ニュース

脆弱性管理クラウド「yamory」、組み込みソフト向けのSBOM管理機能を強化

 Visionalグループは20日、脆弱性管理クラウド「yamory(ヤモリー)」がC/C++言語に対応し、製造業をはじめとする組み込みソフトウェアの開発向けに、SBOM(ソフトウェア部品表)管理機能を強化したと発表した。この強化により、組み込みソフトウェアでのSBOM自動生成、エクスポート/インポートが可能になったという。

 SBOMとは、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を、正確に把握するために使われている「ソフトウェア部品表」のこと。日本ではこれまで、自動車や医療機器、決済システムなど、特定業界のレギュレーションの中でSBOM対応が義務付けられてきたが、近年では、EUサイバーレジリエンス法案、U.S. Cyber Trust Mark、NIST SP 800-218(SSDF)など、業界を越えた国単位での規制・ガイドラインが策定されてきたとのこと。

 この中でも特に、今年中に施行される予定のEUサイバーレジリエンス法案では、EU域内でのデジタル製品に対するサイバーセキュリティ要件の厳格化を規定しており、日本にも、サプライチェーンのサイバーセキュリティを通じて、製造業を中心に幅広く影響することが見込まれているという。

 同法案では具体的に、製造業者の義務として、製品に統合されているOSS(オープンソースソフトウェア)コンポーネントの脆弱性を特定した場合、それらを維持する個人/団体に報告する必要があるとされており、Visionalグループでは、SBOM対応ができていないと、これらの報告義務を順守できない点を指摘。SBOMの必要性をアピールしている。

 一方yamoryは、ITシステムの脆弱性を自動で検知し、管理・対策を行えるクラウドサービスで、ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現してきた。

 このyamoryでは、SBOMに対する取り組みも順次進めており、SBOM標準フォーマットであるSPDX、CycloneDXおよびCSVでのエクスポート/インポート機能をすでに実装しているが、今回、組み込みソフトウェアの開発向けにSBOM管理機能を強化。SBOM自動生成が可能になったとしている。なお同社は、SBOMに関して、ソフトウェア名称の表記揺れに対応できる特許を取得しており、SBOM情報と脆弱性情報との高精度なマッチングを実現しているとのことだ。