SecureNavi株式会社様

クラウドアセットスキャンによる網羅的な脆弱性管理を実現

SecureNaviは、ISMS認証やPマークにおける取り組みを効率化し、組織の情報セキュリティレベルを向上させるクラウドサービスを提供しています。
自社の開発環境におけるセキュリティを更に強化するため、この度yamoryの導入を決定いただきました。

そこで、 技術本部 本部長　飯田様に、今回のyamory導入の背景についてお伺いしました。
 

飯田氏：
当社は、企業のセキュリティ体制構築をクラウドで支援するセキュリティSaaSを展開しており、スタートアップ・中小企業からエンタープライズ企業まで、規模や業界を問わず、様々な企業にご利用いただいています。より強固でセキュアなサービスを提供するため、自社の開発環境においてセキュリティは最重要であると捉えています。そこで、脆弱性とEOL、OSSライセンス違反の管理を強化していく計画をたてていました。
私自身が前職でyamoryを利用しており、アプリライブラリやホストで脆弱性の検知をしていたため、真っ先にyamoryを想起し、問い合わせました。
 

まず初めに、以前はコマンドラインでスキャンを行っていたのですが、クラウドアセットスキャンがリリースされており、アカウント連携のみで取得したい範囲のスキャンを容易に行える点に魅力を感じました。当初は、CI/CDに組み込むことを検討していましたが、クラウドアセットスキャンの方が容易に設定でき、助かっています。設定後の環境の変化にも追従する仕組みなので、アカウントが増えた場合でも、連携済みのアカウント環境では追加設定を行うことなく利用できています。

クラウドアセットスキャン機能
 

2点目に、わかりやすいUIや日本語ドキュメントが豊富な点もポイントでした。私自身は以前も利用していたので、使いやすさはわかっており社内でも推薦していましたが、他のメンバーはyamoryを初めて使うメンバーでした。しかし、日本語のドキュメント（マニュアル）が豊富であり、画面キャプチャもついているので、初めて利用するメンバーでもわかりやすく、スムーズに活用ができています。

ダッシュボードイメージ
 

脆弱性の対応方法に関する日本語ガイド
 

3点目に、クラウド設定管理（CSPM）が可能な点です。当初は、脆弱性とEOL、OSSライセンス違反の管理を行う計画でツールの導入を検討していましたが、yamoryであればそれらに加えてクラウド設定不備を検知できることから、想定よりもカバー範囲が広がり、セキュリティ強化に繋がっています。
 

クラウド設定管理（CSPM）機能
 

今後は、組織単位（OU）でのクラウドアセットスキャン連携を進めるなど、yamoryをうまく活用し、より効率的・網羅的な脆弱性管理を行っていきたいと考えています。