オムロン ソフトウェア株式会社様

SBOMを活用した脆弱性管理によるセキュリティレベル向上

オムロン ソフトウェアは、1976年にオムロングループのソフトウェア開発会社として創業以来、駅の自動改札機や券売機、銀行ATM、クレジットカード決済端末、ヘルスケア機器、ファクトリーオートメーションなど、社会性・公共性の高い事業をソフトウェア技術で支え続けています。この度、SBOMを活用した脆弱性管理によるセキュリティレベル向上のため、yamoryの導入を決定いただきました。

そこで、 ITソリューション事業部 データイノベーション推進部　福田浩司様に、今回のyamory導入の背景についてお伺いしました。
 

福田氏：
私の所属する部署では、製造現場向けデータ活用プラットフォームの開発を担当しております。IoTやAI・ロボティクス技術の進展でモノづくりの進化が期待される一方で、多様化への対応や労働力確保、さらにはリスクマネジメントなど、工場経営では難しい舵取りが必要になっています。これらの課題を解決するべく、誰もがデータで語れる製造現場のDXの実現を支援しています。

お客様の重要データを扱うサービスであり、サイバーセキュリティ対策は重要視してきました。しかし、ソフトウェアの数が多く、さらにアプリロジック、OSなどレイヤーも多岐に渡るため、網羅的な対策が難しいと感じていました。また、担当者の対応工数がかさんでいる点も課題に感じており、ツールの導入を検討していました。  

 

福田氏：
まず1つ目に、UIがシンプルで使いやすい点です。yamoryはダッシュボードが非常にシンプルで分かりやすく、オートトリアージ機能により検出された脆弱性が対応優先度別に分類されるため、対応すべき脆弱性をすぐに確認することができます。

さらに、対応状況についても可視化されるため、これまでの属人的な対応から、チームでの対応となり、効率的かつ網羅的な脆弱性管理が可能になることを期待しています。

ダッシュボードイメージ

 

2つ目に、ライブラリやフレームワークなど、依存関係を含めてSBOM管理でき、脆弱性も正確に検知できる点です。「Apache Log4j」のようなライブラリが、どのソフトウェアでどう使われているかを探すのは容易ではありませんが、yamoryであれば簡単に見つけ出すことができ、迅速な対応が可能です。

 

依存関係を含めた構成情報の管理が可能

 

3つ目に、国産ツールであることから、検知された脆弱性の対応方法が日本語で明示されており、迅速かつ適切な対応が可能になる点です。

yamoryは日本語対応のUIやドキュメントが豊富で、検知された脆弱性の対応方法も日本語で明示されます。そのため、セキュリティ専門知識のないエンジニアでも対応が可能です。

海外製品とも比較しましたが、現場エンジニアからの総合的に使いやすいという声や、必要な機能を網羅しておりリーズナブルな価格であることから、yamoryの導入を決定しました。

 

脆弱性の対応方法に関するガイド