SCA 活用で DevSecOps 強化を実現 - BIPROGY株式会社
BIPROGY株式会社
業種:IT サービス / SIer
事業概要:
BIPROGY は、創業から 60 年以上にわたり、IT サービスインテグレーターとして様々な業界における基幹システム、業務システムなどの受託開発や IT サービス提供を行っています。同社の IT サービス提供における DevSecOps の取り組みを進めるなかで、SCA(Software Composition Analysis、ソフトウェアコンポジション解析)活用のためのツールとして yamory 導入に至りました。
この度、BIPROGY Tech マーケ&デザイン企画部 村野 葉月氏とプロセスアウトソーシング本部 合原 忠孝氏に yamory 導入の背景や同社の取り組みについて伺いました。
――この度は、yamory をご導入いただきありがとうございます。まず、BIPROGY 様におけるセキュリティ対策の現状や、導入の目的をお聞かせください
合原氏:
当社では、様々な業界・業種のお客様のシステム開発や、当社が事業者となるサービスビジネスの開発・運用を行っておりますが、いずれにおいても、お客様の安心・安全のためにセキュリティ対策を重視し、強化に努めています。
当社のサービスビジネスではアジャイル開発が主流となり、よりスピーディーな開発・運用と併せてセキュリティ担保を実現する DevSecOps を強化してきました。また、最近ではお客様のシステム開発においてもアジャイル開発のご要望が増えてきており、お客様のご要望に高い水準でお応えするためにも、 DevSecOps としてアプリケーションから IT インフラストラクチャーまでの総合的なセキュリティ対策の強化を進めています。そこで SCA についても導入を検討していたなか、yamory と出会いました。
――yamory 導入の決め手となったポイントをぜひ教えて下さい
村野氏:
まず 1 つ目に、yamory には、私たちが求めていたツールの使いやすさが備わっていたことです。
当社で、SCA ツールを IT サービス開発に採用する理由は、手軽かつ継続的に“セキュリティ シフトレフト”を実現するためです。アプリケーション開発者にとって、アプリケーション内の脆弱性管理は重要ですが、セキュリティ担当者でない彼らにとってはサブタスクでしかありません。そのため、使いやすく手間をかけずに早期に脆弱性を確認することで、安全性の確保と、開発や運用の効率化の両方を実現できると考えています。また、yamory は当社で標準採用している開発ツールとの親和性に加え、IT システムの脆弱性対策において必要とされる対応が yamory 1 つで完結しているため、セキュリティ担当者だけでなく、アプリケーション開発者でも使いこなせる分かりやすさを備えていることに魅力を感じました。
さらに、脆弱性管理の領域は海外製品が多いなかで、国産サービスである yamory ならではの日本語対応の UI やドキュメントも、ツールの使いやすさとしてメリットに感じております。
合原氏:
2 つ目に、自社の CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインに組み込める点です。
当社はアプリケーション開発運用における技術・経験を結集した総合的なソリューション『AlesInfiny』を提供しており、そのサービスの 1 つ『AlesInfiny DevSecOps』では、アジャイル開発/DevSecOps 実践に組み込むセキュリティ診断機能、セキュアなアプリケーション実行環境の構築などを提供しています。AlesInfiny DevSecOps を活用したシステム開発では、CI/CD パイプラインに yamory を組み込み、日々行われるアプリケーションのビルド時に自動で脆弱性検査を行うことで、早期に脆弱性を確認できるようにしています。
※AlesInfiny は、BIPROGY 株式会社の登録商標です。
3 つ目に、組織全体での脆弱性一元管理機能の運用工数を削減できる点です。yamory 導入以前より脆弱性管理を徹底するなか、複数の開発チームの対策実施状況を組織横断で可視化することが困難という課題がありました。yamory では組織横断で脆弱性の一元管理を容易に行うことが可能であるため、組織全体で運用負荷を軽減しながら 、セキュリティ向上につなげることができると考えました。
――yamory への今後の期待はありますか?
村野氏:
yamory の活用により脆弱性対策をより効率的かつ網羅的に実施することで、当社のサービスをお客様へ安心・安全に提供ができることを進めています。今後については、アプリケーションとクラウドサービスの融合が進んできていると感じており、DevSecOps を広範囲にカバーするセキュリティ管理サービスに進化していただけると、当社を始めとして、IT サービスを開発・運用する方にとって yamory はかけがえのないパートナーになるのではないでしょうか。