脆弱性管理クラウド「yamory」、Webアプリケーション、クラウドインフラのセキュリティ診断サービスを開始

• サイバー攻撃の脅威が拡大・多様化するなか、網羅的な脆弱性対策が必要不可欠

社会全体でDXが加速するなか、サイバー攻撃の被害は急激に拡大しており、これらの多くはITシステムの脆弱性を狙った攻撃です。実際に、「情報セキュリティ10大脅威 2022（IPA発表）」（※1）の半数以上が脆弱性に関する脅威が挙げられており、さらに、米国の研究機関（NIST）が確認した脆弱性は直近5年で3倍超にものぼることから（※2）、自社のITシステムをサイバー攻撃から守るため、脆弱性対策は必要不可欠です。

しかし、日本企業の9割がセキュリティ人材の不足を感じており（※3）、十分な対策が出来ていません。一方で、人材不足を感じる企業が1割に留まるアメリカでは、充足している理由として約4割の企業が「​​セキュリティ業務がシステム等により自動化・省力化されているため」と回答しており（※3）、人的リソースに依存しない仕組みの整備が人材不足解消の一手であることが伺えます。

これに対しyamoryでは、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスを提供することで、企業の効率的な脆弱性対策を支援してきました。

この度、より複雑化するITシステムに必要な脆弱性対策に対応し、検知した脆弱性リスクをすべて管理することで、網羅的な対策をより少ない工数で実現するべく、新サービスを開始します。
 

• yamory新サービス概要：ITシステム全レイヤーを対象とした脆弱性対策をオールインワンで実現

ITシステムに必要な脆弱性対策をオールインワンで実現

1）Webアプリケーション、およびクラウドインフラのセキュリティ診断：2022年8月24日開始

一般的に、Webアプリケーション、およびクラウドインフラは、プロフェッショナルによる定期監査が必要です。これらのセキュリティ診断をyamoryで対応することで、ITシステムの全レイヤーの脆弱性対策がyamoryで可能になります。

2) クラウドインフラの設定不備によるセキュリティリスクの自動検知・管理（CSPM）：2022年11月開始予定

インフラ環境のパブリッククラウドへの移行が加速する一方で、インフラの複雑化や技術の変化スピードへの対応が追いつかず、クラウドインフラの設定不備によるインシデント件数が年々急増しています。そこでyamoryは、主にクラウドインフラの設定不備の検出や、ガイドラインに対する違反有無を継続的にチェックする自動検知サービス（CSPM／Cloud Security Posture Management）を開始します。これにより、yamoryでクラウドインフラのセキュリティリスクを統合的に管理できるようになります。

3）ITシステム全レイヤーの脆弱性の検知・管理：来春までに開始予定

Webアプリケーション診断結果も、yamory上で管理可能となります。ITシステム全レイヤーの脆弱性の検知・対策履歴のデータをyamory上に蓄積することで、ITシステム全体のリスクを可視化し、網羅的な脆弱性対策をより少ない工数で対応できるようになります。

＜利用方法＞
クラウド、およびWebアプリケーションのセキュリティ診断サービスのご利用をご検討の方は下記よりお問い合わせください。
URL：https://yamory.io/
 

• yamory利用企業様コメント（活用背景と新サービスへの期待）

 

• サイボウズ株式会社  開発本部　長友 比登美 氏

サイボウズは、「チームワークあふれる社会を創る」という企業理念のもと、チームワークを支援するためのグループウェアを開発・提供しています。お客様の情報資産を守るためセキュリティ対策に力を入れており、セキュリティインシデントに対応する「Cy-SIRT」を社内に設置し、万全のチーム体制で取り組んでいます。
OSSの脆弱性管理においては、これまで完全手動で行っており大きな負荷となっていましたが、yamoryを導入したことで、毎月の作業時間が45人日から10人日程度と、大きな工数削減を実現しました。脆弱性情報も自動で通知され、様々な階層のソフトウェアの脆弱性を一元管理できるため、迅速な対応が可能になるなど大きなメリットを実感しています。    
また、セキュリティ診断や、パブリッククラウドのセキュリティ検知などの新たなサービスが加わることで、Webアプリケーション業界全体をよりセキュアにするためのサービスになってほしいと思います。yamoryを見れば、今取り組む脆弱性対策、次に見るべき脆弱性もわかる、そんな脆弱性管理のハブになることを期待しています。
 

• 弥生株式会社  開発本部 CTO　佐々木 淳志 氏

弥生は、中小企業、個人事業主、起業家の事業を支える社会的基盤として日本の発展に能動的に貢献することをミッションとして、「弥生シリーズ」や「事業支援サービス」を開発・提供・サポートしています。
現在、セキュリティ強化の取り組みを進めており、クラウドサービスの脆弱性管理においてyamoryを活用しています。yamory導入後は、オートトリアージ機能により危険な脆弱性を常に0件に保つ運用ができているほか、OSSライセンス違反リスク検知機能によりGPL系などのライセンス違反防止レビューの省力化が実現しました。
yamoryはいつも利用者のニーズに寄り添った新機能を実装してくれます。Webアプリケーション、クラウドインフラのセキュリティ診断サービス、パブリッククラウドのセキュリティ検知などの新サービスによって、脆弱性リスクの統合管理がより一層進むことを期待しています。
 

• yamory事業部 事業部長　山路 昇　コメント

Visionalグループでは、産業のDXを推進するさまざまな事業を展開するなか、自社のプロダクト開発においてぶつかったサイバーセキュリティの課題に対して、脆弱性管理クラウド「yamory」を立ち上げました。サービスリリース以降、より社会のDXは加速する一方で、サイバー攻撃の脅威は複雑化し、属人的な作業に頼った脆弱性対策は限界を迎えています。実際に、昨年12月に世界的に影響を与えたApache Log4jの脆弱性でも、自社システムにLog4jが存在するかどうかさえ把握していないため、多くの企業が全てのシステムを人手で確認する対応を迫られました。また、ソフトウェアの脆弱性対策だけでなく、パブリッククラウド等の新しい技術の普及に伴いITシステムが複雑化しているため、それぞれのシステムレイヤー毎に適切なセキュリティ対策が求められています。そこでyamoryは、ITシステム全レイヤーの脆弱性管理を実現することで、複雑化するITシステムに対しても網羅的な対策ができるよう新サービスを開始します。
yamoryは今後も、安心してテクノロジーを活用できる未来を実現するべく、サービス向上に努めてまいります。

※1　参照：IPA「情報セキュリティ10大脅威 2022」（https://www.ipa.go.jp/security/vuln/10threats2022.html）
※2　参照：NIST National Vulnerability Database「CVSS Severity Distribution Over Time」（https://nvd.nist.gov/general/visualizations/vulnerability-visualizations/cvss-severity-distribution-over-time）
※3　参照：NRIセキュア「企業における情報セキュリティ実態調査2021」（https://www.nri.com/-/media/Corporate/jp/Files/PDF/news/newsrelease/cc/2022/220208_1.pdf）

【脆弱性管理クラウド「yamory（ヤモリー）」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理（CSPM）を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。
URL：https://yamory.io/
Twitter：https://twitter.com/yamory_sec
運営会社：株式会社アシュアード

【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略（HCM）エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。
URL：https://www.visional.inc/