アシュアード、脆弱性管理クラウド「yamory」に組織のポリシーに合わせて対応の優先度を自動判別する新機能を追加

　株式会社アシュアードは23日、脆弱性管理クラウド「yamory（ヤモリー）」において、脆弱性対応の優先度を自動判別する「オートトリアージ機能」を強化したと発表した。組織のセキュリティポリシーに合わせて判定条件を設定できる「オートトリアージカスタマイズ機能」を新たに提供開始する。なお同機能は、「エンタープライズプラン」のユーザーが利用できる。

オートトリアージ機能の自動判定ロジック（標準）

　yamoryは、ITシステムの脆弱性を自動で検知し、管理・対策を可能にするクラウドサービス。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理（CSPM）を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現できるという。

　同サービスでは、その機能のひとつとして、CVSS深刻度、攻撃コードの有無、公開サービスかどうかなどの情報を複合的に分析し、脆弱性の危険度を自動判定する「オートトリアージ機能」を提供している。同機能を利用すると、標準的な評価に基づいた対応の優先度付けが可能だが、今回は、各組織の固有の環境やリスク許容度に基づいた、より効率的な運用を実現するため、組織のセキュリティポリシーに合わせて判定条件をカスタマイズできる「オートトリアージカスタマイズ機能」を新たに追加した。

　「『攻撃元区分：ネットワーク経由』かつ『脆弱性種別：RCE（リモートコード実行）／認証バイパス』の脆弱性を重視する設定を追加」といったように、CVSS攻撃元区分と脆弱性種別を組み合わせた条件を各レイヤ最大5つまで設定可能。また、ホスト・コンテナイメージにおいては、各ディストリビューション（Ubuntu、Oracle Linux、Amazon Linux、Red Hat Enterprise Linux、Alpine、Debian、FreeBSD、Windows）ごとに個別の条件を設定できるため、それぞれの特性に合わせた精度の高いトリアージを実現するとした。

　アシュアードでは、これにより、アプリライブラリ、ホスト・コンテナイメージ、IT資産のすべての管理対象において、組織独自のリスク評価基準をyamoryの自動判定ロジックに反映できるようになり、セキュリティ運用の効率化とガバナンス強化を同時に実現できると、そのメリットを説明している。