グループ横断の脆弱性対策をオールインワンで実現 - 株式会社ユーザベース

株式会社ユーザベース
業種:SaaS / メディア
事業概要:企業・業界情報プラットフォームの「SPEEDA」、ソーシャル経済ニュースの「NewsPicks」、B2B マーケティングエンジン「FORCAS」などを提供
ユーザベースグループは、「経済情報の力で、誰もがビジネスを楽しめる世界をつくる」をパーパスに掲げ、経済情報プラットフォーム「SPEEDA」や、B2B 事業向け顧客戦略プラットフォーム「FORCAS」などの SaaS プロダクト、さらに、経済ニュースメディアの「NewsPicks」など、様々な事業を運営、開発しています。
自社サービスのセキュリティ対策に力を入れており、より盤石なセキュリティ対策を構築するため、効率的かつ徹底した脆弱性管理の実施に向けて yamory の導入を決定いただきました。
そこで、ユーザベース CIO / CISO の王佳一氏に、今回の yamory 導入の背景についてお伺いします。
――この度は、yamory をご導入いただきありがとうございます。まず、ユーザベースグループ様におけるセキュリティ対策の現状や、どのような課題感をお持ちだったかをお聞かせください
王氏:

ユーザベースグループでは、BtoB と BtoC 向けの SaaS プラットフォームを複数展開し、ビジネスパーソン向けメディアサービスも提供しています。法人や個人のお客様の大切な様々な機密情報を取り扱っているため、グループ全体でセキュリティ体制の高度化や省力化が急務であります。
これまでは規程やポリシーをベースとした人的セキュリティ対策が中心でしたが、現在はサイバーセキュリティ対策を強化しています。また、近年のサイバー攻撃の高度化・巧妙化により組織をセキュリティ脅威から 100% 防ぐことができない以上、サイバーレジリエンスを高める仕組みを構築することを最優先に取り組んでいます。
脆弱性管理について、これまで各プロダクトで個別に行っていました。今後も事業成長を加速させながら、全体最適化にシフトしている中で、脆弱性管理についてもグループ全体で横断的に実施し、各プロダクトにおけるセキュリティ対策状況の可視化・一元化を行い、セキュリティ品質水準を平準化・向上していきたいというニーズが高まっていました。
――そんななか、yamory を選んでいただいた理由をぜひ教えて下さい
まず 1 つ目に、脆弱性情報が yamory 独自のデータベースに集約されており、複数レイヤーの脆弱性管理が可能な点です。
これまでは、CVSS(Common Vulnerability Scoring System / 共通脆弱性評価システム)などのサイトから自身で情報収集する必要がありました。これらのサイトの多くは日本語対応をしていないため、検索の手間だけでなく、脆弱性の危険性を判断するのにも多大な工数が発生していました。yamory は独自の脆弱性データベースを構築し、日本語で脆弱性の概要を把握できるため、対策可否の判断が容易であること、また、複数のレイヤーの脆弱性を一元管理でき、IT システムの脆弱性対策が yamory 1 つで完結できる点も有効だと感じました。
2 つ目に、間接依存関係における脆弱性も検知、対策が出来る点です。
近年は間接依存における脆弱性も多く発生しており、それらを手動で確認するのは限界を感じていました。そんななか、yamory を先行導入していたプロダクトで Java 向けのビルドツール「Maven」の依存関係まで脆弱性を検知できた実績は、グループ全体への導入の後押しになりました。
yamory では、直接依存だけではなく、間接依存まで検知できるため、より深い層まで脆弱性の有無を把握でき、網羅的な対策が可能である点にメリットを感じました。
3 つ目に、グループ横断で脆弱性対策の運用が可能である点です。
ユーザベースグループでは、複数の開発組織をもつなか、それぞれのチームで脆弱性対策を行ってきました。セキュリティ担当者が各開発チームを横断して、脆弱性への対応状況を都度確認していましたが、yamory を活用することで各開発チームのリポジトリを可視化し、脆弱性への対応有無も自動で管理・確認できることが期待されています。