国内大手法人の3社に1社が利用する製品の脆弱性対策に活用 - 株式会社Works Human Intelligence

株式会社Works Human Intelligence
業種:パッケージソフトウェア / SaaS
事業概要:大手法人向け統合人事システム「COMPANY(R)」の開発・販売・サポートの他、HR 関連サービスの提供
WHI は、『複雑化、多様化する社会課題を人の知恵を結集し解決することで「はたらく」を楽しくする』ことをミッションに掲げ、大手法人向け統合人事システム「COMPANY(R)」の開発・販売・サポートの他、HR 関連サービスの提供を行っています。「COMPANY(R)」は約 1,200 法人グループの大企業や官公庁のインフラとして日々利用されており、製品のセキュリティ対策に注力しています。
この度、製品および社内システムおけるより効率的な脆弱性対策の実施に向けて、yamory の導入を決定いただきました。
そこで、WHI 品質管理 Dept. 板倉 英史氏に、今回の yamory 導入の背景についてお伺いします。
――この度は、 yamory をご導入いただきありがとうございます。まず、 WHI 様におけるセキュリティ対策の現状や、導入の目的をお聞かせください。
板倉氏:
当社が提供する「COMPANY(R)」は国内約 1,200 法人グループで利用されており、約 470 万人(2021 年 12 月末時点の「COMPANY 人事」の契約ライセンス数合計)の人事データを管理しています。クライアント企業様の従業員の個人情報を扱う製品として、オープンソースの使用状況やソフトウェアライセンスの確認については品質管理担当者が定常的に一元管理をするなど、セキュリティ対策に注力してきました。
IT システムの脆弱性対策において、より効率的な管理・対策を行うため、yamory の導入を決めました。

――これまではどのような脆弱性対策をされてきたのでしょうか?
板倉氏:
OSS に関連する業務として、利用申請やライセンス確認、一覧管理、OSS の脆弱性情報収集、各製品での脆弱性の影響有無確認などがあり、これらを原則手動で行っていました。
その工程における脆弱性対策という点では、以下を実施してきました。
①新規 OSS 利用時に既存の脆弱性が存在するかチェック
②利用中の OSS に関する脆弱性情報を JVN や NVD、セキュリティ専門ニュースサイト、ベンダーのサイトなど多くのチャンネルから、基準を設けてスプレッドシートへ転記し管理
③必要に応じて各製品の担当を集め、影響有無を確認
各工程でセキュリティ担当者に負荷がかかるため、昨年から改善を進めてきました。また、昨年 12 月に判明した Apache Log4j の脆弱性について、早期に情報をキャッチし収束できたものの、対応に一定工数がかかったことや情報収集の難しさなど、改めて手動管理に課題を感じたことで、管理方法を見直す機会になりました。
――yamoryを選んでいただいた理由をぜひ教えて下さい。
板倉氏:
まず 1 つ目に、ツールとしての使いやすさです。
yamory では複数のレイヤーの脆弱性管理を一元化することができるため、より効率的で網羅的な脆弱性の検知、管理・対策が可能になる点が大きなメリットであると感じています。また、ダッシュボードも非常にシンプルで、現状把握と着手すべき点が一目でわかるため、エンジニアによる脆弱性対策の方針決めが容易になりました。

2 つ目に、緊急性の高い脆弱性の検知が早く、横断検索も可能な点です。
yamory の脆弱性情報データベースは、外部リソースに依存しておらず、セキュリティアナリストが日次で分析・登録を行っているため、即時に対処が必要なゼロデイ脆弱性なども素早い検知が可能な点に魅力を感じています。また、横断検索機能により、各チームが保有している資産や脆弱性の影響範囲の把握ができるため、Apache Log4j などの緊急性が高い脆弱性にもより迅速な対応が可能になることを期待しています。

3 つ目に、必要十分な機能が備わっている点です。
海外製品などにも同様の機能が内包されたサービスもありますが、その他の機能も多く、実際に活用するシーンがない、使いこなせないと感じていました、yamory は当社にとって本当に必要な機能を網羅しており、導入の決め手になりました。導入時・導入後のフォローアップが充実している点も大変すばらしいと思います。