サイバーセキュリティクラウド、脆弱性管理ツール「SIDfm VM」でSBOM管理機能を提供
株式会社サイバーセキュリティクラウドは23日、脆弱性対応の運用を効率化するソリューション「SIDfm」で提供されている脆弱性管理ツール「SIDfm VM」に、「SBOM管理機能」を追加すると発表した。
SIDfm VMは、オンプレミスでもクラウドでも利用可能な脆弱性管理プラットフォームで、自社のセキュリティポリシーを守りながら、脆弱性の自動検出、対応状態の一元管理で継続的な脆弱性管理を実現するという。
今回はこのSIDfm VMに、SBOM(Software Bill of Materials)の管理機能を追加した。SBOMとは、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を、正確に把握するために使われている「ソフトウェア部品表」のことで、現在では、SBOM導入のためのサポートや作成ツールがさまざま提供されるようになってきている。
株式会社サイバーセキュリティクラウドは23日、脆弱性対応の運用を効率化するソリューション「SIDfm」で提供されている脆弱性管理ツール「SIDfm VM」に、「SBOM管理機能」を追加すると発表した。
SIDfm VMは、オンプレミスでもクラウドでも利用可能な脆弱性管理プラットフォームで、自社のセキュリティポリシーを守りながら、脆弱性の自動検出、対応状態の一元管理で継続的な脆弱性管理を実現するという。
今回はこのSIDfm VMに、SBOM(Software Bill of Materials)の管理機能を追加した。SBOMとは、ソフトウェアサプライチェーンのなかで利用されているソフトウェア部品を、正確に把握するために使われている「ソフトウェア部品表」のことで、現在では、SBOM導入のためのサポートや作成ツールがさまざま提供されるようになってきている。
このため、ソフトウェア提供者が利用者に対してSBOMを納品することは比較的容易になっているものの、その一方で、効果的な脆弱性管理を実施するためには、SBOMに記述されているオープンソースソフトウェア(OSS)などに新たな脆弱性が報告された場合、それを迅速に検知し、適切に対処する必要があるとのこと。
さらに対処プロセスも複雑化しており、SBOMが納品された製品ごと(場合によってはバージョンごと)に、サプライチェーンに対するコミュニケーションや対処状況の管理、製品のアップデートといった暫定対処が必要となり、組織的な取り組みが求められているという。
そこでサイバーセキュリティクラウドでは、脆弱性管理を一元化できるSIDfm VMに、SBOMのファイルをインポートできる機能を追加した。ホストの構成情報とひも付けことで、管理対象ホスト単位でSBOMをインポートしているかどうかが一目で確認できるほか、インポートされたSBOMを、自動で脆弱性データベースとの照合用データに変換し、脆弱性の早期検出を可能にしている。
加えて、SIDfm VMのカスタムカテゴリやルール設定機能を用いて、必要な担当者に必要な情報のみを自動で連携することも可能になった。これによりセキュリティ管理者は、各担当者やサプライチェーンの対処状況を、SBOM以外でも管理しているホストの脆弱性と合わせて、一元的に把握できるとしている。
