工数の削減と属人性を排除した脆弱性管理を実現 - 株式会社システムインテグレータ

💡 導入の決め手
- 検知の精度と費用対効果
🙌 得られた効果
- セキュリティにかかる工数削減(1 チームあたり 2 ~ 3 人日)の実現
- 脆弱性のチェックもより高品質で標準化させることができた
🖥 活用シーン
- 週次のメールによる状況の確認
- 設計時のライブラリ選定
- 結合テスト
- リリース判定時
ー yamory を導入する前の OSS 脆弱性管理の方法を教えてください。
yamory を導入するまでは、担当者が定期的に脆弱性情報のサイトを見に行き、情報を確認する形で実施していました。
ただし、このやり方だと月に 2 ~ 3 日分のエンジニアの工数がかかってしまうし、担当者によって参照するサイトが異なる等やり方もばらばらであり、情報のばらつきや検知スピードの担保が困難な面もありました。
また、お客様から「脆弱性のニュースが出ているが、対応は大丈夫か」といったお問い合わせがあった際もその都度担当者が調査しており、やはり工数がかかっていました。
ー yamory を導入した経緯と導入を決めたポイントを教えてください。
当時、お客様からオープンソースのライブラリの脆弱性についてお問い合わせを受けることが多く、その対応に追われている時にちょうど展示会で yamory を知りました。
早速試してみたところ、お客様からお問い合わせを頂いていたライブラリの脆弱性がまさに検知されたので、詳しい説明を聞きたいと yamory に連絡をしました。
エンジニアが上記の調査をやろうと思えば、2 ~ 3 日はかかります。
しかし、人力での確認となるとチェック漏れのリスクはあるし、作業も楽なものではありません。
コストをかけてでもツールを入れて、ツールによる客観的な脆弱性管理が必要だと判断し、導入しました。
説明を聞いたところコストメリットが大きかったことも導入の決め手です。
ー yamory を使い始めて、何が変わりましたか?
やはり脆弱性管理にかかる工数自体が減ったことが大きいですが、チェックの抜け漏れを防止できるという精度面でも助かっています。
人力でのチェックとなると、どうしても Java のプロジェクトはチェックしたが JavaScript のプロジェクトは見落として後から慌てて対応する等、全ての情報をチェックするのは難しい面がありましたが、yamory を入れておけばそのようなことは起こりません。
ここは大きく変わったと感じています。
また、お客様から突発的に脆弱性に関するお問い合わせを頂いた時でも、すでに yamory で検知が出来ているので、担当による調査を待たずにその場で回答できるようになったことも大きかったです。
脆弱性に関するお問い合わせはお客様や時期によって変動するのですが、お問い合わせが急増した時でも、不安がない、既に検知されている、というのは非常に助かっています。
お客様からすると、これまで丁寧にその都度「調査します」と言っていたのが、「大丈夫です、対応予定です」等と返すことが多くなった為、対応がそっけなくなったと感じられているかもしれませんが(笑)
開発でも、突発的にライブラリを試してみたり、バージョンをあげる際にも yamory でチェックが気軽に出来るので便利だと感じています。
ー 現在は yamory をどのように使っていますか? yamory の導入はスムーズでしたか?

まずは製品の開発計画時、設計の段階で利用しています。
ここでは jar の選定時に yamory にかけて、どのモジュールのアップデートが必要か、アップデートしたあとにさらに変更分がないか、確認しています。
また、この段階で脆弱性が多いライブラリに関しては他のライブラリの使用を検討する等、ライブラリ自体の選定にも活用しています。
その他、結合試験の前後での確認と、リリース判定に利用しています。
また、週次で来るメールレポートは助かっています。
先週より脆弱性数が増えていると「あれ?これって大丈夫かな?」と、チームで相談して確認するようにしています。

yamory の導入はスムーズでした。
チェックしたい製品が yamory で対応されていましたし、不明点があってもサイトに情報があって、調べればわかったので特に困ったことはありませんでしたね。
ー yamory の中で特に気に入っている部分はどこでしょうか?
まず、検知された脆弱性に対し対応方法が書かれているところがとても助かっています。
対応方法を教えてくれるので、マイナーバージョンであればすぐにバージョンを上げてしまおう、メジャーバージョンアップであれば少し調査しよう、というように、すぐに対応に動けるのです。
また、メールでのレポートも助かっています。
やはりエンジニアは忙しいので、常に yamory に張り付いているわけにもいかないですが、yamory は週次でメールにて状況を教えてくれるので、脆弱性数の変化に気づくことが出来ます。