アシュアードの脆弱性管理クラウド「yamory」、IT資産登録機能を強化し登録後すぐのスキャンに対応

　株式会社アシュアードは2日、脆弱性管理クラウド「yamory（ヤモリー）」で提供している「IT資産登録機能」をリニューアルしたと発表した。

　yamoryは、ITシステムの脆弱性を自動検知し、管理・対策までを一気通貫で支援するクラウドサービス。クラウド・オンプレミスの脆弱性管理、SBOM（ソフトウェア部品表）対応、EOL、オープンソースソフトウェア（OSS）ライセンスのリスク、クラウドの設定不備（CSPM）といったセキュリティリスクを一元的に管理できるという。

　このyamoryでは、企業が保有するIT資産（ハードウェア、ソフトウェア、ネットワーク機器等）の情報を取り込み、yamory上での資産管理および脆弱性の一元管理を可能にするIT資産登録機能を提供している。

　同機能では、資産情報をリスクデータベースと照合し、脆弱性を検出することが可能だったが、従来の仕組みでは、資産情報と脆弱性データベースのマッチングをyamoryの運用スタッフが手動で対応していたため、IPAが公表しているCPE（Common Platform Enumeration：共通プラットフォーム一覧）へのひも付けに時間を要し、スキャン実行までにタイムラグが発生していたという。

　また、IT製品ごとに異なる複雑なバージョン表記や修正パッチの適用状況が、脆弱性データベースの情報と正確に一致しないことで生じる「検知漏れ」や「過検知・誤検知」など、運用現場における効率性と正確性の両立が大きな課題になっていたとのこと。

　そこで今回は、IT資産管理における製品特定の仕組みをCPEベースへと統合し、手動によるマスタ運用から「システムによるリアルタイムレコメンド」へと変更した。利用企業がIT資産（名称、バージョン）を入力するとシステムが適切なCPE候補をリアルタイムに提案する仕組みで、その場で簡単に登録・更新を行えるようになり、登録後、即座に脆弱性スキャンの結果を確認できる。

　なお、製品ごとに表記ルールが異なる複雑なバージョンであっても、強化されたロジックにより正確にマッチングが行われるため、検索の不一致による検知漏れを防止できるとした。

　さらに、CPEのアップデートフィールドを考慮したマッチングロジックを導入し、運用現場の実態に即した判定が可能になるため、「対策済みであるにもかかわらずアラートが鳴り続ける」といった過検知・誤検知が減少するとしている。