網羅的な脆弱性対策で DX の要となるデータ活用を促進 - 株式会社インサイトテクノロジー
株式会社インサイトテクノロジー
業種:IT サービス
事業概要:
インサイトテクノロジーは、1995 年の創業時から一貫してデータベース技術を追究し、DX インフラ関連の製品をプロフェッショナルサービスと共に提供しています。
現在では、企業におけるデータの価値を最大化できるよう、データ利活用の統制を図り、データ活用推進を支える攻めと守りの両面のメリットをもたらすデータガバナンスソリューションを提供しています。
そこで、プロダクト開発本部 QA-SET 部 部長 堀井 則光氏に、今回の yamory 導入の背景についてお伺いしました。
――この度は、yamory をご導入いただきありがとうございます。まず、インサイトテクノロジー様におけるセキュリティ対策の現状や、どのような課題感をお持ちだったかをお聞かせください
堀井氏:
弊社は現在、金融業界や自動車メーカーなどの大手企業を中心に、システムの核となる様々な種類のデータベース運用を支援しています。そのため、OSS に潜む脆弱性リスクへの対応は重要な課題として対策に取り組んでいます。
また、安全な DX インフラ整備のための新ソリューションとして提供を開始した「Insight Governor」をはじめ、製品の SaaS 展開も進めています。サービス機能追加のスピードと品質を両立するため、セキュリティ対策に関してもシフトレフトを進め、脆弱性対応フローを効率化する必要がありました。
弊社製品のデータベース監査ツールである PISO は、以前はオンプレ版のみを提供していましたが、現在はアプライアンス化を行い AWS Marketplace でも提供しています。
AWS Marketplace での公開には、AWS セキュリティによって検出された既知の脆弱性が無いことが条件となりますが、監査対象が OS にも及んだことで想定していなかった脆弱性が発覚し、急遽製品対応が必要になるようなケースもありました。
――そんななか、yamory を選んでいただいた理由や導入後の効果について教えて下さい
まず 1 つ目に、IT システムの脆弱性対策を yamory 1 つで完結できる点です。
これまでは、OS・ミドルウェアから、フレームワーク層、クラウドなど、IT システムのレイヤーごとにそれぞれ管理・対策を行う必要があり、多大な労力がかかっていました。yamory を導入することで、複数のレイヤーの脆弱性を一元管理でき、より効率的で網羅的な脆弱性の検知、管理・対策が可能になる点が大きなメリットであると感じています。
yamory の導入後は、想定していない脆弱性が発覚するようなことがなく、事前に全ての脆弱性が解消された状態にできるため、対応のスケジュールも組みやすくなりました。
2 つ目に、シンプルで使いやすいインターフェースです。
yamory は、CI/CD(Continuous Integration/Continuous Delivery)を用いた自動化や運用ポリシーの策定が、簡単かつ迅速に実装できる点も魅力だと感じています。製品ビルドのパイプラインに脆弱性監査を組み込むことで、脆弱性にいち早く気付くことができるようになりました。UI もシンプルでわかりやすく、オートトリアージ機能により脆弱性の危険度・対応優先度が自動で通知されるため、対応方法や脆弱性の概要について調べやすくなり、迅速に状況の把握ができるようになりました。その結果、製品の脆弱性対応・対策へのコストが劇的に削減されました。
3 つ目に、国産サービスで品質が高く、サポートが充実している点です。
yamory はプロダクト品質が高く、導入時・導入後の手厚いサポートや、日本語でのドキュメントも充実しているため、安心して導入することができました。また、当社で利用していた Oracle Linux への対応を要望したところ、早期に対象 OS に追加されました。ニーズに応じたアップデートや機能追加など、柔軟に対応してもらえる点にも期待しています。