国産CNAPP「Cloudbase」、SBOMをもとにソフトウェア情報を組織横断で把握できる新機能をリリース
Cloudbase
ーリソースに含まれるソフトウェア構成・バージョン情報から影響範囲を可視化ー
Cloudbase株式会社(本社:東京都港区、代表取締役CEO:岩佐晃也)は、同社が提供する国産CNAPP(CSPM、SBOM、脆弱性管理)「Cloudbase」において、リソースに含まれるソフトウェアコンポーネントを組織・プロジェクト横断で確認・検索できる「ソフトウェアコンポーネント機能」を新たにリリースしたことをお知らせします。
本機能により、従来はJSON形式で個別リソースごとに確認する必要があったSBOM(Software Bill of Materials)情報を、より直感的かつ俯瞰的に把握できるようになります。
近年、OSS(オープンソースソフトウェア)を含むソフトウェアサプライチェーンの可視化と管理は、セキュリティ対策における重要なテーマとなっています。
Cloudbaseではこれまで、ワークロードリソースのSBOMをエクスポートする機能を提供してきましたが、
- JSON形式のため内容の把握や検索が難しい- リソース単位でしか取得できず、組織やプロジェクト全体を横断した把握が困難
といった課題がありました。
そこで今回、SBOM情報を基にした「ソフトウェアコンポーネント機能」を追加し、リソースに含まれるソフトウェア情報を組織・プロジェクト横断で可視化・検索できるようにしました。
1. ソフトウェア画面の追加
プロジェクトページ配下に「ソフトウェア」画面を新設しました。サイドバーの「リソース > ソフトウェア」からアクセス可能です。
本画面では、指定したプロジェクトやクラウドアカウントに含まれるソフトウェアコンポーネントと、それを含むリソース数を確認できます。
コンポーネント名による検索や、リソース数・コンポーネント名でのソートにも対応しています。
[画像1:
https://prcdn.freetls.fastly.net/release_image/56572/54/56572-54-07fc2abfd69eb1620fe64ef65352e95a-3840x2160.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
ソフトウェア画面
2. コンポーネント単位でのリソース把握
各ソフトウェアコンポーネントをクリックすると、該当コンポーネントを含むリソース一覧がドロワー形式で表示されます。
リソースごとに以下の情報を確認できます。
- ソフトウェアのバージョン- SBOMの最終更新日時- クラウドアカウント情報
バージョン指定による絞り込みや、リソース名検索、SBOM更新日時でのソートも可能です。
[画像2:
https://prcdn.freetls.fastly.net/release_image/56572/54/56572-54-dae35e31a25a3f065138ba646ead1b4a-3840x2160.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
リソース一覧画面
3. リソース詳細画面に「ソフトウェア」タブを追加
SBOM が生成されるリソースの詳細画面に、新たに「ソフトウェア」タブを追加しました。これによりリソース単位で含まれるソフトウェアコンポーネントを一覧で確認できます。
リソースごとにSBOM更新日時を確認することができますが、最新のSBOMファイル生成に失敗した場合は、リソース詳細画面の脆弱性タブにエラーメッセージが表示されます。このような場合でも、以前に生成に成功した最新のSBOMファイルの更新日時が表示され、そのSBOMを元に脆弱性スキャンが実行されます。
[画像3:
https://prcdn.freetls.fastly.net/release_image/56572/54/56572-54-8dd7ae44ee62585f41092fa6145d21cc-3840x2160.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
リソース詳細画面に追加された「ソフトウェア」タブ
4. CVE未採番の脆弱性対応にも活用
CVEがまだ採番されていない脆弱性は脆弱性スキャンでは検出できませんが、ソフトウェアコンポーネント画面を用いて、影響を受けるソフトウェア名やバージョン情報をもとに、脆弱性への対応が必要な関連リソースを特定できるため、より実践的なリスク把握と対応が可能になります。
5. CSV形式でのエクスポートに対応
リソース詳細画面の右上の「エクスポート」から「ソフトウェアコンポーネント」を選択することでCSV形式でのデータ出力が可能です。
[画像4:
https://prcdn.freetls.fastly.net/release_image/56572/54/56572-54-fa3c7c882887144f8d14907be4373e6b-3840x2160.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
「エクスポート」機能
一般的なSBOMツールでは、対象のサーバーやVMにスクリプトやエージェントを導入し、内部で解析処理を実行する、またはネットワーク経由でSSH接続を行う手法が取られてきました。これらの方式では、環境への負荷やセットアップ工数、稼働中サービスへの影響といった課題があります。
Cloudbaseでは、こうした課題を避けるため、エージェントを使用しない「エージェントレス方式」を採用しています。
[画像5:
https://prcdn.freetls.fastly.net/release_image/56572/54/56572-54-064afb78cc91ee7a53bf2a003551d3fb-3840x2160.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
CloudbaseにおけるSBOMスキャンの仕組み
VMを対象としたSBOMスキャンでは、稼働中のVMに直接アクセスすることはありません。VMのスナップショットを暗号化して複製し、解析処理はCloudbase側の安全な環境で実施します。
この仕組みにより、お客様の環境にCPUやメモリの負荷を与えることなく、稼働中のサーバーやサービス、プロセスへ影響を及ぼすこともありません。
今回のリリースに関して、ご不明な点や詳細仕様について確認されたい企業様は、下記の専用ページよりお気軽にお問い合わせください。
お問い合わせ先:
https://cloudbase.ink/contact
エンジニアとしてのバックグラウンドを持つ代表岩佐が2019年に創業したスタートアップ企業です。AWS・Microsoft Azure・Google Cloud・Oracle Cloudといったクラウド利用時におけるリスクを統合的に監視・管理ができるセキュリティプラットフォーム「Cloudbase」を提供しています
社名:Cloudbase株式会社
代表取締役CEO:岩佐晃也
事業内容:クラウドセキュリティプラットフォーム「Cloudbase」の開発
本社所在地:東京都港区三田3-2-8 THE PORTAL MITA 2F
設立: 2019年11月
企業HP:
https://cloudbase.co.jp/プレスリリース提供:PR TIMES
記事提供:PRTimes
