医療機器の研究開発を行う大研医器が、脆弱性管理クラウド「yamory」を導入

プレスリリース要約

Visionalグループが運営する脆弱性管理クラウド「yamory」が大研医器株式会社に導入された。大研医器は医療機器メーカーであり、セキュリティ対策の必要性から脆弱性管理ツールとしてyamoryを選択。厚生労働省の基本要件基準への適合やSBOM管理、脆弱性検知の自動通知、オートトリアージ機能など、yamoryの機能が評価された。さらに、パッケージ管理ツールベースのスキャン方式の高い精度も魅力とされた。大研医器はyamoryの導入により、SBOM管理や脆弱性対策を効率的に行えると期待している。
Visionalグループが運営する、脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下、yamory)は、大研医器株式会社(本社:大阪府和泉市/代表取締役社長:山田 圭一/以下、大研医器)に導入されたことをお知らせいたします。

大研医器は、企画開発から製造・販売までを一貫して行う医療機器メーカーです。医療領域においてサプライチェーン全体でのセキュリティ対策が喫緊の課題となる中、薬機法をはじめとする法要件に即したSBOMの生成、脆弱性管理に対応するため、yamoryの導入を決定いただきました。

そこで、製品開発課の木中様に、今回のyamory導入の背景についてお伺いしました。

この度は、yamoryをご導入いただきありがとうございます。まず、大研医器様におけるセキュリティ対策の現状や、どのような課題感をお持ちだったかをお聞かせください。

木中氏:

当社は、医療機器の企画・製造・開発・営業を一気通貫で行っています。昨今、医療機関に対するサイバー攻撃が相次いで発生しており、特に医療機器を標的としたランサムウェア攻撃が目立っています。当社としても、お医者様・患者様に安心してご利用いただけるよう、品質保証やセキュリティ対策には力を入れてきました。

昨今のサイバー攻撃増加を受け、2023年4月から薬機法における医療機器の基本要件基準にサイバーセキュリティに関する項目が追加されました(※1)。1年間の経過措置がとられた後、2024年4月以降サイバーセキュリティ対応が必須となります。医療機器メーカーに対して、SBOMの作成や医療機関等に対するSBOMの提供などが求められていることから、SBOM対応が可能な脆弱性管理ツールを探していました。

※1:厚生労働省:医療機器の基本要件基準第12条第3項の適用について(2023年3月31日)

https://www.mhlw.go.jp/web/t_doc?dataId=00tc7558&dataType=1&pageNo=1

そんななか、yamoryを選んでいただいた理由や導入後の効果について教えて下さい。

まず1つ目に、厚生労働省が求めるSBOM管理・脆弱性管理が可能であるという点です。

基本要件基準への適合性確認においては、医療機器のセキュリティ規格であるJIS T 81001-5-1に基づいた対策の実施が必要とされ(※2)、ソフトウェア構成管理プロセスへの対応としてSBOMの作成が求められています。yamoryではSBOM最小要素の対応はもちろん、代表的なフォーマットでの作成・出力が可能であるという点が決め手でした。

さらに、ソフトウェア問題解決プロセスへの対応としては、新たに脆弱性が見つかった場合の通知・対応が求められており、yamoryでは脆弱性が自動で検出・通知される点もポイントでした。

※2:厚生労働省:医療機器の基本要件基準第 12 条第3項の適合性の確認について(2023年5月23日)

https://www.pmda.go.jp/files/000252724.pdf

2つ目に、オートトリアージ機能とわかりやすいUIです。

yamoryはダッシュボードが非常にシンプルで分かりやすく、オートトリアージ機能により検出された脆弱性が対応優先度別に分類されるため、対応すべき脆弱性をすぐに確認することができます。外部のリソースに依存するのではなく、yamory独自のデータベースに脆弱性情報が集約されているため、迅速な脆弱性検知が可能な点にも魅力を感じています。

*オートトリアージ機能は特許を取得しています(特許番号:6678798号)

ダッシュボードイメージ
脆弱性の対応方法に関するガイド

3つ目に、パッケージ管理ツールベースのスキャン方式であり、精度が高い点です。

yamoryはパッケージ管理システムの出力結果を解析する形でスキャンするため、ソースコード、バイナリスキャン方式と比較してノイズが少なく、精度が高いためスキャン後の精査が不要な点もポイントでした。当社では基本的にパッケージ管理を行っているため、機能面・費用面においてもyamoryが最適だと判断しました。

そのようにご期待いただけて大変有り難いです。今後もより効率的で精度の高い脆弱性対策・SBOM管理が可能なツールとして、皆さまにご活用いただけるようサービスを磨いてまいります。

【脆弱性管理クラウド「yamory(ヤモリー)」について】

「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。

URL:https://yamory.io/

X(旧Twitter):https://twitter.com/yamory_sec

運営会社:株式会社アシュアード https://www.visional.inc/ja/assured.html

 【Visionalについて】 

「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。

URL:https://www.visional.inc/

引用元:PR TIMES

関連記事一覧