株式会社Arent様

属人的な判断から「全社共通の指標」へ転換。数十のプロジェクトを横断的に可視化し、ガバナンス強化を実現

建設業界のDXを推進し、高度なアルゴリズムと実装力で巨大産業のイノベーションを牽引、急成長を遂げる株式会社Arent。しかし、手がけるプロジェクト数が数十と膨大になる一方で、脆弱性管理の属人化やガバナンスの維持が大きな課題となっていました。
コーポレートIT部門のディレクターとして同社のIT戦略を支える瀨下氏は、少人数チームで効率的かつ確実に脆弱性を管理するため、クラウドプロバイダー標準ツールを運用しましたが、日々発生する膨大なアラートの精査に追われ、管理者が確認に追われる現状に限界を感じていました。そこで、脆弱性管理のみならず、CSPM（クラウドの設定不備）やIT資産管理、EOLまでを統合的にカバーできる「yamory」を導入した結果、わずか数ヶ月でチームの「管理のための管理作業」はほぼゼロになりました。現場が自律的に脆弱性に対応できる体制を構築するまでの背景を伺いました。

課題

• 脆弱性管理において、数十にもおよぶプロジェクトごとに運用が個別最適化され、組織横断的なガバナンスが効きにくい状態だった
• クラウドプロバイダー標準ツールではアラートが膨大で、優先順位付けが困難な状態、いわゆる「アラート疲れ」に陥っていた
• 脆弱性への対応だけでなく、CSPMやEOL、IT資産の網羅的な把握など、手動の対応では限界に近づいていた

• KEV（悪用が確認された脆弱性）等の基準で優先順位と対応方法が明快になり、組織全体で管理しやすい点

• アカウントを連携するだけで、マルチクラウド環境のIT資産やCSPMを一元管理できる点

• APIとドキュメントが体系的に整備されており、MCP Serverの活用やAIエージェント連携など拡張性が高い点

• セキュリティ専門家を1人雇用するコストと比較して、圧倒的にコストパフォーマンスが高い点

導入後の効果

• 進捗確認や督促といった「管理作業」がほぼゼロになり、コーポレートITの負担が劇的に軽減した
• 「yamory」による客観的で共通の管理指標が確立され、脆弱性対応の意思決定が迅速化した
• 優先順位が可視化されたことで、個々のエンジニアによる自律的な脆弱性運用が定着
• 特定のプロジェクトで100件以上の脆弱性が解消されるなど、具体的な成果が顕在化

瀬下氏：
弊社は、建設業界向けに受託開発やDXコンサルティング、自社プロダクトの開発・販売を行っています。建設業界の「暗黙知」を高度な技術でシステム化し、業界全体の生産性を向上させることを目指しています。
私の役職はコーポレートIT部門のディレクターです。開発に軸足を置きつつ、情シスやセキュリティ、さらにはAIを使った開発標準化などの戦略的な領域を主に担当しています。
 

瀬下氏：
私がジョインした当時の脆弱性管理は、プロジェクトごとに個別最適化された対応が行われており、組織全体としてのガバナンスをいかに機能させるかが課題でした。クラウドプロバイダー側のツールを試してみたものの、とにかく発生するアラートが膨大で、それがノイズなのか本当に対応すべきものなのかを一つひとつ精査する作業に、膨大なリソースを割かなければならない状況でした。

特に負担だったのは「管理のための管理作業」です。多くのプロジェクトを横断的に見る中で、各PMへ状況を確認し、必要に応じて対応を促していくのですが、そのやり取りが指数関数的に増えてしまい、私自身の工数も限界に近づいていました。

瀬下氏：
一番は、「オートトリアージ機能」による優先順位付けの明快さです。KEV（悪用が確認された脆弱性）などの客観的な指標に基づいて、今すぐやるべきことが明確になるだけでなく、具体的な対応方法まで示されます。これにより、組織全体での管理が非常にスムーズになると確信しました。
 

オートトリアージ機能
 

また、弊社はマルチクラウドで展開していますが、「yamory」の「クラウドアセットスキャン機能」の利便性も大きな魅力でした。クラウドアカウントを連携するだけで、クラウド上のIT資産を網羅的に、かつCSPM（クラウドの設定不備）も含めて一元管理できる。この運用の手軽さは、限られたリソースで高いセキュリティレベルを維持するために不可欠でした。
 

クラウドアセットスキャン機能
 

これらを専門家を雇わずに実現できるコストパフォーマンスも決め手です。「専門家を1人雇うコストに比べたら、yamoryは圧倒的に有効な投資である」と経営層に説明したところ、すぐに導入が決まりました。

瀬下氏： 
チームの管理作業が「ほぼゼロ」になりました。これまでは手分けをして各担当がつきっきりで確認しなければならなかったのが、今はリアルタイムで検知から可視化まで自動で行われるため、非常に助かっています。
現場の動きも劇的に変わりました。以前は個別のプロジェクト判断に依るところが大きく、組織横断的な対応を加速させるのが難しい面もありましたが、今は「yamory」のダッシュボードを見て、チームが自律的に動いてくれます。
 

ダッシュボードのサンプルイメージ
 

実際、特定のプロジェクトで100件もの脆弱性が一気に解消されていたこともありました。エンジニアが「今回はこの理由で対応不要とする」といった判断理由を、自ら「yamory」の画面上に書き込んでステータスを完了にしているのを見たときは、現場のリテラシーに依存せず、同じ目線でセキュリティレベルを維持できる体制が整ってきたと実感しました。

瀬下氏：
コーポレートITチームからは「管理の手間がなくなった」と好評ですし、開発チームのPMからも「エンジニアが主体的に回してくれるので、個別の確認がいらなくなった」「一元的に見えている安心感がある」という声が上がっています。海外のエンジニアも、多言語対応で英語UIがあるおかげでスムーズに使いこなせていますね。

瀬下氏：
弊社はAI Nativeな開発を全社方針として推進しており、「yamory」をそのセキュリティ基盤としてさらに活用を深めていきたいと考えています。「yamory」はAPIがしっかり整備されているので、実際にMCP Serverを自作して、AIエージェントから脆弱性の問い合わせ・修正までを行える仕組みも構築しました。
すでに社内の複数プロジェクトで「従来のダッシュボードを見て手動修正する時と比べて効率化できた」という声も出ていて、手応えを感じています。AIによるコード生成が加速してリリース頻度が増えていく中で、「yamory」とAIエージェントの組み合わせは、DevSecOpsの在り方を大きく変えていくと思っています。
「yamory」はこうした変化に十分対応できる拡張性があると感じていますし、今後のAPI拡充にも期待しています。
 

瀬下氏：
「yamory」をお勧めするポイントは、大きく3点あります。

1点目は、「専門家不在でも運用できること」。セキュリティ専門家を雇うコストを考えれば、「yamory」は圧倒的にコスパが良い。中小企業でも、この価格感で専門家の知見を手に入れられるのは大きなメリットです。

2点目は、「管理のための管理がなくなること」。ワンストップで横断的に可視化され、通知もリアルタイムで届くため、管理者の負担が激減します。共通の指標でガバナンスが効くようになることで、各チームが自律的に回る「あるべき姿」の運用がこれ一つで手に入ります。

3点目は、「将来のポテンシャルの高さ」です。APIやMCP Serverの活用を含め、今後のAIエージェントとの連携など、開発手法が進化しても十分に対応できる拡張性があります。

専門家がいない組織でも、「yamory」を入れることで、後ろに専門家がいるのと同じような安心感が手に入ります。特にプロジェクト数が多い企業にとって、ガバナンスの強化と自律的な管理体制を構築できるこの価値は、他に代えがたいものだと思います。