主な機能
IT システムの脆弱性をオールインワンで管理可能
-
ライブラリ / フレームワーク、ミドルウェア / OS の脆弱性を一元管理
- 国産でオールインワンは yamory だけ。IT システムで利用されるソフトウェアの脆弱性をyamory のみで検知、管理できるため、複数のツールを横断する必要がありません。
組織を横断した脆弱性対応状況を可視化
- チームやプロジェクトごとの脆弱性リスク数、脆弱性対応状況の推移をダッシュボードで確認することができます。
- 組織内の資産を横断的に検索できるため、各チームが保有している資産の把握や、脆弱性の影響範囲の把握ができ、開発現場のメンバーと柔軟に連携することができます。
脆弱性対応の業務フローを yamory で構築
- スキャンした瞬間から脆弱性対応の業務フローが構築されます。
- 資産の把握、リスクの解析、脆弱性の対応優先度付け、ステータス設定、脆弱性の発生通知などの業務フローを手間なく構築。
- さらに組織にあわせた脆弱性の対応優先度付けもできるため、環境に合わせたカスタマイズも可能です。
セキュリティアナリストがメンテナンスする脆弱性データベース
- yamory で利用される脆弱性データベースは、専属のセキュリティアナリストが分析、評価した情報で構成されています。
- より正確で安全な脆弱性データベースの品質管理に力を入れています。
オートトリアージ機能 ※ で脆弱性の優先度を自動で判断、調査工数を削減
- アプリレイヤ、ミドルウェアレイヤ共に、脆弱性の対応優先度を自動で判断する「オートトリアージ機能」を搭載しています。
- 対応優先度は、CVSS の Base Metrics だけでなく、外部からのアクセスや、攻撃用コードの流通の有無も加味し決定します。
- ※ オートトリアージ機能は特許を取得しています(特許番号:6678798)
ライセンス管理にまつわるリスクも可視化
- 商用での利用が困難な AGPL ライセンスや、配布時にソースコードの公開義務が発生するライセンス、リーバースエンジニアリングの許可などが発生する GPL 系ライセンスなどを可視化します。
- 依存関係上の混入箇所も可視化し、修正を支援します。
