CloudbaseがPHPパッケージのSBOM収集と脆弱性管理機能を拡充

Cloudbase SensorがPHPパッケージの脆弱性を可視化

Cloudbase株式会社は、東京都港区に本社を構える企業で、「Cloudbase」という国産のセキュリティプラットフォームを展開しています。この度、同社はCloudbase Sensorの機能を拡張し、新しくPHPパッケージのスキャン機能を追加したことを発表しました。この新機能により、Cloudbase Sensorが導入されている環境において、PHPアプリケーションで使用されているパッケージ情報をSBOM（Software Bill of Materials）として自動的に収集できるようになります。加えて、関連する脆弱性情報も継続的に可視化されることになります。

開発背景

近年、ソフトウェアサプライチェーンリスクへの意識が高まり、OSS（オープンソースソフトウェア）パッケージやライブラリの脆弱性管理が業界で重要視されています。特に、Webアプリケーション開発においてはPHPエコシステムが広く利用されており、Composerを利用した依存パッケージ管理が一般的となっています。そのため、利用しているライブラリの脆弱性を正確に把握することが、セキュリティ運用の重点であることは疑いありません。また、お客様からは「PHPアプリケーションで使用しているOSSの利用状況を見える化したい」との要望も寄せられていました。このようなニーズに応えるために、Cloudbase SensorはPHPパッケージ情報の自動収集機能を実装し、SBOMを活用した脆弱性管理を実現したのです。

アップデート内容

今回のアップデートで、Cloudbase Sensorは対象となるシステム上のPHPパッケージメタデータを自動的にスキャンし、SBOMとして集められるようになりました。これによって、Composerを基にしたPHPアプリケーションで利用されているライブラリの情報が見える化され、その脆弱性をCloudbaseで継続的に管理することが可能になります。収集されるSBOM情報には、以下のような内容が含まれます：

- パッケージ名
- バージョン
- ライセンス情報
- パッケージ間の依存関係
- PURL（Package URL）
- パッケージの所在パス

この情報をもとに、PHP関連のパッケージに関する脆弱性も詳しく表示されるため、Developerはリアルタイムでの管理が可能になります。

期待される効果

Cloudbaseの脆弱性管理機能に加えてリスク優先度評価機能と連携することで、開発チームは効果的かつ迅速に脆弱性に対応できるようになります。具体的には、以下のポイントが挙げられます：

- PHPアプリケーションで使用されるOSSパッケージの自動収集と可視化
- Composerベースの体系的脆弱性の一元管理
- 脆弱性発見時に影響を受けるパッケージやシステムの即時特定と、それに伴う調査・対応工数の削減

さらに、Java、Python、PHP、Node.jsなど複数言語のSBOMや脆弱性情報を統合的に管理できるため、ソフトウェアサプライチェーンリスクに対する継続的なリスク管理も強化されます。Cloudbaseは今後も、クラウドやオンプレミスといった環境を超えた統合的な資産・脆弱性管理の提供を進め、組織全体のセキュリティガバナンスの向上に寄与していく所存です。

Cloudbaseについて

Cloudbase株式会社は、2019年にエンジニアバックグラウンドを持つ岩佐晃也氏によって創業されたスタートアップです。AWSやMicrosoft Azure、Google Cloud、Oracle Cloudなどのマルチクラウド環境におけるリスクを統合的に監視・管理するためのセキュリティプラットフォーム「Cloudbase」を提供しています。Cloudbaseは、クラウド環境だけではなく、オンプレミス環境も含めて、企業のインフラ資産全体を可視化し、継続的なセキュリティリスクの管理を支援しています。