Cloudbase、組織・プロジェクト横断でSBOM情報を可視化・検索できる「ソフトウェアコンポーネント機能」を提供

　Cloudbase株式会社は9日、CNAPP（CSPM、SBOM、脆弱性管理）製品「Cloudbase」において、リソースに含まれるソフトウェアコンポーネントを組織・プロジェクトを横断して確認・検索できる「ソフトウェアコンポーネント機能」の提供を開始したと発表した。

　「Cloudbase」は、Amazon Web Services（AWS）、Microsoft Azure、Google Cloud、Oracle Cloudなどの主要なクラウド環境ならびにオンプレミス環境を対象に、設定ミスや脆弱性といったリスクを網羅的に検出・管理できるセキュリティプラットフォームである。

　同製品はすでにSBOM（Software Bill of Materials：ソフトウェア部品表）情報の管理機能を備えており、ワークロードリソースのSBOMをエクスポートする機能が提供されているが、JSON形式のため内容の把握や検索が難しかったほか、リソース単位でしか取得できず、組織やプロジェクト全体を横断した把握が困難という課題を抱えていたという。

　そこで今回は、SBOM情報を基にした「ソフトウェアコンポーネント機能」を追加し、リソースに含まれるソフトウェア情報を組織・プロジェクトを横断して可視化・検索できるように改善した。

　具体的には、プロジェクトページ配下に「ソフトウェア」画面が新設され、指定したプロジェクトやクラウドアカウントに含まれるソフトウェアコンポーネントと、それを含むリソース数を確認できるようになった。コンポーネント名による検索や、リソース数・コンポーネント名でのソートにも対応可能だ。

　また、各ソフトウェアコンポーネントをクリックすると、該当コンポーネントを含むリソース一覧がドロワー形式で表示され、リソースごとに「ソフトウェアのバージョン」「SBOMの最終更新日時」「クラウドアカウント情報」を確認できる。バージョン指定による絞り込みや、リソース名検索、SBOM更新日時でのソートにも対応している。

　加えて、SBOMが生成されるリソースの詳細画面に「ソフトウェア」タブが追加され、リソース単位で含まれるソフトウェアコンポーネントを一覧で確認できるようにした。SBOM更新日時はリソースごとに確認できるが、最新のSBOMファイルの生成に失敗した場合は、リソース詳細画面の脆弱性タブにエラーメッセージが表示される。この場合でも、過去に生成が成功した最新のSBOMファイルの更新日時が表示され、そのSBOMをもとに脆弱性スキャンが実行されるとのこと。

　さらに、ソフトウェアコンポーネント画面を用いて、脆弱性の影響を受けるソフトウェア名やバージョン情報をもとに、脆弱性への対応が必要な関連リソースを特定できるため、脆弱性スキャンでは検出できない、CVEがまだ採番されていない脆弱性の対応にも活用できるとしている。

　なお、リソース詳細画面の右上の「エクスポート」から「ソフトウェアコンポーネント」を選択することで、CSV形式でのデータ出力が可能だ。