グループ会社横断のソフトウェア脆弱性管理を完全自動化、工数をゼロに - Visional グループ
Visional グループ
業種:IT サービス / SaaS
事業概要:ビズリーチ、HRMOS を中心とした HR Tech 領域を軸に、M&A、物流Tech、セールスTech、サイバーセキュリティなど幅広い SaaS サービスを手掛ける
従業員数:1,466 名(連結・2021 年 7 月末現在)
即戦力人材と企業をつなぐ転職サイト「ビズリーチ」をはじめ、多彩な分野でテクノロジーを活用し、産業のデジタルトランスフォーメーション(DX)を推進する事業づくりを続ける Visional。事業・組織が大きく拡大していく中で、社会への責任を果たしうるセキュリティ組織を立ち上げていくプロセスと、そこで yamory が果たした役割について、セキュリティ室マネージャーの薄井氏に話をうかがいました。
💡 課題背景
- 手動による IT 資産の把握と脆弱性管理を行っていたが、会社の成長と事業の多角化で工数がかさんでいた
- 限られたリソースの中で事業並走型のセキュリティ組織にしていくため、自動化できるソリューションを探していた
🙌 導入の決め手・導入効果
- 導入までのハードルが非常に低い
- 脆弱性情報の収集、SBOM 管理、対応指示とステータス管理までを見やすいインターフェースで自動化できた
🖥 活用シーン
- 全社で利用しているソフトウェア、SBOM の可視化が済んでいたため、Log4j の対応も 7 時間で完了、有事で活用できた
- ソフトウェアと外部の脆弱性情報や攻撃リスクとの突き合わせは、毎日 yamory で自動的に実施
- 脆弱性対策で必要なセキュリティ上のアドバイスも yamory がやってくれるため、事業部による自発的な対応が可能になり、コミュニケーションコストも削減
手動で行っていた全社横断の脆弱性管理の工数が、yamory による自動化でゼロに
――もともと脆弱性管理はやっていたところに、後から yamory を導入したと伺っています
はい。Visional では 4〜5 年前に全社横断のセキュリティ組織が立ち上がり、IT 統制チーム、攻撃情報の収集や脆弱性管理のレッドチーム、情報教育、監視等を担うブルーチームの 3 つの機能を軸に、すでにある程度運用がなされていました。実際に yamory 導入前も、年に一度の脆弱性診断を内製で実施し、検出したものをチームに共有して直してもらう、ということを行っていました。
――グループ会社も含めてすべて内製で担当されていたんですか?
Visional には、ビズリーチのように多くのお客様にご利用いただいているようなプロダクトから、当時まだリリース準備段階の新規事業まで、求められるセキュリティ水準やフェーズがバラバラのプロダクトが 10 以上ありました。それぞれの状況に合わせた適切な基準と調整を行うには、自分たちでやるのが一番効率的であり、それぞれの事業やプロダクトに適したセキュリティ対応ができるという判断でした。コストメリットも大きいですしね。
――属人的な対応を余儀なくされていたんですね
ただ、やはり自分たちで行うのはそれなりに大変です。複数のスプレッドシートを用意して、各事業部の担当エンジニアとスプレッドシート上で対応状況をやりとりして…という状況でした。複数のプロダクトや開発チームをもつ事業会社でセキュリティを担当されている方には、この大変さがイメージできるかもしれません。
現在、アプリライブラリのソフトウェアに対する脆弱性管理は完全に yamory に移行しました。自動で毎日スキャンが行われ、対応の優先順位付けであるトリアージも自動でなされます。何より脆弱性に対する対策まで書いてあるのがとてもよいですね。脆弱性の数×対策として倍々に増大するコミュニケーションを人手で行っていたので、負担が一気になくなりました。その分のセキュリティエンジニアの工数がまるっとなくなった感じです。
――yamory を活用することで、自動化と工数削減を実現したんですね
今はそのリソースで、ホストやコンテナの脆弱性管理の効率化や、クラウドインフラの設定の不備を検知するための仕組みづくりを行っています。Amazon Inspector、ECR を組み合わせた脆弱性スキャンや、AWS Config 等を利用したクラウドインフラの設定の不備の検知は運用を開始していて、GCP もツールを導入中です。
Log4j 対応が 7 時間で終了できたとき、緊急脆弱性やゼロデイ攻撃に対する yamory の強さを感じた
――Log4Shell の対応では yamory 導入の効果がありましたか?
まだ記憶に新しい、2021 年に発覚した Log4j の脆弱性。悪用が比較的簡単であり、発生が年末だったことも重なって混乱した現場が多かったゼロデイ脆弱性だったと思います。その中で、情報検知から対策完了まで、7 時間という圧倒的な短時間で対応を完了できたのは、日頃からyamory でソフトウェア一覧を可視化していたからでした。yamory で全社横断的にソフトウェア検索を行い、早期に Log4j を利用しているプロダクトを特定。ピンポイントで開発チームとコミュニケーションを取り、脆弱性の説明と対策の情報提供を行ったことが、短時間で対応できたことに大きく寄与しましたね。
「使ってますか?使ってませんか?」といったヒアリングから始めていたら、多数の事業を抱える企業であればあるほど工数が膨らみ、早期に対応を開始したのになかなか終わらない事態になっていたと思います。
(その時の事例をビジネス+IT にて紹介いただきました)
Visional の「セキュリティ」戦略、脆弱性管理の自動化で得た“驚きの成果”とは |ビジネス+ITより引用
セキュリティチーム=「いろいろ言ってくる人たち」にならないことが大事
脆弱性対策のプロセスはどの企業でも基本的には同じです。
- 社内のシステム、ソフトウェアの管理
- 脆弱性情報の収集
- その対応支援
の 3 つに大きくプロセスが分けられます。その中で、yamory には前者 2 つを任せ、私たちは「対応支援」にフォーカスする時間を増やすようにしています。内製のセキュリティチームだからこその価値である、事業に一番身近な立場であることを大事にしているんです。
「いろいろ言ってくる人たち」にならないこと、つまりプロダクトを守りながら、本来目指す姿を実現するために、一緒に考えてくれるのだという信頼関係が最重要だと思っています。日々の脆弱性対策やセキュリティ診断を通じて、一緒に答えを導き出していく取り組みを丁寧に積み重ねてきたからこそ、信頼関係に基づいて Log4j のアラートにもすぐに対応してくれたのだのだと、おこがましいかもしれないですが自負しています。ワンチームである、くらいの心持ちです。チームを立ち上げ、運用が一通り回り始めた今だからこそ、さらに一歩先行くためには日頃のコミュニケーションが大切なのだと実感した出来事でした。
――他の会社さんでは、セキュリティチームとプロダクトチームが分断してしまい、脆弱性対策の導入がうまく進まないという話も良く聞きます
Visional では、yamory 導入時に何もなかったというか、正直導入タイミングが思い出せないくらい障害がなく本当にスムーズでした。セキュリティ室のメンバーが、もともとプロダクトチームから来た人が多いのも大きいかもしれません。メンバーの横のつながりからセキュリティに対する意識を徐々に社内へ浸透させていきました。私自身も、もとはプロダクトサイドのインフラメンバーでしたしね。
yamory を使い続けたいと思えるのは、圧倒的に見やすいインターフェースがあるから。自作ツールで行っている診断の結果も取り込めたらいいなと思うくらいです
もちろん、自動化による工数削減は yamory の良さですが、それ以上に yamory を使い続けたいと思えるのは見やすいインターフェースにあります。リスクごとに自動でトリアージされた脆弱性を事業部が自律的に修正するには、ツールそのものの使いやすさが非常に大切です。
――yamory では、検出された脆弱性に対して「どこにリスクがあるのか」「アップデートすべきバージョン」「手動で脆弱性を回避する場合における手法」などについても日本語で提供しています
そうですね。そのおかげで、私たちセキュリティチームが事業部に対して、脆弱性ごとにひとつひとつ情報提供するという手間が省けます。また、セキュリティに詳しくないエンジニアでも触りやすいシンプルなUXなので、ツールそのものへの使い方もひと目でわかるのがとてもよいですね。
yamory の成長と、会社の事業の成長を重ね合わせ、セキュリティ水準も高度化していきたい
――yamory の今後に期待していることはありますか?
クラウドインフラの管理をはじめとしたアプリライブラリ以外の脆弱性は、現在他のツールや自作ツールで管理している状態です。AWS, GCP, Azure などの IaaS / CaaS の設定を中心としたリスク管理も yamory でできるようになると伺っているので、早くリリースされないかなと心待ちにしているところです。また、脆弱性診断の結果はスプレッドシート等で管理でしているので、他のツールで検知した脆弱性や診断結果も yamory で管理できるようになると良いですね。
また、実は私たちも IT 統制、ブルーチーム、レッドチームと機能ごとに別れていた組織を、この夏から 1 つの「サイバーセキュリティグループ」として再編してリスタートし、セキュリティ水準のさらなる高度化を目指しています。PSIRT / CSIRT のあり方は事例情報が出回ることもなく手探りの企業さんも多いかと思いますが、できる範囲で情報発信を進め、業界全体のセキュリティ水準の向上に寄与していきたいです。