EdTech 事業における組織横断の統合的な脆弱性管理を実現 - 株式会社グロービス

株式会社グロービス
業種:教育 / EdTech
事業概要:各種事業展開、デジタルでの社会人教育事業(EdTech)
グロービスは 1992 年の設立以来、「経営に関するヒト・カネ・チエの生態系を創り、社会の創造と変革を行う」ことをビジョンに掲げ、各種事業展開を進めています。デジタルでの社会人教育事業(EdTech)にも注力しており、開発組織を拡大するとともに、セキュリティ対策を徹底してきました。
そこで、グロービス 経営管理本部 情報システムチーム テクノロジー・ディレクター 王 佳一氏に、今回の yamory 導入の背景についてお伺いします。
――この度は、 yamory をご導入いただきありがとうございます。まず、グロービス様におけるセキュリティ対策の現状や、どのような課題感をお持ちだったかをお聞かせください。
王氏:
グロービスは日本最大の経営大学院(MBA)やテーラーメイド型の企業内研修等の運営を通じて、人材育成に関わってきました。現在は「テクノベート時代の世界 No. 1 MBA へ」という目標を掲げ、デジタルでの社会人教育事業(EdTech)に本腰を入れています。約 5 年前に EdTech 新規事業部門を創設し、質とスピードの両方を保ったプロダクト開発を行うためのエンジニア組織を構築しています。
IT システムの脆弱性対策において、より効率的な管理、迅速な対策ができる方法を模索した結果、yamory の導入に至りました。

――これまではどのようなセキュリティ対策をされてきたのでしょうか?
王氏:
社内には多くの開発チームがあり、それぞれ個別にセキュリティ対策をしている状況でした。例えばインフラのレイヤーでは、OSS のスキャンツールを定期実行して Slack への通知を行っていました。またアプリケーションのレイヤーでは、GitHub の機能を用いたセキュリティスキャンを行っている例があります。
――先進的な取り組みをされてきている印象ですが、そのなかで課題感はありましたか?
王氏:
昨年 12 月に判明した Apache Log4j の脆弱性については、すべての開発チームの Java 利用状況をセキュリティ担当者が確認し、必要な脆弱性対策の調査をしていきましたが、漏れなく対応するには、膨大な工数と時間がかかりました。また、複数サービスを運営していく中で、脆弱性対応の基準が属人化してしまうリスクや、脆弱性の対応優先度の判断が難しいといった課題がありました。
――yamory を選んでいただけた理由をぜひ教えて下さい。
王氏:
まず 1 つ目に、複数レイヤーを yamory 1 ツールで統合的に管理できる点です。
これまで、すべてのシステムレイヤーの脆弱性を管理するためには、それぞれのレイヤーに対してツールを使い分ける必要がありましたが、yamory では複数のレイヤーの脆弱性管理を一元化することができるため、より効率的で網羅的な脆弱性の検知、管理・対策が可能になる点が大きなメリットであると感じています。
2 つ目に、組織を横断して脆弱性管理が行える点です。
グロービスでは、セキュリティ担当者が各開発チームを横断して、脆弱性への対応状況を都度確認していましたが、yamory を活用することで各開発チームのリポジトリを可視化し、脆弱性への対応有無も自動で管理・確認できることが期待されています。
3 つ目に、Apache Log4j など緊急性の高い脆弱性の検知も早く、横断検索も可能な点です。
外部のリソースに依存するのではなく、yamory 独自のデータベースに脆弱性情報が集約されているため、迅速な脆弱性検知が可能で、昨今リスクが高まっているゼロデイ脆弱性なども素早い検知を実現できる点に魅力を感じています。また、間接依存の脆弱性も検知が可能で、横断検索機能で脆弱性のある Log4j の存在の有無を確認することができ、緊急性が高い脆弱性にも迅速に対策できることが期待されています。