株式会社アズビル様

組み込み製品におけるSBOMの世代管理を実現

アズビルは、計測・制御をキーテクノロジーとして、「ビルディングオートメーション」「アドバンスオートメーション」「ライフオートメーション」の３つの事業をグローバルで展開しています。インターネットを通じたサービスの利用が浸透する中、拡大するサイバー攻撃の脅威に備えたセキュリティ対策が重要なテーマとなっています。また、様々な業界でSBOMに関するレギュレーションが整備される中、SBOM対応の必要性を感じ、yamoryの導入を決定いただきました。

そこで、デジタル推進本部サイバーセキュリティ室 上田様に、今回のyamory導入の背景についてお伺いしました。

上田氏：
当社では、提供する商品の企画、設計・開発から運用に至るライフサイクルを通じたセキュリティ対策の強化を念頭に、サイバーセキュリティ室を設置しており、azbilグループの商品やサービスの利用に際しての安全性を高いレベルで確保すべく施策を展開しています。
具体的には、脆弱性情報を収集し各開発部門などへ展開、開発部門側では、影響調査やパッチ適用などの対応業務を行ってもらっていました。これらの業務には膨大な工数がかかるだけでなく、タイムリーな脆弱性情報の取得が難しいことや、抜け漏れのリスクがあることなどの課題があり、効率的かつ網羅的な手法を検討していました。また、製品ごとの構成管理や世代管理・バージョン管理の難しさも感じており、一元管理が可能な脆弱性管理ツールを導入したいと考えていました。
 

まずはじめに、組み込み系の開発言語も含めて脆弱性情報を自動で収集し、製品コンポーネント毎に脆弱性を通知してくれる点です。
これまでは脆弱性情報を収集し、人の手でどの製品に影響がある脆弱性かを見極めていましたが、yamoryで自動化することで、工数削減と抜け漏れの防止、タイムリーな情報取得および開発部門への通知が可能になりました。また、オートトリアージ機能により対応の優先度が自動判定されるため、すぐに対応すべき脆弱性から順に対応するなど、対応業務の効率化につながる点に期待しています。
 

2つ目に、チーム管理機能を用いて開発部門の状況を可視化することで組織的な管理が可能になる点です。
当社ではお客様から製品に対し、特定のコンポーネントが含まれていないか確認されることがあります。それらは重大な脆弱性があると世間で騒がれているものがほとんどです。これまでは、各製品担当に対し、該当のコンポーネントを使用していないか聞いて回っていました。yamoryでは、特定のOSSやサードパーティーコンポーネントの使用有無について、製品を横断して一括で確認でき、その対応状況についても確認できるため、抜け漏れなく、最新の状況を正しく把握することができます。それによりお客様からの質問に対し、迅速に正しく回答することができるようになりました。