株式会社クレメンテック様

30以上のAWSアカウント管理を自動化し、月間数人月の工数削減と、セキュリティを営業の武器に変えた舞台裏

株式会社クレメンテックは、金融機関や官公庁、カード会社といった極めて高いセキュリティ水準を求められるクライアントに対し、ウェブアプリケーションやスマートフォンアプリケーションの受託開発、およびインフラの構築・保守運用を包括的に提供しています。30以上のAWSアカウントを運用する同社にとって、複雑化するIT資産の脆弱性管理と、EOLに伴うアップデート対応の工数管理は、サービス品質を維持し続けるための重要なテーマとなっていました。
本インタビューでは、同社のシニアマネージャーであり、情報セキュリティ責任者を務める舘澤氏に、地道な努力で維持してきた脆弱性管理をいかにして脆弱性管理クラウド「yamory」で標準化・高度化したのか。工数削減に留まらない、顧客への提案力強化や組織文化の変革まで、その具体的な成果を伺いました。

課題

• 30以上に及ぶAWSアカウントにおいて、システムごとのミドルウェアやバージョン管理の網羅的な把握が困難だった 
• 脆弱性の真の影響度が判断しづらく、Excelなどを用いた手作業での突合作業や情報収集に月間数人月規模の工数がかかっていた 
• Log4jやaxiosなど、OSS起因の重大なインシデントが発生した際、影響範囲の確認・対応に追われ、現場担当者に大きな負荷がかかっていた。

• 30以上のAWSアカウントが混在する環境でも、ダッシュボード上で各プロジェクトの脆弱性状況や危険度をひと目で把握できる点
• AWS Marketplace経由で調達でき、決済や事務手続きが簡略化され、スピーディに導入できた点 
• 中小規模の体制であっても、手作業のトリアージを自動化できる必要十分な機能が揃っていた点

導入後の効果

• 情報収集、突合作業、期限管理などにかかっていた月間数人月分の手作業がほぼゼロに削減できた 
• 脆弱性やEOLの期限を事前に察知し、お客様に対して先回りした提案や対応ができる文化が定着した 
• 高水準なセキュリティ運用を対外的にアピールできるようになり、営業活動における提案の質と信頼性が大きく向上した

舘澤氏： 
株式会社クレメンテックは、ウェブアプリケーションやスマートフォン向けアプリケーションの受託開発をメイン事業としています。単に開発を行うだけでなく、多くのお客様からインフラの構築や保守運用もセットでご要望いただくため、AWSを中心としたクラウドインフラの提供・管理までを一貫して請け負うケースが多いのが特徴です。
私自身の役割としては、シニアマネージャーとしてインフラチームを統括する傍ら、ISMS事務局の責任者として情報セキュリティ全体の戦略策定や、対外的なセキュリティチェックへの対応、ペネトレーションテストの監督なども担当しています。
 

舘澤氏： 
極めて重要です。弊社のお客様は金融機関や官公庁、クレジットカード関連の企業様など、セキュリティに対して非常に厳しい目をお持ちです。
商談の際にも300項目に及ぶようなセキュリティチェックへの回答を求められることがあり、技術的な裏付けを持って「安全であること」を証明し続けることが弊社の信頼の基盤となっています。

 

舘澤氏： 
最大の問題は、環境が複雑化する中での「情報の網羅性」と「安全性を証明するためのスピード」の両立でした。管理しているAWSアカウントが30件ほどあり、それぞれ導入時期も利用しているミドルウェアも異なります。以前も構成情報をチケット管理システムやExcelに集約し、一つひとつ確実に点検を行う体制を整えてはいましたが、日々の膨大な脆弱性ニュースとそれらをリアルタイムに、かつ網羅的に突き合わせ続けるには、どうしても多大なリソースを要していました。

例えば、数年前に世界的な脅威となった「Log4j」の脆弱性事案では、そうした管理手法における一つの転換点となりました。当時は事案発生を受け、構成情報を基に各サーバーの安全性を懸命に確認していましたが、対象が多岐にわたるため、お客様へ確実な回答を差し上げるまでには現場に相応の負荷がかかっていました。こうした突発的な重大リスクに対しても、よりスピーディーかつ確かな根拠を持って「安心」をお届けしたい。そうした「運用のさらなる高度化」への想いが、ツール検討の原動力となりました。
 

私が「yamory」を見つた瞬間に「これだ！」と感じて、すぐに問い合わせをしました。他社の海外製ツールなども検討はしましたが、「yamory」は私たちが最も求めていた「脆弱性ステータスの可視化」が抜群に優れていたんです。まさに管理の死角をなくすという点において、ダッシュボードの視認性の高さは圧倒的でした。
 

ダッシュボードのサンプルイメージ
 

加えて、調達の迅速性も大きな決め手でした。 AWS Marketplace 経由で購入できるため、社内の複雑な事務手続きを簡略化でき、既存のAWS利用枠の中で決済を完結させることができました。セキュリティリスクへの対策は一刻を争うものですから、導入を決めてから即座にスキャンを開始できるスピード感は非常に魅力的でした。
 

舘澤氏：
これまでは、脆弱性情報の収集、構成情報との突合、そして対応優先度の判断という一連の工程に物理的な時間と多大な労力を費やしていましたが、それがほぼゼロになりました。企業によっては、この作業だけで月間数人月の工数を割いているケースもあるはずですが、そこが自動化された効果は極めて大きいと感じています。
 

オートトリアージ機能
 

また、個社ごとにチームを分けて管理できる機能も重宝しています。お客様に対して「御社の環境は現在このようなステータスで、これだけの安全性を維持しています」と、具体的なダッシュボードの画面をベースに説明ができるようになり、管理の透明性が飛躍的に高まりました。
 

舘澤氏： 
はい、特にEOL管理の面で大きな成果が出ています。 OSやミドルウェアのサポート終了時期が事前に可視化されるので、1年前、あるいは2年前からお客様に「この時期にアップデートが必要になりますので、計画的に予算を確保しておきましょう」といった能動的なコミュニケーションができるようになりました。
 

EOL管理画面

以前は、期限が迫ってから改善をお願いせざるを得ない場面もありましたが、今は余裕を持った提案ができるようになっています。社内の開発者も、「yamory」のアラートで具体的な危険度が示されることで、対応の必要性をスムーズに理解し、能動的に脆弱性管理に取り組む文化が根付きました。
 

舘澤氏： 
非常に大きいです。最近では、提案時のトークスクリプトに「弊社ではyamoryによる高度な脆弱性管理を標準提供しています」と組み込んでいます。セキュリティをオプションではなく、弊社のサービスとしての「標準品質」に位置づけたことで、お客様、特に高い水準を求められる企業様からの信頼が格段に増しました。
「ここまでしっかり管理してくれるなら安心だ」と言っていただける機会が増え、競合他社に対する強力な差別化要因にもなっています。
 

舘澤氏： 
現在はホストスキャンが中心ですが、今後はCSPM（クラウド設定不備の検知）機能の活用も進めていきたいと考えています。複数のAWSアカウントを跨いで、設定の不備を一元管理できる点は、私たちの運用スタイルに非常にマッチしていると感じています。
 

舘澤氏：
特に、厳しいセキュリティ水準を求められる大企業や官公庁との取引をされている中小企業様には、「yamory」は強力な味方になると思います。限られたコストとリソースで、高い安全性を証明し続けるのは、人力ではもはや限界があります。

「yamory」を導入することで、管理工数を削減しながら、お客様に対して確かな信頼を「標準」として提供できる。これは、単なるツール導入を超えた「経営上の大きな投資効果」があると感じています。