サイボウズ株式会社様

yamoryがない状態には戻りたくない。OSSの脆弱性管理工数を月35人日削減

「チームワークあふれる社会を創る」という企業理念のもと、チームワーク支援のグループウェアを開発するサイボウズ様は、2011年ごろから会社としてセキュリティへの取り組みを進めてきました。独自に運営する脆弱性報奨金制度などをはじめ、国内でも先進的なセキュリティへの取り組みを続ける同社の大塚氏・長友氏にお話をうかがいました。

サイボウズ株式会社様
グローバル展開する国産グループウェアの先駆けとして、「kintone」「サイボウズOffice」「Garoon」「メールワイズ」などを展開

業種　　　SaaS

従業員数　969名（連結・2021年12月末現在）

掲載日　　2022年8月

課題

• グローバルなSaaSサービス提供者として脆弱性管理を重要視しており、自社水準を満たし工数を削減できるツールを探していた

• 完全手動で行っていた脆弱性管理の工数は、毎月45人日→10人日程度と大幅に減少

• プロダクトチームが自発的にyamoryを新プロジェクトに導入するほどの使い勝手の良さ

• OSSの脆弱性管理につきものの迅速さや正確さといったプレッシャーから開放され、負担が楽になった

活用シーン

• kintoneなどのプロダクトに加え、GitHubで公開しているプラグイン・カスタマイズのサンプルリポジトリまで、幅広くyamoryのスキャンを活用

• プロダクトチーム側もyamoryの導入によって、リリースごとに手動で行っていたセキュリティチームへのOSSアップデートの報告を自動化

• OSSの脆弱性管理を通じて、透明性の高いセキュリティ水準を提供

大塚氏：
PSIRTで、kintoneとモバイル製品のセキュリティを担当しています。

長友氏：
私はGaroonと、グローバル向けの販売管理システムを担当しています。

 

左：開発本部PSIRT 長友氏
右：開発本部PSIRT 大塚氏

 

大塚氏：
2006年頃より、脆弱性情報の問い合わせに対して適切に対応ができていなかった体制を見直し、脆弱性情報の専用窓口を設置することを含めた社内外の対応フローができ始めました。その後、2011年にクラウドサービス「cybozu.com」のリリースをきっかけに、全社のセキュリティを取りまとめる役割を持った仮想組織として「Cy-SIRT（サイサート）」が発足。さらに2013年に発生したできごとをきっかけに、セキュリティポリシーの見直しやレポートラインの整備など、セキュリティ関連の改善活動が本格化していきます。

同時に、品質保証部の中で脆弱性診断を専門に実施するセキュリティチームが発足。並行してサイボウズ全体のセキュリティ強化をミッションとした会議体もスタートしました。

複数の取り組みが活発化する中でセキュリティチーム内の役割分担を明確にしようという機運が高まり、2017年から既存のセキュリティ組織をPSIRT/CSIRTにわけ、現在に至ります。

 

大塚氏：
CSIRTでは、社内のセキュリティ教育や、端末を紛失した際のインシデント対応などを行っています。PSIRTは、プロダクトのセキュリティ検証、OSSの脆弱性管理、外部のセキュリティベンダーに委託する監査の管理、脆弱性報奨金制度の運用、開発チームとのディスカッションなどをメインに、新卒入社エンジニア向けのセキュリティトレーニングなども実施しています。脆弱性が改修された際に、エンドユーザー向けに行う情報提供もしています。

 

大塚氏：
Garoonなど、オンプレミスでサービスを使っていらっしゃる方もいるので注意喚起は重要です。また、セキュリティの活動の一環として脆弱性情報を公開していくことそのものが、サイボウズの透明性を広く知らせることにつながる点にメリットがあると思っています。

PSIRTの活動は、脆弱性を見つけるのが最終ゴールではなく、いかにユーザーにサイボウズ製品を安心して利用していただくかなので、そのゴールを達成するために限られた工数の中でどこに注力するのか考え、日々活動しています。

 

大塚氏：
クラウド製品は3つの観点から実施しています。社内での検証、社外に委託している監査、外部専門家の知識を取り入れるための脆弱性報奨金制度の3つです。社外の監査結果は、サイト上を通じて外部公開していますし、脆弱性を認識したら、社内でトリアージを行い、改修時期の検討をします。また、必要に応じて公的機関に連絡しています。

長友氏：
まったく同じバージョンについて社内・社外の両方で脆弱性診断を行うことがありますが、結果が同じことはほとんどないのが意外というか、とてもおもしろいです。やはり、複数の視点を組み合わせることが重要なのだなと感じています。

 

長友氏：
パブリッククラウドについては、開発チームや社内で知識のあるメンバーを中心に日ごろから検討し相談を重ねています。加えて外部のセキュリティ監査会社による診断も定期的に実施していますね。

 

長友氏：
以前は本当にしんどかったんです。yamory導入以前は、毎月45人日かけて手動でOSS管理台帳の作成や更新、OSSそのものの更新情報の確認をしていました。

具体的には、リリースごとにプロダクトチームからOSSの利用一覧をもらい、それを元に管理台帳を作ってRSSを登録し、日々アップデート情報などを監視していました。加えてライセンスの確認やEOLのチェックもあります。かなり時間がかかっていましたね。

プロダクトチームにとっても、バージョンごとにOSSの利用状況を報告をしていくのは大変面倒だったのではないでしょうか。

 

長友氏：
ツールを導入しようといろいろ検討していたんですが、yamoryという製品を使ってみたら思った以上にいいねという話になりまして。

まだ当時はβ版だったんですが、一番さっと使えて、なおかつ安定感がある。ドキュメントも充実していたので、「ここを見てください」といえばエンジニア側で導入できました。それでもわからない不明点や要望などは、yamoryの担当者さんにしっかり相談にのっていただけたのが本当に良かったなと思います。

特殊な要件も多かったので、マッチするツールが見つけられていなかったので、yamoryはまさに「自分たちに使いやすい製品だ」という実感がありました。

 

 

長友氏：
もちろん工数が1/4に削減できたという数値的なメリットもありましたが、個人的には何よりも毎週、迅速に、正確に情報を確認して開発チームに連絡するというプレッシャーから開放されたことが本当に嬉しかったです！

それまでは、先ほどお話したとおり開発チームがリリースするたびにOSSの一覧を出力してセキュリティチームに送り、われわれが前回ファイルとの差分をひとつひとつ見ていくという工程を踏んでいたので…

 

長友氏：
本当に、本当にしんどかったです。それでも、脆弱性管理はどれだけしんどくても絶対に手を抜けない部分なので、ただやり続けるほかなかった。手動で頑張ろうとするとどれだけ大変かということを身を持って知りました。

もうyamoryがない状態に戻りたくはないですね。また手動に戻るとなったら、「ちょっと考えさせてください」って言うと思います（笑）

 

長友氏：
PSIRTだけでなく、開発チームにとっても工数を削減できるサービスだったので、エンジニアが自発的にyamoryを取り入れる形で社内に広がっていきました。現在はプロダクト以外にも、GitHubで公開しているサンプルプラグインなどでもyamoryが活用されています。

yamoryを利用するかは製品ごとに判断してよいとしているのですが、yamoryがないとエンジニアがリリースのたびに自力でOSS一覧やアップデート状況をセキュリティチームに送る必要が出てくるので、yamoryを利用することが普通になってきていますね。PSIRTとしては、待っていれば使ってくれる状況でとても嬉しいです。

 

長友氏：
そうですね！対応している言語をもっと増やしてほしいですし、パッケージ管理ツールで管理していないライブラリを手動で登録できるようになるのも期待しています。また、EOLやコミュニティが活発でないなどの理由でアップデートのないプロダクトについての監視はまだ自前でやっているので、何らかの方法で通知してくれたりするといいなと思っています。

また、これはサイボウズ独特かもしれませんが、チーム間の垣根がないので、他のチームの脆弱性対応状況が見れたらよいなと思っています。開発チームから実際にそういう声があがっているんですよね。

 

長友氏：
yamoryには開発チームごとに脆弱性の対応状況を管理・メモできるステータス機能がすでにありますし、全社横断でライブラリの管理をできるセキュリティチーム機能もすでに存在しています。なので、ぜひ実現お願いしたいです。

大塚氏：
yamoryを見れば、今取り組む脆弱性対策がわかり、次に見るべき脆弱性もわかり、他のチームでどういった対策が取られているかがわかる。そんな状態になったらいいなと思います。

 

長友氏：
個人的には、OSSを使っているなら、それらの利用状況は必ず把握すべきである、という感覚です。一方で、取り組むのはとても大変で工数やコストがかかるという感覚も、過去の経験からよくわかります。

しんどいのに効果が見えにくい。だからといって手を抜けば、いざインシデントが起こった際に大変になる、それが脆弱性管理です。

だから、まずは小さい範囲から取り組むのがおすすめです。小さい範囲の成功体験を少しずつ積み重ねて、最終的に気づいたら全社で脆弱性管理ができている、という状態を目指していくのがベストなんじゃないかと思っています。yamoryならそれができるし、実際にサイボウズでは大きく助けられています。

大塚氏：
脆弱性がないシステムにするのはやはり難しい。減らすことはできてもゼロにはならないのが、まさに脆弱性「管理」という言葉に現れているのだと思います。会社ごとに工数や制限はあると思いますが、世の中にはプラクティス集のようなドキュメントもありますし、yamoryのようなツールもあるので、有効に活用して徐々に守れる範囲を広げていくのがいいですね。