yamory 調査レポート

開発元: 株式会社アシュアード (Visionalグループ)
カテゴリ: 🛡️ セキュリティ
公式サイト Docs

ソフトウェア内部の構成からホスト、コンテナ、クラウド、ネットワーク機器まで全レイヤーの脆弱性を一元管理・可視化できる国内唯一のクラウドサービス。

総合評価
85点
基準点70点からの評価
オープンソース
非公式・商用
無料プラン
なし
最低価格
要問い合わせ
対象ユーザー
開発部門セキュリティ担当者情報システム部門
更新頻度
🆕 最新情報: Laravel-Lang を狙ったサプライチェーン攻撃の特徴と対応策に関する情報を発信

📋 評価の詳細

👍 加点項目

  • +5 特許取得のオートトリアージ機能による優先順位付けが秀逸
  • +4 クラウド連携のみでインフラからアプリケーションまで一括スキャン可能
  • +4 日本語UIおよび手厚いテクニカルサポートが充実
  • +4 ISMS認証取得および経済産業省の適合認定など高い信頼性
  • +3 SBOM対応(インポート・エクスポート)によるサプライチェーン保護

👎 減点項目

  • -3 具体的な料金プランが非公開であり、事前のコスト試算が難しい
  • -2 G2やCapterraなどのグローバルなレビューサイトでの評価が少ない
総評: 国産ならではの手厚いサポートと、オートトリアージ等の独自機能を備えた優秀な脆弱性管理プラットフォーム。

関連レポート

yamory 調査レポート

1. 基本情報

  • ツール名: yamory
  • ツールの読み方: ヤモリー
  • 開発元: 株式会社アシュアード (Visionalグループ)
  • 公式サイト: https://yamory.io/
  • 関連リンク:
  • カテゴリ: セキュリティ/脆弱性管理
  • 概要: yamoryは、ソフトウェア内部の構成(SCA)から、ホスト、コンテナ、クラウド、ネットワーク機器まで、全レイヤーに対応した脆弱性管理ができる国内唯一のクラウドサービスです。独自のリスクデータベースを活用し、クラウド設定の不備やOSSライセンス違反、EOLリスクの検知も可能です。

2. 目的と主な利用シーン

  • 解決する課題: 社内にセキュリティ専門家が不足している、チームやベンダー間で管理方法が統一されていない、脆弱性対応の優先順位付けに時間がかかるなどの課題を解決します。
  • 想定利用者: アプリケーションエンジニア、インフラエンジニア、セキュリティエンジニア、情報システム部門
  • 利用シーン:
    • 自社開発のソフトウェアや利用しているOSSの脆弱性を定期的にスキャンし、対応の優先度を決定する
    • クラウド環境(AWS、Azure、Google Cloud)の設定不備(CSPM)を検知し、セキュアな構成を維持する
    • 取引先とのやり取りにおいて、SBOMの出力・取り込みを行い、ソフトウェアサプライチェーンのリスクを管理する

3. 主要機能

  • クラウドアセットスキャン: クラウドアカウントと連携し、クラウド上のホスト、コンテナ、ソフトウェアの構成を下層レイヤーまで一括把握します。
  • オートトリアージ(優先順位付け): 危険度、影響度、攻撃手段の確立度(外部からのアクセス可否や攻撃手段の公開有無など)を総合し、対応すべき優先順位を自動判定します(特許取得済)。
  • SBOM対応: ソフトウェア構成情報のインポート/エクスポートに対応し、資産と脆弱性を同時に管理します。
  • クラウド設定不備の検知(CSPM): クラウドにおけるアクセス制限、管理権限、セキュリティグループなどの設定不備を検知します。
  • 脆弱性情報の自動収集・突合: セキュリティアナリストが日次で収集・分析した独自のリスクデータベースを用いて、最新の脆弱性情報と照合します。
  • OSSライセンス・EOL管理: OSSの利用状況を可視化し、ライセンス違反やサポート終了(EOL)の期限を検知して通知します。
  • チーム・対応管理機能: 組織やプロジェクトごとにチームを分け、担当者や対応期限を設定することで、脆弱性の放置リスクを最小化します。

4. 開始手順・セットアップ

  • 前提条件:
    • スキャン対象のシステム環境(クラウド、ソースコード、コンテナなど)のアクセス権限が必要です。
    • 利用開始には問い合わせ、または無料トライアルの申し込みが必要です。
  • 導入手順:
    1. 無料トライアル ページから申し込みを行います。
    2. 担当者との日程調整後、オンラインでサポートを受けながら初期セットアップを実施します。
    3. AWSやAzureなどのクラウドアカウントを連携(IAMロールの付与など)し、クラウドアセットスキャンを実行します。
    4. CI/CDパイプラインとの連携や、各リポジトリの登録を行い、継続的なスキャン環境を構築します。
  • 初期設定:
    • アカウント連携設定、通知設定、チームおよびユーザーの権限設定が必要です。

5. 特徴・強み (Pros)

  • 特許取得のオートトリアージ機能: CVSSスコアだけでなく、攻撃コードの有無や到達可能性を考慮した独自のロジックで対応優先度を明示し、運用負荷を大幅に削減します。
  • オールインワンの対応範囲: アプリケーション(SCA)から、ホスト、コンテナ、インフラ(CSPM)まで幅広い領域を一つのプラットフォームで統合管理できます。
  • 日本語UIと手厚いサポート: 国産サービスであるため、UIやドキュメント、脆弱性の解説がすべて日本語で提供され、導入・運用サポートも充実しています。
  • エージェントレススキャン: クラウドアカウント連携のみでスキャンが可能であり、導入のハードルが低く設計されています。

6. 弱み・注意点 (Cons)

  • 料金が非公開: 公式サイト上に具体的な料金プランが記載されておらず、事前のコスト試算が困難で、問い合わせや見積もりが必要です。
  • オンプレミス環境での導入: クラウド連携に強みを持つ反面、完全なオンプレミス・閉域網環境でのスキャンにおいては、別途エージェント等の工夫が必要になる場合があります。
  • グローバルレビューの不足: G2やCapterraなどの海外レビューサイトに登録がなく、グローバルでの第三者評価を確認するのが難しいです。

7. 料金プラン

プラン名 料金 主な特徴
無料トライアル 無料 自社の環境をスキャンし、現状の脆弱性を可視化できる。担当者によるオンラインサポート付き
有料プラン 要問い合わせ スキャン対象の規模や機能(アセット数など)に応じたカスタム見積もり
  • 課金体系: スキャン対象となるアセット数や利用機能に基づく従量・規模別の課金体系と推測されますが、詳細は要問い合わせ。
  • 無料トライアル: あり。オンラインで担当者がサポートしながら実際の環境をスキャン可能。

8. 導入実績・事例

  • 導入企業:
    • サイボウズ株式会社
    • SOMPOホールディングス株式会社
    • 株式会社サキコーポレーション
  • 導入事例:
    • サイボウズ: 毎月45人日かかっていた完全手動の脆弱性管理工数を10人日程度に削減し、OSSのアップデート監視のプレッシャーから解放されました。
    • SOMPOホールディングス: 効率的なSBOM対応によりソフトウェアサプライチェーン管理を推進し、多岐にわたるソフトウェアおよびインフラを一元管理しています。
    • サキコーポレーション: EUサイバーレジリエンス法案に即したSBOM対応や多様な言語環境でのセキュリティ強化を実現しました。
  • 対象業界: 金融機関、IT・情報通信業、大手製造業など、厳格なセキュリティ基準が求められるエンタープライズからスタートアップまで幅広い導入実績があります。

9. サポート体制

  • ドキュメント: FAQページやサービス詳細ページが公開されています。導入後には専用のマニュアルが提供されます。
  • コミュニティ: 定期的にユーザー会を開催し、ユーザー同士の交流や実務に役立つ知見の共有が行われています。
  • 公式サポート: セキュリティコンサルタントによる個別相談や、導入時のオンボーディング支援、テクニカルサポートが手厚く提供されています。

10. エコシステムと連携

10.1 API・外部サービス連携

  • API: 脆弱性情報の取得やスキャンのトリガーに利用できるAPIが提供されています。
  • 外部サービス連携: SlackやMicrosoft Teamsなどへの通知連携、SSO(SAML 2.0対応、Microsoft Entra ID、Okta、Google Workspaceなど)に対応しています。

10.2 技術スタックとの相性

技術スタック 相性 メリット・推奨理由 懸念点・注意点
AWS / Azure / Google Cloud クラウドアセットスキャン機能により、アカウント連携だけでインフラからアプリまで一括スキャンが可能。 特になし
GitHub / GitLab リポジトリと連携し、ソースコードレベルでのSCA解析が可能。 特になし
コンテナ環境 (Docker/K8s) コンテナイメージのスキャンに対応。 実行時の動的解析等については別途考慮が必要な場合あり。

11. セキュリティとコンプライアンス

  • 認証: SSO(SAML 2.0対応)によるセキュアなログインが可能です。
  • データ管理: ISMSの基準に従い、適切なセキュリティ管理策のもとでデータが保護されています。
  • 準拠規格: 情報セキュリティマネジメントシステム(ISMS)の国際規格である「ISO/IEC 27001:2022」ならびに「JIS Q 27001:2023」の認証を取得。経済産業省「情報セキュリティサービス基準」の適合認定(登録番号:022-0009-20)も受けています。

12. 操作性 (UI/UX) と学習コスト

  • UI/UX: 脆弱性情報や対応方法が日本語で分かりやすく表記されており、直感的なダッシュボードを通じて現在のリスク状況を容易に把握できます。
  • 学習コスト: オートトリアージ機能により、セキュリティの高度な専門知識を持たない開発者でも「次に何を対応すべきか」が明確になり、学習コストと運用負荷が低く抑えられています。

13. ベストプラクティス

  • 効果的な活用法 (Modern Practices):
    • 小さく始める: 全社に一斉導入するのではなく、特定のプロダクトやチームから試験導入し、運用フローを確立してから適用範囲を広げることが推奨されています。
    • オートトリアージの活用: 検出されたすべての脆弱性に対応するのではなく、特許取得のトリアージ機能やKEVカタログ連携を用いて、実際のリスクが高いものから優先的に対処する運用を心がけます。
  • 陥りやすい罠 (Antipatterns):
    • スキャン結果の放置: 脆弱性を可視化するだけで対応管理機能を使わず放置すると、かえってリスクが顕在化します。担当者と期限を明確に設定することが重要です。
    • 古い情報の参照: EOLを迎えたOSSを使い続け、パッチが提供されない状態に陥ること。yamoryのEOL検知を活用して早期にリプレイスを検討する必要があります。

14. ユーザーの声(レビュー分析)

  • 調査対象: 公式導入事例および関連プレスリリース
  • 総合評価: 外部レビューサイトへの登録が少ないため定量的スコアは不明ですが、事例からは高い満足度がうかがえます。
  • ポジティブな評価:
    • 「yamoryがない状態には戻りたくない。毎月45人日かかっていた脆弱性管理の工数が大幅に削減された。」(サイボウズ社)
    • 「複数レイヤーの統合管理と、使いやすい日本語UIが良い。」(サキコーポレーション社)
    • 「KEVカタログを加味した現実的なトリアージが可能で、本当にリスクが高い脆弱性に絞り込める。」(SOMPOホールディングス社)
  • ネガティブな評価 / 改善要望:
    • 対応言語やパッケージ管理ツールをもっと増やしてほしいという要望(事例記事より)。
    • チーム間の対応状況を横断的に見られる機能の強化への期待(事例記事より)。
  • 特徴的なユースケース:
    • クラウド設定の不備(CSPM)から、ソフトウェア部品表(SBOM)の出力、さらにはOSSライセンス管理まで、セキュリティ部門と開発部門が同一プラットフォーム上で情報共有するハブとして活用されています。

15. 直近半年のアップデート情報

  • 2026-05-28: Laravel-Lang を狙ったサプライチェーン攻撃の特徴と対応策に関する情報を発信し、エコシステム全体のリスクに警鐘を鳴らしました。
  • 2026-05-28: @antv を起点とした「Mini Shai-Hulud」第三波(マルチエコシステム攻撃)の解説と対応策を公開しました。
  • 2026-05-14: TanStack を起点とした「Mini Shai-Hulud」第二波の特徴と対応策について解説しました。
  • 2026-04-30: axios npm パッケージの侵害を防ぐための具体的な対応策(クールダウン機能など)を解説しました。
  • 2026-04-20: ISMAP登録の脆弱性管理ツールを導入するメリットについて解説しました。
  • 2026-04-06: CVSSに代わる脆弱性評価の手法「SSVC」の解説と、スピーディーな判断を実現する評価ポイントを公開しました。

(出典: yamory 公式ブログ 等)

16. 類似ツールとの比較

16.1 機能比較表 (星取表)

機能カテゴリ 機能項目 yamory Trivy
基本機能 脆弱性スキャン (SCA/コンテナ)
クラウド・インフラ・アプリを統合
高速・多機能なOSSスキャナ
トリアージ 優先順位の自動判定
特許取得のオートトリアージ機能
CVSSベース。運用でカバーが必要
コンプライアンス SBOM対応
インポート・エクスポート対応
SBOMの生成とスキャンに対応
運用支援 日本語対応とサポート
完全日本語対応、手厚いサポート
基本は英語、コミュニティサポート
環境構築 クラウドインテグレーション
アカウント連携で一括可視化(CSPM)
AWSスキャン等サポートするが手動設定多

16.2 詳細比較

ツール名 特徴 強み 弱み 選択肢となるケース
yamory 国内発のオールインワン脆弱性管理クラウド オートトリアージ、CSPM統合、完全日本語サポート 導入コストがかかる。利用料金が非公開 セキュリティ人材が不足しており、ツールによる判断支援と手厚いサポートが必要な組織
Trivy Aqua Securityが開発するオープンソースのスキャナ OSSで無料、CI/CDとの連携が容易、高速なスキャン トリアージや運用フローは自前で構築する必要がある エンジニア主導でCI/CDパイプラインに組み込み、コストを抑えてスキャンを自動化したいチーム

17. 総評

  • 総合的な評価: yamoryは、単なる脆弱性スキャナの枠を超え、IT資産管理、クラウド設定管理(CSPM)、SBOM対応を統合した包括的なセキュリティプラットフォームです。最大の魅力は、特許取得の「オートトリアージ機能」であり、日々増大する脆弱性情報の中から真に対応すべきものを自動で絞り込んでくれるため、セキュリティ担当者の運用負荷を劇的に軽減します。
  • 推奨されるチームやプロジェクト: 専任のセキュリティアナリストが不足している組織や、開発部門と情報システム部門が混在し、全社的な脆弱性管理のガバナンスを効かせたいエンタープライズ企業および成長中のスタートアップに最適です。
  • 選択時のポイント: CI/CDに組み込むだけの軽量なOSSツール(Trivyなど)と比較した場合、yamoryは導入コストがかかるものの、日本語による手厚いサポートと、運用業務自体の省力化(トリアージ、チケット管理)に大きなメリットがあります。運用コストの削減効果を重視する場合に強力な選択肢となります。