AGEST、独自のSBOM管理ツール「SBOM Archi」を提供

　株式会社AGESTは5日、独自のSBOM管理ツール「SBOM Archi」を提供開始すると発表した。

　SBOM管理ツールは、OSS利用の急増に伴うサプライチェーンリスクへの対応として、ソフトウェアの部品表であるSBOM（Software Bill of Materials）を管理することで、ソフトウェアに含まれるすべてのOSSを正確にリスト化し、どの製品にどのバージョンの脆弱な部品が使われているかを明確にする。また、日々更新される脆弱性情報と照らし合わせることで、リスクの影響範囲を即座に特定でき、セキュリティ対応のスピードと網羅性を飛躍的に向上させる。

AGESTは、SBOM管理の重要性が増す一方、国内では海外製品のコストや運用負荷が導入の壁となってきたと指摘。こうした課題を解決するため、日本の運用ニーズに最適化した純国産ツールとしてSBOM Archiを開発した。

　SBOM Archiは、SBOMを作成・アップロードするだけで、数万件の部品に潜む脆弱性やライセンス違反、EOL/EOSリスクを自動検出する。検出されたリスクは致命度レベル別に一覧化されるため、対応の優先順位を即座に判断できる。リスクの特定から評価、具体的な修正策の提示までをスムーズに行えるため、脆弱性が見つかってから実際の対策完了までのスピードを上げ、漏れのない着実なリスク管理を可能にする。

　組織、チーム、プロジェクトなど多様な主体別の管理が可能であり、主体間の横断分析にも対応する。また、将来的な大規模環境運用を見据えた設計となっており、CSBOM（Consolidated Software Bill of Materials）にも対応を予定する。

　脆弱性評価において、従来の深刻度スコアであるCVSSに加え、実際に攻撃される確率を定量的に予測するEPSS（Exploit Prediction Scoring System）の両指標に基づき、リスクを多次元的に評価する。これにより、緊急対応が必要な真のリスクを正確に特定する。

　Log4Shellのような重大インシデントが発生した場合に、自社のどこでそれが使われているか、またその影響がないかを、既存の各SBOM間で横断的にスキャン・追跡できる。インシデント対応状況の確認を可能にし、リスクとともにその作業負荷も大幅に軽減する。

　リスクを抱えたSBOMに対し、仮想SBOM上で部品の入れ替えやバージョンアップをシミュレートする機能（レコメンド機能）を備える。これにより、改善効果、影響範囲、適用工数の見積もりが容易になり、効率的なリスク低減プロセスをサポートする。

　SBOM Archiの価格（税別）は、初期手数料が10万円、月額利用料が10ホストまで5万円。オプションのSBOM作成サポートが1ホストにつき10万円。またAGESTでは、初月無償でサービスを試用できるキャンペーンを実施している。キャンペーン期間は2月28日申し込み受付分まで。