サイエンスパーク株式会社

お問い合わせ
SBOMスキャナ

SBOMスキャナ導入事例:セイ・テクノロジーズ様

セイ・テクノロジーズ様では、近年重要度が高まりつつあるSBOM導入と、社内での効率的な脆弱性診断の実現が課題となっていました。

「SBOMスキャナ」の導入による社内への影響・課題解決の事例をご紹介いたします。

セイ・テクノロジーズ株式会社 https://www.say-tech.co.jp/
セイ・テクノロジーズ株式会社様は、サーバーシステムの運用管理ソリューションを提供するソフトウェアメーカーです。自立分散型サーバー監視ソフト「BOM for Windows」やサーバー設定仕様書自動生成サービス「SSD-assistance」、高機能ジョブスケジューラー「Job Director」などの開発・販売を行っています。また、運用管理に関するコンサルティングや技術支援も提供しています。
開発部 部長 五十嵐康仁様・シニアスペシャリスト 河野高明様 (写真左から)

取材日:2024年11月

スムーズなSBOM生成と脆弱性診断を実現、SBOM管理と開発の分業によって品質向上へ

目次

  1. 導入の背景
  2. 「SBOMスキャナ」導入の決め手 ~GUIと「直感的な操作感」~
  3. スムーズな導入・運用 ~コスト・工数のかからないカンタン導入~
  4. 導入後の変化 ~分業でのSBOM管理の実現・開発へのフルコミット~
  5. 今後「SBOMスキャナ」に期待すること

1.導入の背景

私たちは以前からSBOM(ソフトウェア部品表)に関心を持っていました。

近年アメリカではSBOMの標準化が進み、日本でも経産省よりガイドラインが策定されるなど、SBOMの必要性・重要度の高まりを感じていました。

「SBOMスキャナ」の導入前は、自社ソフトの脆弱性リサーチを手動で行っていましたが、効率的かつ網羅的な調査が非現実的になってきたと感じていました。加えて、そのリサーチにも一定のスキルが必要となるため、開発メンバーの工数がかかってしまう点も課題となっていました。

これらの課題に対し「何らか手を打たねば」と、SBOM管理ツール導入を検討していました。

そうした流れの中で、「SBOMスキャナ」を知りました。

2.「SBOMスキャナ」導入の決め手 ~GUIと「直感的な操作感」~

代表的なSBOM管理ツールの調査・評価を行っていましたが、その中でも「SBOMスキャナ」が最も弊社のニーズにマッチしていました。

他のツールとしてはMicrosoftのsbom-toolやSnyk・Trivy・OWASPのSBOM生成ツールなどを検討していたのですが、これらのツールでは基本的にCUIとなっていて必要な設定も多く、直感的な操作ができませんでした。SBOM導入の目的の一つが開発メンバーの工数削減であり、これらのツールではソースベースでの解析だったためそれが難しく、弊社運用にマッチしませんでした。「SBOMスキャナ」ではGUIベースで複雑な設定項目もなく、開発メンバー以外でも直感的な操作が可能だった点が導入の決め手となりました。

「SBOMスキャナ」ではSBOM生成だけでなくCVE単位の脆弱性診断レポートまで、一気通貫で出してくれるのもありがたかったです。

レポートはCSV出力できるので、そのままリストとして活用したり、別の資料作成などにも活かしやすいので助かっています。

また、良い意味で「うるさすぎない」のも長所だと思います。

他のツールはソースベースで「このようにコーディングすべき」といった、コーディング規約的な観点の情報も出てきたのですが、弊社としては「(分かっているけど)敢えてそうしている」といったように、機能としてそこまでは求めていない部分もありました。

「SBOMスキャナ」ではバイナリの解析になるので、上記のような「余分な情報」がなく、導入・運用までイメージしやすかったです。

それでいて、スタティックライブラリや使用言語のバージョン情報まで出してくれるので、「そこまで出してくれるんだ」と感心しました。

3.スムーズな導入・運用 ~コスト・工数のかからないカンタン導入~

検討時の評価から導入・運用に乗せるまで本当にスムーズでした。

新規ツール導入の際には「自社の環境で上手く動かない」とか、思わぬ障害に直面することもありますが、「SBOMスキャナ」ではそうしたアクシデントはありませんでした。

「マニュアルを見なくても使える」という印象で、導入から運用に至るまで、十分に自社で対応できるレベルだったと思います。

頻繁な問い合わせ・有償でのサポート依頼等が不要だったため、費用・工数面でのメリットも大きかったと感じています。

4.導入後の変化 ~分業でのSBOM管理の実現・開発へのフルコミット~

「SBOM導入・脆弱性診断までを実運用に乗せることができた」というのが最大の変化だと思います。

「SBOMスキャナ」の導入によって、SBOM生成から脆弱性診断までを開発部以外の人員で行えるようになったため、効率的なSBOM管理を実現することができました。

分業が可能になったことで、開発メンバーは開発や脆弱性対策といった業務にフルコミットできるようになりました。
これまでの「そもそもSBOM導入をどうしよう」と悩んでいたところから、「より効率的なSBOM管理をするには・品質向上のためにはどうしたらよいか」といった、前向きな議論ができるようになった点が良かったと感じています。

5.今後「SBOMスキャナ」に期待すること

SBOM管理自体を自動化したいと考えており、そのために「SBOMスキャナ」がCUIで実行できるようになってほしいです。「シンプルなGUIが魅力」とお話したのとは矛盾してしまいますが、運用に慣れてきたことで一周回って「コマンド実行できるようにしたい」という声が上がっています。

この使い勝手・機能性でCUI操作も可能になってくれると、もっとスムーズな運用ができるようになるので期待しています。

また、脆弱性情報のフィルタ機能もあると大変助かります。

網羅的な脆弱性診断ができるのは非常にありがたいのですが、内容によっては弊社ツールに影響がない・関係がないものもあります。

そうした、「影響がない」と明確に分かったものについては、例えばCVEのID単位などによって、レポートに出力されないようにフィルタできるとありがたいですね。

営業担当の方も、弊社のこうした意見を親身になって聞いてくれるので、今後のブラッシュアップを楽しみにしています。

SBOMスキャナについて
お問い合わせはこちら