TIS、SBOMと脆弱性の管理を統合し運用の最適化を実現する「OSS利活用環境向け脆弱性管理サービス」

　TIS株式会社は25日、株式会社アシュアードの脆弱性管理クラウド「yamory」を活用し、OSS利活用環境においてシステムの脆弱性管理を一元化する「OSS利活用環境向け脆弱性管理サービス」を提供開始すると発表した。サービスの提供にあたっては、TISがシステム導入と運用定着支援、アシュアードが脆弱性スキャンとトリアージ等の一元管理を担うとしている。

　「OSS利活用環境向け脆弱性管理サービス」は、インフラからアプリケーションまで一元的な脆弱性管理の自動化・可視化を行い、実践的な運用プロセスの設計・定着支援を一体で提供するサービス。アプリケーション開発環境における複数のIT基盤の脆弱性を、単一のプラットフォームで一元管理できる点が特徴で、従来は個別ツールや手作業で管理していたインフラ、ミドルウェア、クラウドサービスの脆弱性を、OSS（オープンソースソフトウェア）を含めて一元的に可視化できるとした。

　また、SBOM（ソフトウェア部品表）の生成と管理により、これまでブラックボックス化していたソフトウェアの透明性を高め、潜在的な脆弱性の早期発見と迅速なインシデント検知を実現するとのこと。

　導入・運用にあたっては、現場視点を持ったTISの専任のコンサルタントが、運用プロセスの設計から定着までをワンストップで支援する。一般的には、ルールの策定から定着まで、内製では半年から1年以上の期間がかかるというが、自社の環境に合わせた簡易運用設計による運用ルールの標準化・自動化を行うことで、30％～50％程度の期間短縮が見込めるとしている。

　加えて、これまで多くの企業で開発部門やプロジェクトごとに管理されていたOSSの利用状況を全社で一元的に可視化・管理できるようになるので、横断的な脆弱性管理体制が構築され、セキュリティガバナンスの強化を図れる点もメリット。セキュリティに関する知見が不足している現場でも、実践的な運用対応をスムーズに推進できるため、開発環境におけるセキュリティ対策の形骸化や属人化を防止するとのことだ。

　「OSS利活用環境向け脆弱性管理サービス」の価格は個別見積もりで、管理対象の資産数や必要な支援の内容によって変動するとしている。