脆弱性管理クラウド「yamory」、IT資産登録機能をリニューアル

株式会社アシュアード（本社：東京都渋谷区、代表取締役社長：大森 厚志）が運営する、脆弱性管理クラウド「yamory（ヤモリー）」（https://yamory.io/ 以下「yamory」）は、システム環境内のハードウェアやソフトウェアを一元管理する「IT資産登録機能」において、リニューアルを実施したことをお知らせいたします。

「IT資産登録機能」では、IT資産情報に対して、リスクデータベースと照合し、脆弱性の検出から対応まで、脆弱性管理機能を提供しています。

本リニューアルにより、CPE*1（Common Platform Enumeration）のレコメンド機能を活用してお客様自身がその場で簡単に登録や更新を行える運用へとシフトします。これにより、運用現場の実情をリアルタイムに資産台帳へ反映し、登録からスキャン実行までのタイムラグを解消することが可能となります。また、製品識別子「CPE」による管理領域を、アップデート（パッチ）情報まで拡張した高度なマッチングロジックを導入することで、過検知・誤検知および検知漏れの大幅な削減を実現します。

*1 製品を識別するための共通のプラットフォーム名の一覧。
独立行政法人情報処理推進機構（IPA）が公表する共通プラットフォーム一覧（CPE）は、情報システムを構成するハードウェア、ソフトウェアなどを識別するための共通の名称基準を目指している世界標準の仕様。
参考URL：https://www.ipa.go.jp/security/vuln/scap/cpe.html

■ 経済安全保障や規制強化に伴い、社会全体で厳格化するIT資産管理への対応

近年、サイバー攻撃の標的がサプライチェーン全体へと拡大するなか、経済安全保障やガバナンス強化の観点から、業種や規模を問わず、すべての企業において、自社が保有するIT資産（ハードウェア、ソフトウェア、ネットワーク機器等）を正確に把握・管理することが強く求められるようになっています。「yamory」ではこうしたニーズに応え、2023年に「IT資産登録機能」をリリースし、一元管理を支援してまいりました。

しかし、従来の仕組みでは、資産情報と脆弱性データベースのマッチングを「yamory」の運用スタッフが手動で対応していたため、CPEへの紐付けに時間を要し、スキャン実行までにタイムラグが発生していました。また、IT製品ごとに異なる複雑なバージョン表記や修正パッチの適用状況が、脆弱性データベースの情報と正確に一致しないことで生じる「検知漏れ」や「過検知・誤検知」など、運用現場における効率性と正確性の両立が大きな課題となっていました。

今回のリニューアルでは、従来の「yamory」での手動運用から、システムによるリアルタイムレコメンドを活用し、お客様主導でその場ですぐに登録・設定ができる仕組みへと移行しました。これにより、IT資産管理におけるタイムラグと検知漏れや誤検知などの問題を根本から解消し、運用現場の実情をリアルタイムで管理・コントロールできる環境を実現します。

■ リニューアルの概要

今回のリニューアルでは、IT資産管理における製品特定の仕組みをCPEベースへと統合し、手動によるマスタ運用から「システムによるリアルタイムレコメンド」へとシフトします。

1. IT資産登録後、その場ですぐに脆弱性スキャンが可能に
   「CPEレコメンド機能」により、お客様がIT資産を入力したその瞬間に、システムが適切なCPE候補を提案します。その場で簡単に登録や更新ができ、登録後即座に脆弱性スキャンの結果を確認できるようになります。

2. 「アップデート（パッチ）管理」の高度化による、過検知・誤検知の解消
   CPEのアップデートフィールドを考慮したマッチングロジックへ進化しました。運用現場の実態に即した判定が可能になるため、「対策済みであるにもかかわらずアラートが鳴り続ける」といった過検知・誤検知を減らします。

3. 複雑なバージョン表記への対応による、深刻な「検知漏れ」の防止
   製品ごとに表記ルールが異なる複雑なバージョンであっても、強化されたロジックにより正確にマッチングします。検索の不一致による見逃し（検知漏れ）を防ぎます。

---

【脆弱性管理クラウド「yamory（ヤモリー）」について】

「yamory」は、ITシステムの脆弱性を自動検知し、管理・対策までを一気通貫で実現する国産クラウドサービスです。クラウド・オンプレミスの脆弱性管理、SBOM対応、EOL、OSSライセンスのリスクやクラウドの設定不備（CSPM）までセキュリティリスクを一元的に管理し、オールインワンでカバーします。

政府の「ISMAPクラウドサービスリスト」に登録され、高いセキュリティ水準で業界・規模を問わず多くの企業に採用されています。世界中でサイバー攻撃とその被害が拡大し、セキュリティリスクが経営課題となる中、複雑化するITシステムの網羅的な脆弱性対策を効率化し、誰もが世界標準の対策ができるセキュリティの羅針盤を目指します。

URL：https://yamory.io/

X：https://twitter.com/yamory_sec

【株式会社アシュアードについて】

「信頼で、未知を拓く。」をミッションとし、企業のセキュリティ対策を支援するサービスを運営。産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開するVisionalグループにおいて、サイバーセキュリティ領域を担い、脆弱性管理クラウド「yamory（ヤモリー）」、クラウドサービスのセキュリティ信用評価「Assuredクラウド評価」、取引先企業のセキュリティ信用評価「Assured企業評価」を展開。インターネットですべてが繋がる社会において、信頼から新たな繋がりを作り、新しい可能性を社会に生み出していくことを目指す。

URL：https://assured.inc

【Visionalについて】

「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、社内スカウトで人材流出を防ぐ「社内版ビズリーチ」、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。

URL：https://www.visional.inc/