yamory Blog

OS、ミドルウェア・開発言語への対応と、ライセンス違反検知を開始

こんにちは、yamory プロダクトオーナーの鈴木です。

8月26日にyamoryは新機能を追加し、ITシステムの脆弱性とオープンソースのライセンス違反を一元管理できる国内初(※1)のサービスとして生まれ変わりました。本日はプロダクトオーナーの鈴木から、新機能の紹介と、開発背景についてご紹介させていただきます。

開発背景

yamoryの提供開始から2年が経過し、様々な企業様が抱える課題やニーズを集め抽出した結果、全てのITシステムのセキュリティリスクを一元管理したいとうニーズが多くあることがわかりました。

ITシステムには様々なレイヤーが存在しますが、従来の方法でセキュリティ対策を強化するためには、それぞれのレイヤー別にソリューションを導入しなくてはなりませんでした。しかしながら、いくつもソリューションを導入するには高額なコストになるだけでなく、自社内に脆弱性対策、管理のノウハウも少ないため、管理工数を考えると対策したくても足踏みしてしまうお客様が非常に多くいらっしゃいました。

現在提供しているシステムレイヤーと今後のロードマップ
現在提供しているシステムレイヤーと今後のロードマップ

yamory は中長期的にこれらのセキュリティ対策を一つのツールで一元管理できるクラウド時代の総合的なセキュリティサービスを目指しています。2年前、ライブラリ・フレームワークレイヤーの脆弱性管理ツールとしてリリースしましたが、第2弾として、サーバー内で利用している、OS・ミドルウェア・開発言語の脆弱性管理機能の開発をスタートしました。β版からご利用いただいているエムスリー様からも高い評価をいただき、この度、正式にリリースとなりました。エムスリー様からいただいたコメントはこちらです(https://www.visional.inc/ja/news/pressrelease/20210826.html)。

また、現在コンテナの脆弱性管理機能の開発も進めています。コンテナまで対応できると、ITシステム内部で利用しているソフトウェア脆弱性の課題は、ほぼ全てyamoryで解決できるようになり、クラウド時代の総合的なセキュリティサービスへまた一歩近づくことができると考えています。

オープンソースライセンス違反の検知機能は、お客様の中でもソフトウェアメーカーや、SaaS系企業様から多くのご要望をいただきました。ソフトウェアそのものを販売するビジネスでは、ソフトウェアのCDを販売するケースや、SDK配布、オンプレ環境へのモジュールをインストールするケースなど、ソフトウェアをコピーし配布するビジネスシーンが多く存在します。その配布するソフトウェアの中にGPL系のライセンスのライブラリが含まれていると、ソースコード全体の開示義務などが発生するため、ビジネス上のリスクとなる可能性があり、

オープンソースの資産情報もyamoryで管理しているので、オープンソースのライセンス情報や違反リスクも一緒に確認したいというご要望にお応えして、開発がスタートしました。

今回追加した新機能により、ITシステム基盤の脆弱性の管理・対策をすることでサイバー攻撃から身を守り、ITシステムの多様化や管理者による属人的な対応からの情報漏洩とオープンソースライセンス違反による法的リスクの軽減を実現します。

yamory新機能

追加した新機能の紹介

新機能(1) OSとミドルウェア・開発言語の脆弱性管理

ITシステムはOS、ミドルウェア・開発言語、ライブラリ・フレームワークなどのレイヤーで構築されています。これまでyamoryは、アプリケーション内で利用されているライブラリ・フレームワークにおける脆弱性に対応してきましたが、新機能ではOS、ミドルウェア・開発言語の脆弱性も自動検知し、管理・対策ができるようになります。

ホスト一覧画面
ホスト一覧画面

新機能(2) オープンソースライセンス違反の検知

オープンソースは誰でも自由に無償で入手できるメリットがある一方、それぞれのオープンソースで利用時のライセンス(ソフトウェアの利用許諾契約書)が定められています。これらのソフトウェアの利用条件を把握せずに、意図せず著作権を侵害してしまうリスクが存在しており、損害賠償やソースコードの公開を請求されるなど、経営上の大きな損失につながるケースが多数発生しています。yamoryでは、ITシステムを利用しサービス提供している企業様向けにまず大きなリスクとなり得る、AGPL系、GPL系のライセンスリスク違反リスクを可視化、リスク別にトリアージし、対策を進められるようにしました。

ソフトウェアライセンス画面
ソフトウェアライセンス画面

yamoryは、「情報漏洩リスクをゼロにする」を目指しています。新しい技術が次々に生まれて、会社や事業、サービスごとに最適な開発環境が変わり続ける中、企業は属人的なセキュリティ担保や手間のかかる脆弱性診断だけでは対応が追いつかなくなるでしょう。今後、yamoryは様々なセキュリティ対策やリスク管理を一元化と、脆弱性の対応の自動化を推進していくことで、TCO(Total Cost of Ownership)の削減、情報漏洩リスクの軽減に加えて、お客様のDXの推進に寄与してまいります。



※1 当社調べ

プレスリリース:
脆弱性管理クラウド「yamory」、
OS、ミドルウェア・開発言語への対応と、ライセンス違反検知を開始
〜国内初、脆弱性とオープンソースライセンス違反の一元管理を実現〜
https://www.visional.inc/ja/news/pressrelease/20210826.html

オープンソース脆弱性管理ツール yamory

  • 利用中のOSSを抽出し
    脆弱性を自動スキャン
  • 脆弱性への対応優先度を自動で分類
  • 組織規模に合わせたプランを選択可能
お問い合わせ

お気軽にお問い合わせください。
担当者よりご連絡いたします。