thumbnail_case-atware

株式会社アットウェア様

プラットフォームに依存しない様々な環境に対応した脆弱性管理

2004年の創業当初からオープンソースを採用するなど、先端技術を積極的に取り入れることで付加価値を生み出し続ける先進技術者集団。技術者コミュニティへのサポートも行い、積極的な価値発信も行っている株式会社アットウェア様にyamory導入の背景や同社の取り組みについて伺いました。

株式会社アットウェア様
新技術を積極的に活用したシステム構築サービスを提供

業種   ソフトウェア開発

従業員数 42名(2022年12月現在)

掲載日  2023年4月

課題

  • 脆弱性情報を技術者が定期的にわざわざ取りに行く運用は現実的ではなかった
  • 複数のライブラリにまたがる依存関係の把握等が困難を極めていた
  • 顧客毎に開発環境が異なるため特定のプラットフォームの機能に依存することはできなかった
導入の決め手・導入効果
  • 脆弱性情報がプッシュ型で自動通知されるので、本来やりたい開発作業に集中できる
  • yamoryひとつで、複数のプロジェクトとチームを横断する脆弱性対応フローが構築できる
  • さまざまな言語や開発環境にyamoryが対応できている

活用シーン

  • 全てのCIやパイプラインにyamoryを組み込んで対応している
  • 検出した脆弱性をチケット管理システムに起票、担当者を割り振り、誰もが脆弱性対応可能に

――最初にみなさまの自己紹介をお願いいたします

浅野氏:
アジャイル開発がしたくてアットウェアに入社して約15年です。アジャイルとクラウドを組み合わせて顧客に価値を届けるための下支えや、社内全体に共通する仕組みを考えたり推進したりする一方で、インフラセキュリティワーキンググループの一員としてyamoryの導入に関わりました。

菊池氏:
私はそれぞれの開発プロジェクトに入って、設計や活用技術を考えるなどの、技術的なところをリードする業務を担当しています。開発ではどうしても機能を作るところを優先して、セキュリティ面を意識するところが弱かった。そこにyamoryのお話が浅野さんから来て、何かちょっと使ってみたいなって。セキュリティをメインでやる人材がいない現状だったので、そこをツールで補えるのなら、というのが始まりでした。

加藤氏:
一昨年入社して最初に携わったのが、はじまって半年程度経過した新規立ち上げプロジェクトの技術面を支えることでした。脆弱性のニュースをひとつひとつ自分で拾い上げたりしていた折に、浅野さんからyamoryを教えていただきました。「今のプロジェクトに是非欲しい」と、自ら率先してyamoryを運用に組み込んでいきました。

 

――全社的なセキュリティ管理はどのように行われていますか?

浅野氏:
セキュリティの専任担当者を決めた時期もありましたが、負荷が集中しすぎる・属人的な課題等の理由で現在は、セキュリティ担保は会社が取り組むべき課題として、ワーキンググループ化して分散して複数人で取り組んでいます。インフラセキュリティワーキンググループは現在3名です(編集部註:菊池氏と加藤氏はグループメンバーではない)。

インフラセキュリティワーキンググループは、生産性を担保しながらセキュリティを向上させたり、セキュリティにおけるトレードオフを考えたりといった、調整と実務、啓発やインシデントマネージメントなども行っています。また、後からみんなが困ることがない運用、たとえば全員に管理者権限をつけると危ないので、切り分けたり監視したりといった仕事なども担当します。他にも1Password導入や、AWSアカウントの管理、GoogleWorkspaceアカウント発行のChatOpsによる自動化等も行っています。

菊池氏:
私はそれぞれの開発プロジェクトに入って、設計や活用技術を考えるなどの、技術的なところをリードする業務を担当しています。開発ではどうしても機能を作るところを優先して、セキュリティ面を意識するところが弱かった。そこにyamoryのお話が浅野さんから来て、何かちょっと使ってみたいなって。セキュリティをメインでやる人材がいない現状だったので、そこをツールで補えるのなら、というのが始まりでした。

加藤氏:
一昨年入社して最初に携わったのが、はじまって半年程度経過した新規立ち上げプロジェクトの技術面を支えることでした。脆弱性のニュースをひとつひとつ自分で拾い上げたりしていた折に、浅野さんからyamoryを教えていただきました。「今のプロジェクトに是非欲しい」と、自ら率先してyamoryを運用に組み込んでいきました。

 

株式会社アットウェア 浅野氏

株式会社アットウェア 浅野氏

 

―― どんな課題を解決するためにyamoryを導入しましたか?

菊池氏:
大きいニュースになるような脆弱性が報告されたらもちろん調べますが、僕たちはやっぱり作ることに集中したいので、脆弱性を自分から収集するようなことはその集中を妨げることになります。一方で、開発に使用するライブラリは、数十にわたって依存関係があったりするので、そのための専任者でもいない限り、ひとつひとつは到底調べきれません。yamoryのようなツールが機械的に教えてくれるなら、本来やりたい作ることに集中できるようになれると思いました。

浅野氏:
たとえば開発環境で静的コード解析のプラグインや、フォーマットを統一するためにコードスタイルを導入するような感覚で、脆弱性を検知できればいいと考えました。気づいた人が対応するのでは見落としがありますから、自分から情報を取りに行くプル型ではなく、プッシュ型で情報を得られること、機械的に通知があることが、最も評価しているyamoryの機能です。

 加藤氏:
二人にほとんど言われてしまったのですが、私は基本的に人間の認知をあまり信用していないので、自動化、自動で気づける仕組みがすごくありがたいです。

 

株式会社アットウェア 菊池氏

株式会社アットウェア 菊池氏

 

―――yamory導入のきっかけ、あるいは選ばれたポイントは何ですか?

浅野氏:
最初に知ったきっかけは「製品を試用してフィードバックしてほしい」という問い合わせを、yamoryのプロダクトオーナーの方から会社へいただいたことでした。ちょうどそれが、社内でセキュリティ周りへの課題感が高まっていた時期とタイミングが合っていました。

yamoryはビズリーチにもルーツがあるプロダクトだという話を聞いて、であればフィードバックや、やり取りするときにきっと話が合うだろう、感覚値が似ているだろうと思い、使ってみることに決めました。

 

――御社には、言語やプラットフォーム等が異なるプロジェクトが、お客様ごとにたくさん存在すると思います。yamoryはそれぞれの異なる環境のプロジェクトでお役に立っているでしょうか

浅野氏:
弊社には「絶対にこれを使わなければいけない」という縛りがありません。プロジェクトによってAWSなどのパブリッククラウドもあればOpenStackなどのプライベートクラウドもあり、ソースコードリポジトリ管理などは案件特性の関係でソースコードをクラウドサービスに置かずにGitBucketなどで自前ホスティングをするケースもあります。なので、プラットフォーム特有の機能を推し進めることをしたくないという条件にyamoryは合っています。

菊池氏:
僕が携わっているプロジェクトは基本JavaメインなのでGradleが主流になっていることが多いのですが、yamoryは主要なところを押さえてくれていて「なんだ、これyamoryでできないんだ」というのは今のところ一度もありません。加えて、AWSやGitHubのスキャン機能のように特定のプラットフォームに依存せず、ただツールとして使える手軽さがすごくいいと思っています。

加藤氏:
私はJava、Python、Go、TypeScriptの4言語を使っていますが、全てyamory対応していたので問題はありませんでした。

 

株式会社アットウェア 加藤氏

株式会社アットウェア 加藤氏

 

――菊地様のプロジェクトでyamoryを導入するまでの経緯を教えて下さい

菊池氏:
もともとCIを使ってデイリーでテストをしていますが、そこにyamoryのレポートを組み込みやすかったのが個人的には一番いいポイントだと思っています。アップロードする情報を依存関係の部分だけに設定できることや、Gradleや、npm、Yarnなど主要なビルドツールに対応しているのも導入しやすかった。ですから、運用の形を用意してチームメンバーに伝えるのに時間はかかったものの、最初の段階でもう「これは入れてしまおう」と心の中で決めていたんです。

 

――加藤様のプロジェクトのyamoryの導入から運用までのプロセスをお教え下さい

加藤氏:
私のプロジェクトはまだ正式リリース前だったので、何も気にせずバージョンを上げてもよかった時期でした。コード周りのセキュリティに意識を向けるという意図でyamoryの導入を提案したら、すんなり通りました。ウィークリーで出てくるレポートをCIに書き込んで、挙がってきたものをひたすら直しましたが、そのおかげで無事リリースすることができました。リリース後も問題は報告されておらず、yamoryの力も大きいと思っています。

 

――yamoryを導入してどんな効果を実感していますか?

菊池氏:
ビッグバン的なアップデートではなく、ちょっとずつ対応していけるのがyamoryのいいところだと思います。自動で情報が届くので定期的にそれを見て、まとめて来月やろうとか、そういった計画を立てやすい。

加藤氏:
いま自分は、yamoryを最初に導入したプロジェクトから離れているのですが、その際に、自動でタスクを切れる用意をして、チームに引き継いで後を任せることができました。手離れがよくて人に依存しないのもyamoryの評価できる点だと思います。

浅野氏:
英語で記述されているCVE原文を、かいつまんで要約して日本語で教えてくれる所もいいですね。

 

株式会社アットウェア


――今後yamoryに希望することは何かありますか?

浅野氏:
yamoryが成長して存在し続けてほしいと思います。一番望むことは、「セキュリティ面もきちんとやっていきたい、でも開発マネージメントや駆動のバランスを取ろうとするとなかなか思うようにいかなくて」と悩んでいるような企業で、yamoryを導入したい・既に導入しているがこれからだという、新しいお取引先と一緒に仕事をして、新しい価値を生み出すシステムを作り出すところに貢献していけるような日々が来るといいですね。

加藤氏:
具体的な要望になりますがRustを対象に入れていただけるとうれしいです。

 

――Rustは対応予定がございます。yamoryのトップページにある「ガイド」の「製品ロードマップ」というところをご覧いただくと、次のマイルストーンにRust対応を入れております。

――では最後に、脆弱性管理に悩んでいたり、具体的な行動に踏み切れない企業、特に御社のような開発会社様に向けたメッセージやアドバイスはありますか?

浅野氏:
脆弱性対策と開発は、どちらか一方を立てればもう一方が立たなくなるトレードオフ関係にあることを理解しているからこそ、我々はyamoryを使っています。本格的な運用まで少し時間はかかりましたが、すぐにうまくいかなくてもあきらめずに、長い視点で取り組んでいけば、目指したい状態に近づいていけると思います。

 

――今回の御社の、特定のプラットフォームに依存しない/したくないというところは、いろいろな企業様にとって参考になるお話だったと思います。今後もyamoryを御社の事業にご活用ください。本日はどうもありがとうございました。

CONTACT

お問い合わせはこちら

サービスの詳細を
知りたい方

資料ダウンロード

実際の操作を見ながら
運用をイメージしたい方

無料デモ

課題のヒアリングや
相談をご希望の方

お問い合わせ
logo_img
ページトップへ戻る

© Assured, Inc.