国産CNAPP「Cloudbase」、脆弱性タイムライン機能を強化
見出し
Cloudbase株式会社は2026年5月25日、同社が提供する国産CNAPP(CSPM、SBOM、脆弱性管理)「Cloudbase」において、脆弱性管理画面のタイムライン機能をアップデートしたと発表しました。今回の強化により、SSVC(Stakeholder-Specific Vulnerability Categorization)判定の変化やステータス更新履歴を時系列で追跡できるようになります。これにより、より継続的かつ実運用に即した脆弱性管理の支援が期待されます。
脆弱性管理、経緯把握の重要性増す
近年、クラウド環境とオンプレミス環境を横断する脆弱性管理において、単に脆弱性を一覧化するだけでなく、「なぜ優先度が変わったのか」「いつ状態が変化したのか」といった経緯を把握したいというニーズが高まっています。特にSSVCのようなリスクベースの優先度判定では、脆弱性の悪用状況や公開状況、攻撃自動化の可能性といった外部要因により判定が変化するケースが見られます。Cloudbase株式会社は、こうした運用実態や変化の経緯を正しく把握することが、持続可能なセキュリティ体制の構築に不可欠であるとの認識を示しています。
タイムライン機能、新たなイベント情報追加
今回のアップデートでは、脆弱性タイムラインの「イベント」および「すべて」タブにおいて、以下の情報が確認可能となりました。ステータスの変更(未解決、解決済み、リソース削除)、SSVC判定に使用される決定木の変化、悪用事例、リソースの公開状況、攻撃の自動化可能性、そしてSSVC判定結果の変更です。ただし、「リソースの重要度」の変化についてはタイムラインには表示されません。この機能強化により、脆弱性の優先度が変化した背景や、現在の状態に至るまでのイベントを時系列で追跡できるようになります。
SSVCとは何か、脆弱性対応優先度判定の枠組み
SSVC(Stakeholder-Specific Vulnerability Categorization)は、米カーネギーメロン大学ソフトウェア工学研究所によって提案された脆弱性の対応優先度を判定するフレームワークです。これは、CVSSベーススコアのように脆弱性そのものを評価するのではなく、世間的な脆弱性の悪用状況、攻撃のしやすさ、検出されたリソースの公開状況や重要度といった様々な要素を基に、脆弱性の対応優先度を判定する点が特徴です。
より実践的な脆弱性管理運用へ
今回のアップデートは、セキュリティ担当者が脆弱性の状態変化や優先度変動の背景をより正確に把握することを可能にします。これにより、リスク対応の優先度が変化したタイミングの把握、インシデント対応や監査時の経緯確認、リスク評価プロセスの継続的な改善、運用チーム間での判断根拠共有といった、より実践的な脆弱性管理運用が支援されます。Cloudbase株式会社は今後も、クラウド・オンプレミスを横断した統合的なリスク管理を支援し、顧客の継続的なセキュリティ運用改善に貢献していくとしています。
Cloudbase株式会社について
Cloudbase株式会社は、エンジニアとしてのバックグラウンドを持つ代表取締役CEOの岩佐晃也氏が2019年に創業した企業です。AWS、Microsoft Azure、Google Cloud、Oracle Cloudといったマルチクラウド環境におけるリスクを統合的に監視・管理できるセキュリティプラットフォーム「Cloudbase」を提供しています。同社は、クラウドのみならずオンプレミス環境も含め、企業のインフラ資産全体を横断的に可視化し、セキュリティリスクの継続的な管理を支援しています。
-
本社所在地:東京都港区三田3-2-8 THE PORTAL MITA 2F
-
各社の商標帰属表示については、こちらを参照ください。
ソース元
-
ページタイトル: 国産CNAPP「Cloudbase」、脆弱性タイムライン機能を強化
-
情報源: Cloudbase株式会社の発表