| ーリソースに含まれるソフトウェア構成・バージョン情報から影響範囲を可視化ー |
| Cloudbase株式会社(本社:東京都港区、代表取締役CEO:岩佐晃也)は、同社が提供する国産CNAPP(CSPM、SBOM、脆弱性管理)「Cloudbase」において、リソースに含まれるソフトウェアコンポーネントを組織・プロジェクト横断で確認・検索できる「ソフトウェアコンポーネント機能」を新たにリリースしたことをお知らせします。 | |||||||||
| 本機能により、従来はJSON形式で個別リソースごとに確認する必要があったSBOM(Software Bill of Materials)情報を、より直感的かつ俯瞰的に把握できるようになります。 | |||||||||
| 開発背景 | |||||||||
| 近年、OSS(オープンソースソフトウェア)を含むソフトウェアサプライチェーンの可視化と管理は、セキュリティ対策における重要なテーマとなっています。 | |||||||||
| Cloudbaseではこれまで、ワークロードリソースのSBOMをエクスポートする機能を提供してきましたが、 | |||||||||
|
|||||||||
| といった課題がありました。 | |||||||||
| そこで今回、SBOM情報を基にした「ソフトウェアコンポーネント機能」を追加し、リソースに含まれるソフトウェア情報を組織・プロジェクト横断で可視化・検索できるようにしました。 | |||||||||
| 新機能の概要 | |||||||||
| 1. ソフトウェア画面の追加 | |||||||||
| プロジェクトページ配下に「ソフトウェア」画面を新設しました。サイドバーの「リソース > ソフトウェア」からアクセス可能です。 | |||||||||
| 本画面では、指定したプロジェクトやクラウドアカウントに含まれるソフトウェアコンポーネントと、それを含むリソース数を確認できます。 | |||||||||
| コンポーネント名による検索や、リソース数・コンポーネント名でのソートにも対応しています。 | |||||||||
|
|||||||||
| 2. コンポーネント単位でのリソース把握 | |||||||||
| 各ソフトウェアコンポーネントをクリックすると、該当コンポーネントを含むリソース一覧がドロワー形式で表示されます。 | |||||||||
| リソースごとに以下の情報を確認できます。 | |||||||||
|
|||||||||
| バージョン指定による絞り込みや、リソース名検索、SBOM更新日時でのソートも可能です。 | |||||||||
|
|||||||||
| 3. リソース詳細画面に「ソフトウェア」タブを追加 | |||||||||
| SBOM が生成されるリソースの詳細画面に、新たに「ソフトウェア」タブを追加しました。これによりリソース単位で含まれるソフトウェアコンポーネントを一覧で確認できます。 | |||||||||
| リソースごとにSBOM更新日時を確認することができますが、最新のSBOMファイル生成に失敗した場合は、リソース詳細画面の脆弱性タブにエラーメッセージが表示されます。このような場合でも、以前に生成に成功した最新のSBOMファイルの更新日時が表示され、そのSBOMを元に脆弱性スキャンが実行されます。 | |||||||||
|
|||||||||
| 4. CVE未採番の脆弱性対応にも活用 | |||||||||
| CVEがまだ採番されていない脆弱性は脆弱性スキャンでは検出できませんが、ソフトウェアコンポーネント画面を用いて、影響を受けるソフトウェア名やバージョン情報をもとに、脆弱性への対応が必要な関連リソースを特定できるため、より実践的なリスク把握と対応が可能になります。 | |||||||||
| 5. CSV形式でのエクスポートに対応 | |||||||||
| リソース詳細画面の右上の「エクスポート」から「ソフトウェアコンポーネント」を選択することでCSV形式でのデータ出力が可能です。 | |||||||||
|
|||||||||
| 参考:CloudbaseにおけるSBOMスキャンの仕組み(エージェントレス方式) | |||||||||
| 一般的なSBOMツールでは、対象のサーバーやVMにスクリプトやエージェントを導入し、内部で解析処理を実行する、またはネットワーク経由でSSH接続を行う手法が取られてきました。これらの方式では、環境への負荷やセットアップ工数、稼働中サービスへの影響といった課題があります。 | |||||||||
| Cloudbaseでは、こうした課題を避けるため、エージェントを使用しない「エージェントレス方式」を採用しています。 | |||||||||
|
|||||||||
| VMを対象としたSBOMスキャンでは、稼働中のVMに直接アクセスすることはありません。VMのスナップショットを暗号化して複製し、解析処理はCloudbase側の安全な環境で実施します。 | |||||||||
| この仕組みにより、お客様の環境にCPUやメモリの負荷を与えることなく、稼働中のサーバーやサービス、プロセスへ影響を及ぼすこともありません。 | |||||||||
| 今回のリリースに関して、ご不明な点や詳細仕様について確認されたい企業様は、下記の専用ページよりお気軽にお問い合わせください。 | |||||||||
| お問い合わせ先:https://cloudbase.ink/contact | |||||||||
| Cloudbase株式会社について | |||||||||
| エンジニアとしてのバックグラウンドを持つ代表岩佐が2019年に創業したスタートアップ企業です。AWS・Microsoft Azure・Google Cloud・Oracle Cloudといったクラウド利用時におけるリスクを統合的に監視・管理ができるセキュリティプラットフォーム「Cloudbase」を提供しています | |||||||||
| 会社概要 | |||||||||
| 社名:Cloudbase株式会社 | |||||||||
| 代表取締役CEO:岩佐晃也 | |||||||||
| 事業内容:クラウドセキュリティプラットフォーム「Cloudbase」の開発 | |||||||||
| 本社所在地:東京都港区三田3-2-8 THE PORTAL MITA 2F | |||||||||
| 設立: 2019年11月 | |||||||||
| 企業HP:https://cloudbase.co.jp/ | |||||||||
最新のSBOMファイル生成に失敗した場合は、リソース詳細画面の脆弱性タブにエラーメッセージが表示されます。