脆弱性管理クラウド「yamory」、マリシャスパッケージへの対応開始

 

 

• 近年脅威が高まる「マリシャスパッケージ」

OSS（オープンソースソフトウェア）が普及するなか、マリシャスパッケージ（またはマリシャスライブラリ）と呼ばれる、悪意のあるコードを含むパッケージやライブラリが公開され、それらを誤ってインストールすることによる情報漏えいや改ざん、不正操作などのサイバー攻撃の脅威が高まっています。

実際に、世界中で活用されているnpm（JavaScriptのパッケージリポジトリ）では、過去6ヶ月間で1,300を超えるマリシャスパッケージが検出（※）されるなど、その驚異は身近に迫っています。これらの脆弱性は非常に危険性が高い一方で、目視で確認するのは困難であり、依存関係が複雑であることと、情報収集・共有の難しさから、対策の難易度が高いのが実態です。

これらの脅威からITシステムを守るためには、ソフトウェアサプライチェーンのセキュリティ強化が急務です。

※参照：「npm Threat Report」（White Source Ltd.）
https://www.mend.io/npm-threat-report-for-javascript-package-registry/
 

• yamoryでマリシャスパッケージの自動検知、管理・対策が可能に

yamoryは、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。独自に構築している脆弱性データベースに、マリシャスパッケージに関連する情報も取り込むことで、自動検知が可能となり、危険度の高いマリシャスパッケージに対して即時対応ができるようになります。
 

yamory 脆弱性検知画面

yamory 脆弱性データベース詳細画面

＜マリシャスパッケージ検知機能の利用方法＞
yamoryのソフトウェア脆弱性管理の各プランに含まれます。
※本機能に対する追加の費用は発生しません。

＜yamoryのご利用をご検討の企業様へ＞
下記より、お気軽にお問い合わせください。
URL：https://yamory.io/


【脆弱性管理クラウド「yamory（ヤモリー）」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理（CSPM）を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。
URL：https://yamory.io/
Twitter：https://twitter.com/yamory_sec
運営会社：株式会社アシュアード

【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略（HCM）エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。
URL：https://www.visional.inc/