Visionalグループは5月8日、同グループが運営する脆弱性管理クラウド「yamory」がSBOM機能に関する特許(特許第7470856号)を取得したと発表した。
「セキュリティ・バイ・デザインの浸透を目的としたビジネス/リスクオーナー等実践研修の構築にかかる調査研究」募集
同社が運営する「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策するクラウドサービス。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現する。
SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するために活用されているが、ソフトウェア名称の表記揺れでSBOMファイルのソフトウェア情報と脆弱性情報との突合が難しいといった課題があった。
yamory では、独自のデータベースと照合方法で表記揺れに対応し、バージョン情報の突合も可能となっているため、取引先やグループ会社が他のツールで作成・エクスポートしたSBOMを受け取った場合も、表記揺れに対応した上で脆弱性の検出ができる。
またyamoryでは、パッケージ管理されているソフトウェアでも、purlをキーとし、yamory独自の脆弱性データベースとマッチングすることで、ソフトウェア名称しかない場合、purlやCPEのようなソフトウェアを認識する方式が活用できる場合のどちらでもSBOM情報と脆弱性情報の精度の高いマッチングを実現する。
yamoryでは、SBOM標準フォーマットであるSPDX、CycloneDXおよびCSVでのエクスポート機能とインポート機能を提供している。
