FAQ
yamoryについて
| Q. | yamoryはどのようなサービスですか? |
|---|---|
| A. | yamoryは、クラウド環境からオンプレミス環境まで幅広く対応し、ソフトウェア(OSS)、ホスト(OS・ミドルウェア)、コンテナ、クラウドインフラ(CSPM)の脆弱性を一元的に可視化・管理するオールインワンの脆弱性管理プラットフォームです。さらに、脆弱性だけでなく、SBOM管理やソフトウェアのEOLやOSSライセンス違反のリスクも統合管理することで、企業のセキュリティ運用コストを大幅に削減します。 |
| Q. | 従来の脆弱性診断ツール(スキャナー)との違いは何ですか? |
|---|---|
| A. | アプリケーションのロジックのみを診断するツールとは異なり、OSSライブラリ(SCA)、OS・ミドルウェアから、クラウド設定(CSPM)やソフトウェアのEOL(サポート終了)まで幅広い領域を一元管理します。単発の診断とは異なり、yamoryはIT資産を常時監視し、新たに発見された脆弱性情報や攻撃コードの有無、システム構成などを分析して、対応すべき危険な脆弱性のみを自動で抽出します。 |
| Q. | どのような導入実績がありますか? |
|---|---|
| A. |
金融機関、IT・情報通信業、大手製造業など、厳格なセキュリティ基準が求められるエンタープライズ企業から急成長スタートアップまで幅広く導入されています。 導入事例はこちら:https://yamory.io/case |
スキャン機能・対応範囲
| Q. | 対応しているプログラミング言語の一覧は? |
|---|---|
| A. | 主要なプログラミング言語およびパッケージマネージャーに幅広く対応しています。 Java, Kotlin, Scala, JavaScript/TypeScript, PHP, Python, Ruby, C#/Visual Basic/F#(.NET), Go, Rust, Dart, Elixir, Swift などの言語に対応しており、最新の開発環境にも迅速に追従します。 |
| Q. | インフラ(OS・ミドルウェア)のスキャンに対応しているOSは何ですか? |
|---|---|
| A. | Linux、Windows Server、FreeBSD といった主要なOSに対応しています。これらのホストOS上で動作しているパッケージやミドルウェアの脆弱性を検知・管理することが可能です。 |
| Q. | OSSライセンス違反の検知・特定は可能ですか? |
|---|---|
| A. | 可能です。利用中のOSSライセンスを自動特定・一覧化し、危険性の高いライセンスの違反リスクを可視化できます。 |
| Q. | ソフトウェアのサポート終了(EOL)情報の検知は可能ですか? |
|---|---|
| A. | 可能です。OS、ミドルウェア、各種ライブラリのEOL情報を独自のデータベースと照合し、サポート期限が切れている、または期限が迫っているソフトウェアを期間別に自動検知します。 |
| Q. | コンテナイメージやKubernetes環境のスキャンに対応していますか? |
|---|---|
| A. | 対応しています。Dockerイメージ内のOSパッケージおよびアプリケーションライブラリの脆弱性スキャンが可能です。また、コンテナレジストリ(Amazon ECR, Google Artifact Registry等)との連携や、Kubernetes環境での実行中コンテナの監視もサポートしています。 |
| Q. | クラウド設定(CSPM)の診断範囲を教えてください。 |
|---|---|
| A. | 主要なパブリッククラウドである AWS(Amazon Web Services)、Azure(Microsoft Azure)、Google Cloud の設定不備(CSPM)を診断します。CIS Benchmarksなどのベストプラクティスに基づき、S3バケットの公開設定ミスやIAM権限の過剰付与などのリスクを検知します。 |
| Q. | SBOM(ソフトウェア部品構成表)の作成・出力・入力は可能ですか? |
|---|---|
| A. | 可能です。yamoryではSBOMの作成・出力だけでなく、外部で作成されたSBOMの入力(取り込み)にも対応しています。業界標準フォーマットである「CycloneDX」および「SPDX」形式をサポートしております。 |
| Q. | GitHub ActionsなどのCI/CDツールとの連携方法は? |
|---|---|
| A. | 専用のCLIツールを提供しており、GitHub Actions、Jenkinsなどのパイプラインに数行のコードを追加するだけで連携できます。 |
脆弱性・リスク管理
| Q. | CISAのKEVカタログ(悪用が確認された脆弱性リスト)との照合はできますか? |
|---|---|
| A. | 可能です。CISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)が発行する「KEVカタログ」とリアルタイムで照合し、実際にサイバー攻撃に利用されている極めて危険な脆弱性を即座に特定・アラート通知します。 |
| Q. | 脆弱性の優先順位付け(オートトリリアージ)機能はありますか? |
|---|---|
| A. | yamory独自のオートトリアージ機能は、以下の要素を掛け合わせて対応優先度を自動判定します。 ・CVSSなどの脆弱性スコア ・攻撃コードの流通有無とKEVカタログ情報 ・外部からのアクセス公開可否 ・事業に与える影響度(SSVCフレームワークの活用) |
| Q. | SSVC(Stakeholder-Specific Vulnerability Categorization)に基づいた判断は可能ですか? |
|---|---|
| A. | SSVCの概念を取り入れたリスク分析が可能です。脆弱性そのものの深刻度だけでなく、「攻撃コードの有無」「システムのインターネット露出状況」「ビジネスへの影響度」を意思決定ツリーで評価し、組織ごとの対応優先度を最適化します。 |
| Q. | 企業の階層やグループに合わせて利用できますか? |
|---|---|
| A. | 可能です。yamoryでは「組織」や「チーム」といった階層構造を作成し、それぞれの単位で柔軟にアクセス権限(ロール)を設定できます。親会社がグループ企業全体のセキュリティ・ガバナンスを統制しつつ、各部署や子会社が自部門のIT資産・脆弱性のみを独立して管理するといった、エンタープライズ規模での運用に対応しています。 |
外部ツール連携・導入
| Q. | SlackやTeamsなどの通知連携には対応していますか? |
|---|---|
| A. | 対応しています。メールやSlack、Microsoft Teams、Chatworkなどの主要なチャットツールや、Jiraといったチケット管理システムへのWebhook連携が可能です。新たな脆弱性の検知や、対応期限が迫っているタスクをリアルタイムで通知し、ワークフローを自動化します。 |
| Q. | 導入に際してエージェントのインストールは必須ですか? |
|---|---|
| A. | 必須ではありません。スキャン対象のレイヤーに応じて最適な方式を選択できます。 アプリケーション(OSS):ソースコードリポジトリとのAPI連携 インフラ(ホスト):CLIツールの配置とコマンド実行、またはSSH/WinRM経由でのエージェントレススキャン クラウド:クラウドプロバイダーAPI連携によるエージェントレス脆弱性スキャン |
| Q. | APIを利用した情報取得や外部システムとの連携は可能ですか? |
|---|---|
| A. | 可能です。yamoryが提供するAPIを利用することで、検知した脆弱性情報やIT資産のデータを取得できます。社内で利用している独自の運用管理プラットフォームや、各種チケット管理ツール等と柔軟に連携し、脆弱性対応のプロセスを自動化・効率化することが可能です。 |
無料トライアル
| Q. | 無料トライアルは可能ですか? |
|---|---|
| A. | 可能です。yamoryでは14日間の無料トライアルをご用意しており、ご契約前に実際の環境でお試しいただくことができます。 無料トライアルのお申し込みはこちら:https://yamory.io/demo |
| Q. | 無料トライアルではすべての機能を利用できますか? |
|---|---|
| A. | 無料トライアル期間中は、製品版と同じ機能をお試しいただけます。さらに、メールやチャットでのサポート、お打ち合わせにも対応しており、本契約と同等のサポートをご提供します。 |
| Q. | 無料トライアル期間で作成した環境は、契約後もそのまま利用できますか? |
|---|---|
| A. | そのままご利用いただけます。トライアル期間中に連携したリポジトリ、スキャン結果、設定内容などはすべて本契約環境へ引き継がれるため、スムーズに本稼働へ移行することが可能です。 |
セキュリティ・サポート
| Q. | yamory自体のセキュリティ体制(ISMS等)はどうなっていますか? |
|---|---|
| A. | お客様の重要なIT資産情報を扱うため、最高レベルのセキュリティ体制を構築しています。通信およびデータの暗号化やISMS認証の取得はもちろん、国産のSBOM・脆弱性管理ツールとして唯一ISMAP(政府情報システムのためのセキュリティ評価制度)に登録されています。さらに、定期的な第三者機関によるペネトレーションテストを実施し、システムの安全性を継続的に担保しています。 |
| Q. | 日本語によるサポートや活用支援の範囲を教えてください。 |
|---|---|
| A. | 国産の脆弱性管理ツールとして、海外製品にはない手厚い日本語サポートを提供しています。ツールの操作方法だけでなく、日本人専任スタッフによる導入オンボーディング、運用定着支援(カスタマーサクセス)、および日本語で解説された最新の脆弱性データベースを提供いたします。 |
| Q. | シングルサインオン(SSO)は可能ですか? |
|---|---|
| A. |
可能です。SAML 2.0に対応した主要なIDプロバイダー(IdP)である Microsoft Entra ID(旧 Azure AD)、Okta、Google Workspace などと連携したシングルサインオン(SSO)をご利用いただけます。 |
| Q. | 各種セキュリティガイドラインや法規制への対応(コンプライアンス)に活用できますか? |
|---|---|
| A. | ご活用いただけます。経産省のガイドラインや、金融庁のサイバーセキュリティガイドラインに対応します。また、欧州のCRA(サイバーレジリエンス法)やサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)、NIST CSF、PCI DSSの要件準拠にも貢献します。 |
CONTACT
お問い合わせはこちら
サービスの詳細を
知りたい方
実際の操作を見ながら
運用をイメージしたい方
課題のヒアリングや
相談をご希望の方
