脆弱性管理クラウド「yamory」、SBOM機能に関する特許を取得

Visionalグループが運営する脆弱性管理クラウド「yamory（ヤモリー）」（https://yamory.io/　以下、yamory）は、SBOM（Software Bill of Materials）機能に関する技術について特許を取得したことをお知らせいたします。 （特許番号 ：特許第7470856号）

ソフトウェア名称の表記揺れや脆弱性情報との突合といったSBOMの課題を解決し、国内におけるSBOM推進、ソフトウェアサプライチェーンのセキュリティ向上に貢献してまいります。

特許を取得した機能について

SBOMとは、ソフトウェア部品表のことで、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を正確に把握するために活用されます。

ソフトウェアの依存関係とシステムレイヤーの複雑化が進むなか、サイバーセキュリティリスクの高まりや多発するインシデントを受け、米国では大統領令が発令、EUでは「サイバーレジリエンス法案」が公表されるなど、世界的にSBOMの普及が進みつつあります。

日本国内においても、SBOM導入に向けた取り組みが進んでおり、今後国内においても様々な業界で対応が求められると考えられます。

そこでyamoryでは、SBOM標準フォーマットであるSPDX、CycloneDXおよびCSVでのエクスポート機能およびインポート機能を提供しています。

SBOMの課題

SBOM運用においては下記のような課題が挙げられます。

・ソフトウェア名称の表記揺れが発生し、SBOMファイルのソフトウェア情報と脆弱性情報との突合が難しい。

・一部、purl（Package URL）やCPEのようなソフトウェアを認識する方式が活用されるケースもあり、purlやCPEがある場合／ソフトウェア名称しかない場合、それぞれのパターンに対応したマッチング手法が必要。

特許のポイント

１．SBOMを利用した脆弱性管理の課題である表記揺れに対応

ソフトウェアには世界的に活用されている統合IDがなく、ソフトウェア名称で認識する必要があるため、SBOMを作成する際に、企業間でソフトウェア名称やバージョンの付け方に表記ゆれが発生することが多く、SBOMファイルのソフトウェア情報と脆弱性データベースとの突合が難しくなります。

yamoryでは、独自のデータベースおよび照合方法により、表記揺れにも対応することができ、バージョン情報の突合も可能です。そのため、取引先やグループ会社が他のツールで作成・エクスポートしたSBOMを受け取った場合でも、表記揺れに対応した上で脆弱性の検出を行うことができます。

２．SBOM情報と脆弱性情報のマッチング

yamoryではソフトウェア名称の表記揺れに対応しているほか、パッケージ管理されているソフトウェアの場合にも、purlをキーとし、yamory独自の脆弱性データベースとマッチングします。そうすることで、ソフトウェア名称しかない場合、purlやCPEのようなソフトウェアを認識する方式が活用できる場合のいずれにおいてもSBOM情報と脆弱性情報の精度の高いマッチングを実現しています。

また、マッチングのトリアージには、オートトリアージ機能（特許第6678798号、特許第7008922号）に加え、KEVカタログ（※）も、リスク評価に使用しています。

※Known Exploited Vulnerabilities Catalog：攻撃リスク評価のためCISAが公表している悪用が確認された脆弱性リスト

今後も、yamory独自の機能開発および知財戦略に沿った特許取得を進め、安心してテクノロジーを活用できる世界を目指し、サービス向上に努めてまいります。

＜SBOMウェビナー開催＞

今、対応が求められるSBOMとは？SBOM（ソフトウェア部品表）の重要性と効率的な対応方法

SBOMについての概要と重要性をご説明し、yamoryを活用した効率的なSBOM対応・SBOM機能をお伝えするウェビナーを開催しています。SBOM対応を検討中の方はぜひご参加ください。

• 開催日：5月21日（火）13:00-14:00

• 参加料：無料

• 視聴方法：Zoom　

• 申込：https://seminar.yamory.io/about_sbom_202405_archive

• 内容：

  • SBOMについての概要と重要性のご説明

  • yamoryを活用した効率的なSBOM対応

  • SBOMインポート機能のご紹介

  • Q＆A

• こんな方におすすめです

  • 情報システム部、開発部担当、セキュリティのご担当者

  • 現在、自社にてSBOMの運用をされている方

  • SBOMについて情報収集をされている方

• 参加特典：yamoryの14日間無料トライアル

【脆弱性管理クラウド「yamory（ヤモリー）」について】

「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理（CSPM）を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。

URL：https://yamory.io/

X（旧Twitter）：https://twitter.com/yamory_sec

運営会社：株式会社アシュアード　https://www.visional.inc/ja/assured.html

 【Visionalについて】 

「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。

URL：https://www.visional.inc/