企業・団体に対するサイバー攻撃が巧妙・複雑化している。昨今、ITシステムの主柱のひとつであるOSS(オープンソースソフトウェア)について、脆弱性対策の必要性が高まっている。日本では、政府がサイバー安全保障分野での対応能力向上を目指している。
今年5月に公布された「サイバー対処能力強化法」の下、重要インフラ等の安全確保に関連する企業は、自社開発システムや使用するOSSの脆弱性情報を正確かつ迅速に把握し、政府に提出する体制を構築する必要がある――が、脆弱性管理プロセスが担当者やプロジェクトごとに属人化していることも多く、これまでは開発担当者への運用負荷やガバナンス体制の形骸化が大きな課題になっていたという。
TISは25日、アシュアードの脆弱性管理クラウド「yamory」を活用しシステムの脆弱性管理を一元化する「OSS利活用環境向け脆弱性管理サービス」の提供を開始した。今回その機能を組合わせたyamoryは、国内では数少ない純国産の脆弱性管理クラウドで、SBOM(ソフトウェア部品表)対応を強みとしている。
インフラからアプリまで脆弱性管理の自動化・可視化を行い、実践的な運用プロセスの設計・定着支援を一括提供する。TISがシステム導入と運用定着支援、アシュアードが脆弱性スキャンとトリアージ等の一元管理を担う。新サービスは、①脆弱性の一元管理による最適化、②専任コンサルタントによるワンストップ支援で定着までの期間を30%~50%程度短縮、③部門やプロジェクトごとのOSS管理を統合しガバナンス強化――を特長とする。
サイロ化環境での分断型脆弱性管理をまとめて、最適運用を定着させることで、管理のブラックボックス化や形骸化を防ぎ、現場の運用管理コストを低減できるという。同社は、新サービスにより、複数IT基盤の活用環境や、既存脆弱性管理ツールによる運用フローが属人化している環境の最適化を支援する。