの利用が浸透する中、拡大するサイバー攻撃の脅威に備えたセキュリティ対策が重要なテーマとなっています。また、様々な業界でSBOMに関するレギュレーションが整備される中、SBOM対応の必要性を感じ、yamoryの導入を決定いただきました。
そこで、デジタル推進本部サイバーセキュリティ室 上田様に、今回のyamory導入の背景についてお伺いしました。
この度は、yamoryをご導入いただきありがとうございます。まず、アズビル様におけるセキュリティ対策の課題感や導入の背景についてお聞かせください。
上田氏:当社では、提供する商品の企画、設計・開発から運用に至るライフサイクルを通じたセキュリティ対策の強化を念頭に、サイバーセキュリティ室を設置しており、azbilグループの商品やサービスの利用に際しての安全性を高いレベルで確保すべく施策を展開しています。具体的には、脆弱性情報を収集し各開発部門などへ展開、開発部門側では、影響調査やパッチ適用などの対応業務を行ってもらっていました。これらの業務には膨大な工数がかかるだけでなく、タイムリーな脆弱性情報の取得が難しいことや、抜け漏れのリスクがあることなどの課題があり、効率的かつ網羅的な手法を検討していました。また、製品ごとの構成管理や世代管理・バージョン管理の難しさも感じており、一元管理が可能な脆弱性管理ツールを導入したいと考えていました。
yamoryを選んでいただいた理由や導入後の効果について教えて下さい。
まずはじめに、組み込み系の開発言語も含めて脆弱性情報を自動で収集し、製品コンポーネント毎に脆弱性を通知してくれる点です。これまでは脆弱性情報を収集し、人の手でどの製品に影響がある脆弱性かを見極めていましたが、yamoryで自動化することで、工数削減と抜け漏れの防止、タイムリーな情報取得および開発部門への通知が可能になりました。また、オートトリアージ機能により対応の優先度が自動判定されるため、すぐに対応すべき脆弱性から順に対応するなど、対応業務の効率化につながる点に期待しています。
[画像1: https://prcdn.freetls.fastly.net/release_image/34075/710/34075-710-23241c62f5a5245392b4812fec6e965c-1500x658.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
オートトリアージ機能
2つ目に、チーム管理機能を用いて開発部門の状況を可視化することで組織的な管理が可能になる点です。
当社ではお客様から製品に対し、特定のコンポーネントが含まれていないか確認されることがあります。それらは重大な脆弱性があると世間で騒がれているものがほとんどです。これまでは、各製品担当に対し、該当のコンポーネントを使用していないか聞いて回っていました。yamoryでは、特定のOSSやサードパーティーコンポーネントの使用有無について、製品を横断して一括で確認でき、その対応状況についても確認できるため、抜け漏れなく、最新の状況を正しく把握することができます。それによりお客様からの質問に対し、迅速に正しく回答することができるようになりました。
[画像2: https://prcdn.freetls.fastly.net/release_image/34075/710/34075-710-3a8ed625cef5a13bc28e12223f4696bd-1500x701.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
チーム管理機能
3つ目に、製造業特有の世代管理が可能になる点です。
当社が提供する製品は、発売時期によって様々なバージョンが存在しており、製品およびバージョンごとの管理が非常に複雑でした。全てのバージョンをyamoryに登録する、という方法もありますが、それだと全てのバージョンに共通するコンポーネントに脆弱性が発見された場合、全てのバージョンに対応を記載しなければならず、費用もかさみます。IT資産登録機能により、製品ごとにプロジェクトを分けて管理することで、わかりやすく世代管理と脆弱性管理を両立することができると考えています。
[画像3: https://prcdn.freetls.fastly.net/release_image/34075/710/34075-710-384dbcced3fe0e3c4f308e1097b24563-1500x927.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
IT資産登録機能画面イメージ
今後、法規制の対応やお客様からSBOMの提出を求められることが増えると考えており、yamoryでソフトウェアの構成管理と脆弱性管理を実現した上で、SBOMファイルの出力も可能な点にも魅力を感じ、導入を決定しました。1つのツールで脆弱性管理とSBOM対応が可能になることで、組織全体のセキュリティ対策はもちろん、サプライチェーン全体でのセキュリティ強化に繋げることができると考えています。
[画像4: https://prcdn.freetls.fastly.net/release_image/34075/710/34075-710-45a015e12351c3939497d19d432b0e78-1500x432.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。クラウドからオンプレまでの脆弱性管理と、ソフトウェアのSBOM対応をオールインワンで実現します。世界中でサイバー攻撃とその被害が拡大し、セキュリティリスクが経営課題となる中、複雑化するITシステムの網羅的な脆弱性対策を効率化し、誰もが世界標準の対策ができるセキュリティの羅針盤を目指します。
URL:https://yamory.io/
X:https://twitter.com/yamory_sec
【株式会社アシュアードについて】
「信頼で、未知を拓く。」をミッションとし、企業のセキュリティ対策を支援するサービスを運営。産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開するVisionalグループにおいて、サイバーセキュリティ領域を担い、脆弱性管理クラウド「yamory(ヤモリー)」、セキュリティ評価プラットフォーム「Assured(アシュアード)」を展開。インターネットですべてが繋がる社会において、信頼から新たな繋がりを作り、新しい可能性を社会に生み出していくことを目指す。
URL:https://assured.inc
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
URL:https://www.visional.inc/
