SBOM 生成と精度の高いキュレーションデータを通じ脆弱性管理の作業効率を劇的に改善

2023 年 10 月 19 日採用製品 Timesys Vigiles

F 社は通信機器のメーカーであり、機器開発にあたりハードウェアおよび Linux をベースにした搭載ソフトウェアの開発を行っています。

自社製品のセキュリティ品質確保のため社内ツールを使用して管理していましたが、使いにくい上、多くの手作業が必要で時間と工数が肥大化してることに悩んでいました。

また、オープンソースソフトウェアの脆弱性を定期的・継続的に追跡し、開発チームとセキュリティチーム間のコラボレーションを改善するために、ツールとUIを改善したいと考えていました。

上記を解決するべく、生産性向上や Jira による DevSecOps 実現のため統合ワークフローソリューションを探していました。

精度の高いキュレーションデータを通じ、自社製品に内在する脆弱性の分析や管理に費やす時間を削減することができることから、Vigiles を導入しました。

DevSecOps を実現するにあたり、業界標準である SPDX フォーマットによる SBOM 生成ができることも導入の決め手です。

Vigiles には SBOM の自動入力をサポートする API があり、30 以上の製品ラインの CI プロセスにこの機能をインテグレーションをすることで、自動的にビルドから SBOM 生成、脆弱性の管理までを行う仕組みを構築しました。

重要な脆弱性に焦点を当てるインテリジェントフィルタを活用することで製品セキュリティ品質を確保し、誤検知や必要のないアラートを減らすことができ大幅なコスト削減を実現することができました。

Jira と Vigiles のインテグレーションにより、脆弱性をトリアージするセキュリティチームと脆弱性を修正する開発チームとのシームレスな DevSecOps コラボレーションを実現することができ、生産性はもちろんアジリティの向上も図ることができ、作業効率の劇的な改善に大変満足しています。

導入事例