脆弱性管理クラウド「yamory」とは
「yamory」は、オープンソースの脆弱性と対応優先度を自動で可視化する、セキュリティツールです。
オープンソースの利用状況を把握し、脆弱性ごとの対応優先度と、現実的な対策を提示します。
※Log4jも対応
サイバー攻撃の85%は既知の脆弱性が標的になっています。IT システムの脆弱性対策を行いましょう
■OS : Amazon Linux・RedHat・CentOS・Debian・Ubuntu
■ミドルウェア : Apache・Nginx・MySQL・Tomcat・OpenSSL・glibc・zlib・libxml2
■開発言語 : Java・Ruby・PHP・Python・Go・C#・JavaScript
■フレームワーク : Struts・Spring・Ruby on Rails・Laravel・Django・React・.NET Core
※ 引用元 : データ漏洩/侵害調査報告書
脆弱性管理クラウド「yamory」でできること
【 IT システムに潜む脆弱性をオールインワンで管理可能 】
◆ ライブラリ、フレームワーク、ミドルウェア / OS スキャン対応
◆ 組織を横断した脆弱性対応状況を可視化
◆ 脆弱性の対応管理や通知などの業務フローを構築
【 脆弱性の修正対応をするエンジニアの負担を最小限に 】
◆ 攻撃リスクを加味して対応優先度を自動で優先度付け
◆ 脆弱性の発生状況、管理進捗をメールや Slack で通知
◆ CI、CD などの開発フローに組み込むことで効率化
【 オープンソースのライセンス違反リスクの可視化 】
◆ AGPL などの商用利用が難しいソフトウェアを抽出、可視化
◆ 配布時に特に配慮が必要となる GPL 系ライセンスを可視化
◆ 依存関係上の混入箇所も可視化し、修正を支援
脆弱性管理クラウド「yamory」の強み
◆組織を横断した脆弱性対応状況を可視化
チームやプロジェクトごとの脆弱性リスク数、脆弱性対応状況の推移をダッシュボードで確認できます。
組織内の資産を横断的に検索できるため、各チームが保有している資産の把握や、
脆弱性の影響範囲の把握ができ、開発現場のメンバーと柔軟に連携することができます。
◆脆弱性対応の業務フローを yamory で構築
スキャンした瞬間から脆弱性対応の業務フローが構築されます。
資産の把握、リスクの解析、脆弱性の対応優先度付け、ステータス設定、
脆弱性の発生通知などの業務フローを手間なく構築。
さらに組織にあわせた脆弱性の対応優先度付けもできるため、環境に合わせたカスタマイズも可能です。
◆セキュリティアナリストがメンテナンスする脆弱性データベース
yamory で利用される脆弱性データベースは、専属のセキュリティアナリストが分析、
評価した情報で構成されています。
より正確で安全な脆弱性データベースの品質管理に力を入れています。
◆ライセンス管理にまつわるリスクも可視化
商用での利用が困難な AGPL ライセンスや、配布時にソースコードの公開義務が発生するライセンス、
リーバースエンジニアリングの許可などが発生する GPL 系ライセンスなどを可視化します。
依存関係上の混入箇所も可視化し、修正を支援します。
◆オートトリアージ機能 ※ で脆弱性の優先度を自動で判断、調査工数を削減
アプリレイヤ、ミドルウェアレイヤ共に、脆弱性の対応優先度を自動で判断する
「オートトリアージ機能」を搭載しています。
対応優先度は、CVSS の Base Metrics だけでなく、外部からのアクセスや、
攻撃用コードの流通の有無も加味し決定します。
※ オートトリアージ機能は特許を取得しています(特許番号:6678798)