脆弱性管理クラウド「yamory」、Log4jの脆弱性に対応した自動検知サービスを30日間無償提供
Techable / 2021年12月21日 7時0分
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」に深刻な脆弱性(Log4Shell、CVE-2021-44228)があることが公表されました。「Apache Log4j」が広く利用されているライブラリであるうえに、攻撃が非常に容易であるという理由から、深刻な脆弱性と言われています。
JVM系言語(Java、Scala、Kotlinなど)でソフトウェアを開発・運用をしている場合は、脆弱性の対象となっている「log4j-core」に依存している可能性があるため、依存関係の確認とアップデートなどの対策が必要とのことです。
そこでこのたび、ビジョナル・インキュベーション株式会社は、この脆弱性の対策に便利な機能を備えた脆弱性管理クラウド「yamory(ヤモリー)」の無償提供に踏み切りました。
システムの脆弱性などを一元管理「yamory」とは、ITシステムにひそむ脆弱性を自動検知し、シンプルな対応フローを構築するクラウドサービス。脆弱性の危険度のレベルを独自の脆弱性データベースで算出し、対応の優先度を自動で判断するオートトリアージ機能(特許取得済み)を搭載しています。
ライブラリ・フレームワーク、ミドルウェア・OSを数分でスキャンし、これらにひそむ脆弱性とオープンソースのライセンス違反を一元管理可能。脆弱性の発生状況および対応状況を可視化したり、Slackで通知したりすることができます。また、コマンドラインを用いることでCI・CD などの開発フローに組み込むことが可能で、脆弱性管理の効率化が見込めるようです。
「yamory」のLog4j対応機能そんな「yamory」が無償提供を開始。2021年12月20日~2022年1月31日の期間に申し込みをした場合、利用開始日から30日間は無料で利用することができます。
「log4j-core」は、直接依存ではなく間接的に依存しているケースも多いため、この脆弱性の対策を進める際は間接依存も正確にスキャンできるツールが必要なようです。「yamory」のアプリライブラリスキャン機能は、ソフトウェアの依存関係を正確にスキャンし、依存のツリー構造ごとデータベース化し可視化するため、対象のソフトウェアが依存関係上どこにあるのかを正確に把握可能。つまり、間接依存の脆弱性検知も検知できるということです。
また、脆弱性が発見された際には、対象のソフトウェアを利用している部署やチームの確認と対応進捗状況の確認が必須に。この場合は、セキュリティチーム機能を使って、チームをまたいだ組織全体でのソフトウェアの横断検索や脆弱性の横断検索をすることができます。
さらに「yamory」では、セキュリティアナリストが脆弱性データベースを日々更新しているため、0-day攻撃の早期検知も可能とのこと。万が一、データベースの更新にタイムラグが生じても、ソフトウェアの横断検索機能を通じ、0-day攻撃を検知し、対策を講じることができるといいます。
PR TIMES
「yamory」サービスサイト
(文・Higuchi)
外部リンク
この記事に関連するニュース
-
『脆弱性管理の自動化』というテーマのウェビナーを開催
PR TIMES / 2024年7月4日 11時15分
-
脆弱性管理クラウド「yamory」、ピー・シー・エーの活用事例を公開
PR TIMES / 2024年7月2日 12時15分
-
【導入事例】日本発のクラウドセキュリティ企業「Cloudbase」、TOPPANホールディングス株式会社の導入事例を公開
PR TIMES / 2024年6月26日 12時15分
-
脆弱性管理クラウド「yamory」、「オートトリアージ機能」に関して米国特許を取得
PR TIMES / 2024年6月25日 11時45分
-
企業のDXを支援するラキールが、脆弱性管理クラウド「yamory」を導入
PR TIMES / 2024年6月20日 12時15分
ランキング
-
1世界規模のWindows障害が情シス的にだいぶ恐怖なワケ ブルースクリーン多発事件
ITmedia NEWS / 2024年7月19日 18時18分
-
2米クラウドストライク、カーツCEOが状況説明もユーザーは恨み節 「配布前にテストしたのか?」「なぜ金曜日に」
ITmedia NEWS / 2024年7月19日 22時5分
-
3世界規模でWindowsがブルスクに うちのPCには影響あるの?
ITmedia NEWS / 2024年7月19日 16時25分
-
4「会社のWindows PCが突如ブルースクリーンに……」 世界中で報告相次ぐ 「仕事ができない」
ITmedia NEWS / 2024年7月19日 14時49分
-
5楽天の「ポイント運用」を約1年間やってみた 運用益はどうだった?
Fav-Log by ITmedia / 2024年7月18日 6時50分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)