ビリングシステム株式会社様

PCI DSS対応の効率化と意識改革を両立。yamoryで脆弱性管理の属人化を解消し、全社のセキュリティ体制を向上

今回は、金融機関や事業会社向けに決済ソリューションやプラットフォーム事業を展開するビリングシステム株式会社様にお話を伺いました。同社は、オンプレミスとクラウドが混在する複雑なシステム環境のセキュリティを維持・向上させるため、yamoryを導入。その結果、PCI DSS対応を効率化し、これまで属人化しがちだった脆弱性管理の体制を大きく変革させることに成功しました。
本日は、導入を推進されたデジタルイノベーション推進室の森様と、システム基盤部インフラチームスタッフ（以下、スタッフ）のお二人に、導入の経緯から具体的な活用方法をお聞きしました。

課題

• OSSの依存関係を含めた脆弱性管理が属人化していた 
• オンプレミスとクラウドの情報が分散し、一元的な状況把握が困難だった 
• PCI DSS準拠のための証跡収集に手間がかかっていた

• オンプレとクラウドの脆弱性情報を一つのダッシュボードで一元管理できる点 
• エンジニア以外にも分かりやすいUIで、組織全体で活用できる点 
• 国産ツールならではの日本語での分かりやすさとサポート体制

導入後の効果

• PCI DSS準拠に必要な証跡収集の工数を削減し、対応を効率化できた 
• 脆弱性の「見える化」により、開発部門のセキュリティ意識が大きく向上した 
• 月次報告会での定量的な報告が可能になり、全社的な状況把握が容易になった

森氏：
私はデジタルイノベーション推進室に所属しており、以前所属していたシステム基盤部でyamoryの導入と運用に携わっていました。私と、本日同席しているシステム基盤部の数名のスタッフが中心となって、部内のセキュリティチームのような役割を担っています。

スタッフ：
森と共に、yamoryを活用した脆弱性管理の実務を担当しています。よろしくお願いいたします。
 

森氏：
導入以前は、脆弱性情報の収集やパッチ適用の運用といった業務が、特定の担当者に依存する、いわゆる属人化した状態でした。これを組織的な活動として、より能動的かつ継続的に脆弱性を確認していく体制を構築したい、というのが大きな課題でした。

スタッフ：
また、弊社はオンプレミスの環境とクラウド環境の両方を利用しています。以前はクラウドの機能も一部使って情報収集をしていましたが、情報が複数のツールに分散してしまい、全体像を把握するためには様々な場所から情報を集める必要がありました。この非効率さも改善したいと考えていましたね。
 

森氏：
私の上司がyamoryを検索で見つけて、「これはどうだろうか？」と提案してくれたのが最初のきっかけです。実は、他のツールとは比較せず、ほぼ決め打ちで導入しました。当時、海外製のツールも候補には挙がりましたが、やはり日本語で直感的に分かりやすいUIが決め手になりましたね。
 

日本語での表記

スタッフ：
森が言うように、UIの分かりやすさはもちろんですが、技術的な観点では、オンプレミスとクラウドの環境をまとめて管理できる一元管理の点が非常に大きかったです。クラウドに特化したツールではオンプレ側の管理が手薄になってしまいますが、yamoryなら環境を問わず、一つのダッシュボード上で脆弱性情報を可視化できる。これにより、複雑化していた情報収集を効率化できると確信しました。
 

ダッシュボードイメージ

森氏：
期待していた通り、情報収集の手間が大幅に削減され、PCI DSS準拠に向けた対応が非常に効率的になりました。以前は、クラウドが提供する複数の機能を駆使して証跡（エビデンス）を収集していましたが、取得する情報が様々なツールに分散してしまっていました。

そのため、レポートを作成するには、それらの情報を都度一つ一つ集約する必要があり、大きな手間がかかっていたのです。yamory導入後は、必要な情報がダッシュボードに一元管理されているため、yamoryのデータだけでレポートを完結できるようになり、監査対応の負荷が大きく軽減されました。
 

スタッフ：
ホストやアプリケーションライブラリのスキャンはもちろんですが、特にクラウド環境の管理ではクラウドアセットスキャン機能を非常に有効活用しています。スキャン設定の手間が少なく、とても重宝していますね。
 

クラウドアセットスキャン機能
 

また、最近ではOSSライセンスリスクの可視化機能も活用しています。この機能で想定外のライセンスリスクが検出されたことで、すぐに開発部門へ共有し、対策を講じることができるようになりました。脆弱性だけでなく、ビジネス上のリスクも未然に防げるようになったのは大きな成果です。
 

森氏：
最も大きな変化は、組織全体の意識ですね。弊社では毎月、全部署が参加するシステム部門関係者による定例会があるのですが、そこでyamoryのサマリー画面を見せながら脆弱性への対応状況について報告しています。yamoryを導入前は、口頭での依頼だけだったので具体的なアクションに繋がりにくいという課題がありました。

スタッフ：
それが今では、yamoryのAPIから取得したデータを基に作成したグラフを見せ、「先月と比較してこれだけ改善しました」「このクリティカルな脆弱性はすぐに対応が必要です」と視覚的に示すことで、各部門が「自分たちの問題だ」と認識してくれるようになりました。実際に、各部門でバージョンアップの担当者を立てて対応を進めてくれるといった、具体的なアクションに繋がっています。
 

森氏：
現在は、月次の報告会を通じて各部門への意識づけを行っている段階ですが、今後はこの活動をさらに発展させ、経営層にも私たちの取り組みの成果を分かりやすく報告できるようになりたいと考えています。現在は、そのための運用方法を、さらに模索していくフェーズですね。
 

スタッフ：
オンプレミスとクラウド、両方の環境をお持ちで、情報の散在に悩んでいる企業には、yamoryはまさに「オールインワンソリューション」として非常におすすめです。また、これまで見過ごされがちだったアプリケーションライブラリの脆弱性までしっかり見える化できる点も、大きな強みだと感じています。

森氏：
yamoryを導入して改めて感じたことは、何よりも、ダッシュボードが非常に分かりやすいことです。私たちが特別な操作説明をしなくても、他部署の担当者がエビデンス取得などのために直感的に操作できています。専門家でなくても扱えるこの「分かりやすさ」が、組織全体を巻き込んでセキュリティレベルを向上させていく上で、非常に重要なポイントだと思います。