株式会社TKC様

1,000人の大規模開発組織に脆弱性とライセンスの管理フローを構築

昭和41年の創業から、全国の会計事務所と、地方公共団体の2領域に特化した情報サービスを提供し独自の地位を築くTKC様は、本社の所在する「栃木県」の名門企業であり同時に東証プライム上場企業です。企業の財務情報や自治体のマイナンバー情報など、いわば「社会的にも極めて重要度が高い情報」を扱う同社は、独自データセンターを運営し、ソフトウェアの開発や、セキュリティを含む各種運用を行うエンジニアが約1,000名を数えます。

この度、yamoryをご導入いただいた株式会社TKC様にyamory導入の背景や同社の取り組みについて伺いました。

株式会社TKC様
会計事務所と地方公共団体に特化した情報サービスを提供

業種   情報サービス

従業員数 2,398名(2021年9月30日現在)

掲載日  2022年12月

課題

  • システム開発の際にOSSの利用機会が増えており、脆弱性とライセンス管理が喫緊の課題となっていた

  • 総勢1,000人のエンジニアという、大規模開発組織を横断する運用フロー構築が求められた

導入の決め手・導入効果
  • 使いやすいyamoryによって、OSSの脆弱性とライセンス管理フローを1,000名規模の大規模開発組織において構築できた
  • 競合製品と比較して価格性能が高く、メリットがコストを上回ると判断できた
  • 競合製品と比較して、ソースコードを提供しなくてよい製品仕様も評価された

活用シーン

  • 利用手順に関する情報をイントラネットで共有し、チーム作成依頼から日々の運用まで全てyamoryで完結できるようにした
  • プロダクトリリース時に、yamoryのスキャンで脆弱性がないことおよび、使用しているOSSについて記したリストを提出しなければ承認が通らないルールを設けた

――お二人の自己紹介をお願いいたします

久津美氏:
TKCは、会計事務所とその関与先企業に対してシステムやサービスを提供する会計事務所事業部と、全国の市町村に対して住民サービスを展開する地方公共団体事業部との、大きく2つに事業が分かれています。私は、会計事務所事業部のシステム開発研究所で、品質保証部の責任者として、品質に関する責任を負っています。

中西氏:
私は、地方公共団体事業部に所属して、開発業務の中のユーザ・インターフェイス設計部という部署に所属し、自治体向けシステムの設計業務を担当しております。

 

――総勢1,000名規模のエンジニアがいらっしゃるそうですね

久津美氏:
全従業員は約2,500人程度で、そのうち約7割が会計事務所事業部、約3割が地方公共団体事業部に所属しています。この2,500人のうち約1,000人がシステム開発と、開発したシステムを運用するエンジニアです。

 

――全社的なセキュリティ管理はどのように行われていますか?

久津美氏:
情報セキュリティ戦略室という、どちらの事業部にも属さない独立組織があり、そこが全社のセキュリティを担っています。会計事務所事業部、地方公共団体事業部は、情報セキュリティ戦略室が定めたセキュリティ担保のための方針に従って、ルール設計などを行います。

各プロダクトのセキュリティは、それぞれのプロダクトの開発側が責任を負う形になっています。

 

株式会社TKC 久津美氏

株式会社TKC 久津美氏

 

――たくさんの開発者がいらっしゃる組織で、プロダクトのセキュリティ担保のために具体的にどんな施策を行っていますか?

久津美氏:
弊社は自社のデータセンターでサービスを展開していますが、サービス提供前に脆弱性診断ツールを使って脆弱性がないことを確認し、サービス展開後も定期的に脆弱性がないことを確認しています。開発と運用は分かれているので、診断は運用側で行われています。

 

――yamoryの導入目的を教えてください。どのような課題があったのでしょうか?

中西氏:
地方公共団体事業部では、新しいサービスやシステムを開発する際に、限られたリソースの中で効率的に開発するために、OSSの活用が増えていました。一方で、OSSを使うにあたってはその脆弱性が課題です。市町村様は重要な個人情報を扱っているので、必ず脆弱性のない開発を実現しなければなりません。

もうひとつはライセンスです。近年ITに詳しいユーザー様から、OSSの使用有無とライセンスについてお問い合わせをいただいたこともありました。また、世間的にもライセンス違反で訴訟に発展した事例もあり、脆弱性とライセンス管理、OSSの利用にあたってこの2つをリスクと考えました。

久津美氏:
個人情報や企業の機微な情報を扱っていますので、情報漏えいはお客様にとっても会社にとっても一番のリスクと捉えて、真摯に取り組んでいます。また近年は、クラウドサービスが普及して共同利用化が進んで、短期間で高品質なサービスを展開しなければいけないため、OSSの利用は避けられません。

 

――yamory以外に検討していた製品はありましたか?何がyamory導入の決め手になりましたか?

久津美氏:
海外製ツールをある会社さんから紹介され評価したのですが、一番のネックがコストの高さでした。自前でもできると考えた時期もありましたが、やはり難しそうだなと。そんなとき、たまたま私がyamoryを目にして、価格的に非常に魅力的でしたので約1年かけて評価させていただきました。検証の中で、ライセンス違反の検知機能を要望させていただいた所、スピーディーに実装いただいたこともあり、理想の管理ツールとして評価し、契約しました。

「海外製ツール」「自前」「yamory」の三択の中で、やっぱり餅は餅屋ではありませんが、万が一何かあったときに相当なリスクをわれわれが負うことになるので「セキュリティを専門に扱っているところを使った方がいいだろう」という判断でyamoryに決めました。また、海外製ツールにはコスト以外にも、ソースコードを提供しなければならないハードルがありました。

 

――運用フロー策定から、導入、運用定着までの具体的プロセスを教えてください

久津美氏:
評価期間を1年間いただき、いくつかのプロジェクトで実際に運用フローを回して、アラートが出たときどう対応する等のケースを複数作りました。その上で最終的な導入タイミングでは手順書を準備しました。

システム開発研究所とシステム開発本部は毎月1回、情報共有化会議という会議体を持っています。そこで「今後OSSを利用する場合は必ずyamoryを使ってください」と通達して、さらにシステム開発研究所の所長またはシステム開発本部の本部長から、yamoryを使って脆弱性およびライセンス違反がないことの承認をもらわなければサービスローンチ自体ができないように業務フローに組み込みました。

これで、yamoryによるスキャンで赤と黄のアラート※がひとつもなく、かつライセンス違反がないことが必ず確認されるようになりました。

※yamoryでは、検出された脆弱性に対して自動的にリスクの優先順位を判定するオートトリアージ機能(4段階評価)を実装しております。「Immediate(赤のアラート)」「Delayed(黄のアラート)」は上位2つのリスク評価に該当します

中西氏:
私の部門も、社内イントラにyamory利用時のガイドラインを掲載しています。ここでは、yamoryスキャン処理の自動ビルドへの組み込み、設定方法も公開しており、エンジニアであれば誰でも支障なく開始できるようにしました。

 

株式会社TKC 中西氏

株式会社TKC 中西氏

 

―――その後は手離れして運用いただいているということですね

中西氏:
そうです。yamoryのダッシュボードは、エンジニアが直感的に理解できる、本当に見やすい画面だと思っています。日々チェックがかかって結果が返ってくる仕組みがyamoryにあるので、チェック結果を確認し対応する業務の流れができています。

 

――リリースの際にyamoryのスクリーンショットを証跡として提出するなどのプロセスがあるのですか?

久津美氏:
システム開発研究所では、開発で使用したOSSの一覧をyamoryのデータからCSVで切り出して「このプロダクトではこのOSSを使って、バージョンはいくつで、ライセンスは何」であるかがわかるファイルを、承認を受けるとき添付しています。

中西氏:
地方公共団体事業部では、yamoryの診断結果に赤色と黄色がない状態、すべてが緑シグナルになっている状態でリリースするという運用をしています。リリースのタイミングで、どうしても脆弱性が残ってしまうときには、開発担当者が「対応中」というステータスに変更したうえで、「近日中に行う○○の対応とあわせて対応するため」といった理由などのコメントを残すルールにしています。

 

――yamoryを導入してどんな効果を実感していますか?

久津美氏:
今までは脆弱性を自分で探しに行かなければならなかったのが、いまは新しい脆弱性があればアラートがメールで通知されるので、とにかくエンジニアが開発に専念できます。ワンステップ減ったことが非常に効率を上げています。

中西氏:
私もその通りで、探しに行くのではなく、待っているというところが一番大きいと思います。ですので、もう以前の運用に戻れないというのが正直なところです。

 

――今後どのようなことをyamoryに望みますか?

久津美氏:
アプリケーションライブラリ以外にも、コンテナやホストのスキャンにもyamoryの機能を深掘りして使っていきたいと思っています。「戻れないツール」という話がありましたが、今後ゼロデイアタックが増えてくることなどを考えると「yamoryを使っていれば製品のセキュリティは盤石である」そう言えるようにyamoryができることが増えていくことを期待しています。

中西氏:
私の部門は複数のプロジェクトチームで管理しているので、あるチームが対応した脆弱性と同じものが別のチームで検出されることがあります。中には対応に横展開が必要な脆弱性もありますので、対処法などをチーム同士で共有できる機能があればいいと思います。

 

株式会社TKC

 

久津美氏:
現在、そのライブラリを使っていいかどうかの判断基準として普及性を確認しています。「ダウンロード数」「GitHubで星が何個ついているか」「NuGetのユーザー数」「過去1年以内のリリースの有無」等々、複数のポイントを総合評価して普及性を判断し、承認プロセスにも組み込んでいます。わざわざ調べなくてもyamoryが普及ランキングのような情報を提供してくれれば役立つと思います。
 

――脆弱性管理に悩んでいたり、具体的な行動に踏み切れない企業へメッセージやアドバイスはありますか?

久津美氏:
私自身OSSに深い知識もなく、セキュリティ専門でもない中で、OSSの脆弱性とライセンスの管理をすることになって、時間をかけて調査や評価を行った結果yamoryを使っていますが、今は「yamoryを使っていれば安心だ」という実感があります。先ほどの「後戻りできない」というのは、まさにこのことだなと思いました。yamoryを使えば今すぐにでもリスクを軽減できますし、いま思うといろいろ悩む前にyamoryを使った方が良かったなと思います。

中西氏:
私もほぼ一緒です。机上で考えるよりyamoryを一度でも評価すればその効果がわかると思います。明日からでも始められますから、まずはその効果を体験するといいと思います。

 

「安心してテクノロジーを活用できる世界を実現する」がyamory事業部のミッションです。御社が安心してOSSを使えていらっしゃることはわれわれとして本当に嬉しいです。本日はどうもありがとうございました

CONTACT

お問い合わせはこちら

サービスの詳細を
知りたい方

資料ダウンロード

実際の操作を見ながら
運用をイメージしたい方

無料デモ

課題のヒアリングや
相談をご希望の方

お問い合わせ
logo_img
ページトップへ戻る

© Assured, Inc.