ＳＯＭＰＯホールディングスが、脆弱性管理クラウド「yamory」を導入

ＳＯＭＰＯホールディングスは、「安心・安全・健康のテーマパーク」をブランドスローガンに掲げ、国内損保事業、海外保険事業、国内生保事業、介護・シニア事業を展開しています。大切なお客様情報を取り扱うことから、サイバーセキュリティ対策に力を入れており、直近では「デジタルサプライチェーン管理」や「ソフトウェアサプライチェーン管理」など、業界としても先進的な取り組みを行っています。

この度、効率的なSBOM対応やグループ全体での脆弱性管理によるセキュリティ強化のため、yamoryの導入を決定いただきました。

そこで、IT企画部 セキュリティエバンジェリスト　小中 俊典氏、サイバーセキュリティグループ 課長代理　片岡 創氏に、yamory導入の背景と活用方法についてお伺いしました。

※ＳＯＭＰＯホールディングスの「デジタルサプライチェーン／ソフトウェアサプライチェーン管理」の取り組みについての詳細は、下記記事をご覧ください。

https://atmarkit.itmedia.co.jp/ait/articles/2305/24/news019.html

• この度は、yamoryをご導入いただきありがとうございます。yamoryを選んでいただいた理由や導入後の効果について教えてください。

まず1つ目に、多岐にわたるソフトウェアおよびインフラを単一の管理画面で効率よく管理できる点です。

ＳＯＭＰＯホールディングスでは、デジタルサプライチェーン管理におけるアセットは全体で数万件を超えます。ソフトウェアサプライチェーン管理という観点では、1つのサービスで数万件という規模感になるため、ツールを活用しなければSBOMの管理も不可能です。インフラの管理からアプリケーションの開発まで幅広く手掛けているため、アプリからサーバー、インフラ面まで一貫して管理できることが重要でした。

yamoryでは多岐にわたるソフトウェアおよびインフラの一元管理が可能

2つ目に、ライブラリやフレームワークなど、依存関係を含むソフトウェア構成情報の管理と、SBOM対応が可能な点です。

「Apache Log4j」のようなライブラリが、どのソフトウェアでどう使われているかを探すのは容易ではありませんが、yamoryを利用すると、利用しているOSS（オープンソースソフトウェア）の中で、Apache Log4jを利用しているソフトウェアを簡単に見つけ出すことができます。

依存関係を含めた構成情報の管理が可能

また、弊社ではSBOM対応をいち早く推進していますが、yamoryではスキャンした構成情報を国際的なSBOM標準フォーマットでエクスポートすることもできます。また今後、取引先から提供されるSBOMファイルのインポート機能の追加や、VEX（Vulnerability Exploitability eXchange：ある製品が既知の脆弱性の影響を受けるかどうかを⽰す機械判読可能なセキュリティ勧告の⼀つ）にも対応するなど、SBOMの統合的な管理をyamoryで実現できることを期待しています。

3つ目に、ソフトウェアのみならずIT資産の脆弱性管理も可能な点です。

yamoryのIT資産登録機能により、アプリケーションだけでなく、インフラについても、利用しているゲートウェイ機器やファイアウォール機器などのIT資産を登録しておくと、OSに含まれる脆弱性を自動でチェックしてくれます。これまでは、グループ各社が独自にIT資産やソフトウェア情報を管理をしていたため、製品名・ソフトウェア名の表記揺れが発生し、自動スキャンツールでは脆弱性データベースとの突合が難しいという課題がありました。yamoryでは、独自の脆弱性データベースおよび照合方法により、表記揺れにも対応できる点を評価しています。

IT資産登録画面（イメージ）

4つ目に、攻撃リスクを加味した、現実的なトリアージが可能な点です。

yamoryが元々持っていたオートトリアージ機能に加え、Known Exploited Vulnerabilities Catalog（KEVカタログ：攻撃リスク評価のためCISAが公表している悪用が確認された脆弱性リスト）もリスク評価材料として加わりました。オートトリアージとKEVカタログを照合することで、脆弱性の検知数が多い際に、本当にリスクが高い脆弱性に絞り込むことができます。

オートトリアージとKEVカタログの照合により、現実的な対応が可能に

最後に、yamoryが目指す世界観に共感できたことも導入の決め手でした。製品ロードマップも公開されており、ソフトウェアのEOL管理機能や、SBOM管理機能などの機能追加をはじめ、ITシステムやソフトウェア全体の脆弱性を統合管理できるユニークなツールとして、今後のサービスの進化に大きな期待を寄せています。

• そのようにご期待いただけて大変有り難いです。今後もより効率的で精度の高い脆弱性対策・ITシステム全体のリスク管理ができるツールとして、皆さまにご活用いただけるよう目指してまいります。

【脆弱性管理クラウド「yamory（ヤモリー）」について】

「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理（CSPM）を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。

URL：https://yamory.io/

Twitter：https://twitter.com/yamory_sec

運営会社：株式会社アシュアード　https://www.visional.inc/ja/assured.html

【Visionalについて】

「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略（HCM）エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。

URL：https://www.visional.inc/