2023/4/24

これまでExcel等で独自に管理されていたネットワーク機器等のIT資産やコンポーネント情報を取り込み、yamory上での資産管理および脆弱性の一元管理を可能にする「IT資産登録機能」を2023年4月24日にリリースいたします。

これによりクラウドのみならずオンプレミス環境のIT資産やコンポーネント情報の統合的な脆弱性管理が可能になります。ITシステムに必要な脆弱性対策をオールインワンで実現し、安心してテクノロジーを活用できる世界を目指してサービスを磨いてまいります。

サイバー攻撃が巧妙化する中、ネットワーク機器の脆弱性を悪用した攻撃が多発しています。昨今では、VPNの脆弱性を突かれたことによる医療機関へのサイバー攻撃が大きな話題となりました。この攻撃で悪用された可能性のある脆弱性（CVE-2018-13379）は、2019年に修正プログラムが公開されているにもかかわらず、2021年には63万件以上検出される（※1）など、多くの組織がVPN機器における脆弱性管理を徹底できておらず、それを見越した攻撃者による攻撃が行われています。ネットワーク機器の脆弱性を悪用したランサムウェアの侵入を防ぐためには、組織におけるIT資産・リスクを洗い出し、脆弱性管理を徹底する必要があります。

一方で、ネットワーク機器をはじめC/C++系のライブラリ、商用のミドルウェア等、自動スキャンツールではアセット検出ができないことが多く、その脆弱性管理はExcel等で独自管理しなければならず、多大な工数がかかっていました。

yamoryでは、これまで自動スキャンによるソフトウェアの脆弱性管理を提供してきましたが、昨今のインシデント増加を受け、Excel等で独自に管理されていたネットワーク機器等のIT資産やコンポーネント情報を取り込み、yamory上での資産管理および脆弱性の一元管理を可能にする「IT資産登録機能」をリリースいたします。
これにより、クラウドのみならずオンプレミス環境のIT資産やコンポーネント情報を含めた統合的な脆弱性管理が実現します。

※1　参照：https://www.trendmicro.com/ja_jp/jp-security/22/k/securitytrend-20221104-01.html

各社が独自でIT資産やコンポーネント情報をExcel等で管理している場合、製品名・ソフトウェア名の表記揺れ等の問題が発生し、自動スキャンツールによる脆弱性データベースとの突合が難しいという課題がありました。yamoryでは独自の脆弱性データベースおよび照合方法により、表記揺れにも対応することが可能です。

新機能によりyamoryでは、自動スキャンで検知しているソフトウェアと、Excel等でアップロードされたIT資産の脆弱性管理を一元化することができます。そのため、より効率的で網羅的な脆弱性の検知、管理・対策が可能になり、現状把握と着手すべき点が一目でわかります。

ネットワーク機器のみならず、C/C++系のライブラリ、よく使われるミドルウェアや商用のソリューションなど、幅広くカバーできます。

＜対応機器・ソフトウェアの例＞

• ネットワーク機器（Cisco系／Fortinet系／F5系／Allied Telesis系等）
• C/C++、Java等のライブラリ（glibc／openssl／zlib／busybox／opencv／Java SE JDK／OpenJDK／jQuery等）
• よく使われているミドルウェア（WordPress／Apache HTTP Server／nginx／Tomcat／Node.js／OpenStack／Samba等）
• 商用のミドルウェア・ソリューション（Microsoft系／Apple系／Oracle系／Palo Alto Networks系／Adobe系ソフトウェア等）

「Enterpriseプラン」でご利用いただけます。