SOMPOホールディングス株式会社様

効率的なSBOM対応によりソフトウェアサプライチェーン管理を推進

SOMPOホールディングス様は、「安心・安全・健康のテーマパーク」をブランドスローガンに掲げ、国内損保事業、海外保険事業、国内生保事業、介護・シニア事業を展開しています。大切なお客様情報を取り扱うことから、サイバーセキュリティ対策に力を入れており、直近では「デジタルサプライチェーン管理」や「ソフトウェアサプライチェーン管理」など、業界としても先進的な取り組みを行っています。

この度、効率的なSBOM対応やグループ全体での脆弱性管理によるセキュリティ強化のため、yamoryの導入を決定いただきました。そこで、IT企画部セキュリティエバンジェリストの小中 俊典氏、サイバーセキュリティグループ課長代理の片岡 創氏に、yamory導入の背景と活用方法についてお伺いしました。

同社による「デジタル／ソフトウェアサプライチェーン管理」への取り組みについての詳細記事
「ツールを活用しなければSBOMの管理は不可能」ソフトウェアサプライチェーン対応はデジタルビジネスの要件に ―SOMPOホールディングスが取り組む理由／＠IT Special 

SOMPOホールディングス株式会社様
国内損保事業、海外保険事業、国内生保事業、介護・シニア事業を展開

掲載日　　2023年8月

まず1つ目に、多岐にわたるソフトウェアおよびインフラを単一の管理画面で効率よく管理できる点です。

SOMPOホールディングスでは、デジタルサプライチェーン管理におけるアセットは全体で数万件を超えます。ソフトウェアサプライチェーン管理という観点では、ツールを活用しなければSBOMの管理も不可能です。インフラの管理からアプリケーションの開発まで幅広く手掛けているため、アプリからサーバー、インフラ面まで一貫して管理できることが重要でした。

 

yamoryでは多岐にわたるソフトウェアおよびインフラの一元管理が可能

 

2つ目に、ライブラリやフレームワークなど、依存関係を含むソフトウェア構成情報の管理と、SBOM対応が可能な点です。

「Apache Log4j」のようなライブラリが、どのソフトウェアでどう使われているかを探すのは容易ではありませんが、yamoryを利用すると、利用しているOSS（オープンソースソフトウェア）の中で、Apache Log4jを利用しているソフトウェアを簡単に見つけ出すことができます。

 

依存関係を含めた構成情報の管理が可能

 

また、弊社ではSBOM対応をいち早く推進していますが、yamoryではスキャンした構成情報を国際的なSBOM標準フォーマットでエクスポートすることもできます。また今後、取引先から提供されるSBOMファイルのインポート機能の追加や、VEX（Vulnerability Exploitability eXchange：ある製品が既知の脆弱性の影響を受けるかどうかを⽰す機械判読可能なセキュリティ勧告の⼀つ）にも対応するなど、SBOMの統合的な管理をyamoryで実現できることを期待しています。

3つ目に、ソフトウェアのみならずIT資産の脆弱性管理も可能な点です。

yamoryのIT資産登録機能により、アプリケーションだけでなく、インフラについても、利用しているゲートウェイ機器やファイアウォール機器などのIT資産を登録しておくと、OSに含まれる脆弱性を自動でチェックしてくれます。これまでは、グループ各社が独自にIT資産やソフトウェア情報を管理をしていたため、製品名・ソフトウェア名の表記揺れが発生し、自動スキャンツールでは脆弱性データベースとの突合が難しいという課題がありました。yamoryでは、独自の脆弱性データベースおよび照合方法により、表記揺れにも対応できる点を評価しています。

 

IT資産登録画面（イメージ）

 

4つ目に、攻撃リスクを加味した、現実的なトリアージが可能な点です。

yamoryが元々持っていたオートトリアージ機能に加え、KEVカタログ（Known Exploited Vulnerabilities Catalog：攻撃リスク評価のためCISAが公表している悪用が確認された脆弱性リスト）もリスク評価材料として加わりました。オートトリアージとKEVカタログを照合することで、脆弱性の検知数が多い際に、本当にリスクが高い脆弱性に絞り込むことができます。

最後に、yamoryが目指す世界観に共感できたことも導入の決め手でした。製品ロードマップも公開されており、ソフトウェアのEOL管理機能や、SBOM管理機能などの機能追加をはじめ、ITシステムやソフトウェア全体の脆弱性を統合管理できるユニークなツールとして、今後のサービスの進化に大きな期待を寄せています。