コネヒト株式会社様

公共案件の厳格な要件を「yamory」でクリア。アプリ層までカバーする脆弱性管理で、調達要件適合と現場の生産性向上を両立

家族のライフイベントに寄り添うサービスを展開し、国内最大級のママ向けコミュニティを運営するコネヒト株式会社。同社では近年、自治体や官公庁を対象とした公共事業も加速させています。公共案件の調達において求められる高いセキュリティ基準、特にオープンソースソフトウェア（OSS）の脆弱性管理やライセンス、EOL（サポート終了）の把握という課題に対し、同社はなぜ「yamory」を選択したのか。導入の背景と、エンジニアが主体的にリスクを制御し、生産性を維持する体制への変化について、開発部の奥津 翔太 氏にお話を伺いました。

課題

• 公共案件の入札にあたり、仕様書で定められた厳格なOSS脆弱性管理体制を構築する必要があった
• 脆弱性情報だけでなく、OSSのライセンス遵守やEOLの把握など、広範な管理が求められていた
• 開発実務の中で、チーム全体がいかに効率的かつ継続的にリスクを把握し、対処できるかが鍵となっていた

• 脆弱性に加え、ライセンスやEOL情報まで一元的に可視化でき、調達要件を網羅的に満たせる点
• 基盤からアプリケーション層まで、幅広いレイヤーの資産を自動でスキャン・管理できる網羅性
• 現場のエンジニアが直感的に使いこなせ、開発フローを止めずに運用できる操作性

導入後の効果

• 公共案件の調達要件を確実に満たし、プロジェクトを遅滞なく進行させる基盤を確立
• 複雑なライセンス管理やEOLの追跡が自動化され、手作業による工数を大幅に削減
• 根拠に基づいた優先順位付けが可能になり、安全性を担保しながら開発の生産性を改善する体制を実現

奥津氏： 
弊社は「あなたの家族像が実現し続けられる社会へ」というビジョンを掲げ、主に2つの事業を展開しています。1つは、妊娠・出産・育児中の方々を支えるコミュニティサービスを中心とした一般消費者向けの事業です。もう1つは、数年前から注力している自治体・官公庁向けの公共事業になります。

私は開発部に所属しており、バックエンド開発の実務に携わりながら、自治体系プロジェクトの技術的なリードや、技術的な面での顧客折衝、ベンダーとの向き合いを担っています。
 

奥津氏： 
特に公共案件を推進する上では、事業継続に直結する極めて重要な要素です。公共事業の入札やプロジェクトの仕様書には、非常に厳格なセキュリティ要件が盛り込まれます。システムの安全性を担保することはもちろん、利用している外部ライブラリの脆弱性管理、さらにはライセンスの適正な利用や、EOLの把握といった体制が具体的に整っていることが、プロジェクト参画の前提条件となるためです。
 

奥津氏： 
公共案件の調達要件を満たすために、OSSの管理体制をより強固にする必要がありました。仕様書には、単に脆弱性を検知するだけでなく、ライセンスの管理や、利用しているOSSがEOLを迎えていないかといった継続的な監視体制も求められていました。

当初は外部のサポートサービスも検討しましたが、その多くはサーバーの基盤ソフトウェアなど、インフラに近い層の管理が主目的でした。しかし、私たちのプロダクトはアプリケーション層の多様なフレームワークやライブラリを組み合わせて構築されています。これらの広範なレイヤーにおいて、脆弱性・ライセンス・EOLを正確かつ効率的に把握できるソリューションが必要不可欠でした。
 

奥津氏： 
私たちが最も重視していたアプリケーション層のライブラリまで網羅した検知、そしてOSSライセンスやEOLの一元管理において、yamoryが最適だったからです。

以前から情報収集をする中でyamoryの存在は認知しており、今回の要件にちょうどマッチするのではないかと考えていました。 実際に比較検討すると、他社のサービスはコンサルティング中心で導入に工数がかかるものが多かったのですが、yamoryはツールとして独立しており、私たちが利用している技術スタックに対してもすぐに適用できる環境がありました。
 

yamoryの対応範囲と提供価値
 

奥津氏： 
エンジニアが自分たちで脆弱性やライセンス状況を確認し、即座に判断できる体制が作れたと感じています。

開発の第一線にいるメンバーが、実務の手を止めることなく運用できることが重要でした。yamoryは視覚的にも非常に分かりやすく、ダッシュボード上から脆弱性だけでなくEOLやライセンスのリスクも一目で判別できるため、現場の負担を最小限に抑えながら、高いセキュリティ・コンプライアンス水準を維持できています。
 

ダッシュボードのサンプルイメージ

奥津氏： 
セキュリティやライセンスのチェックが「外から強制される作業」ではなく、日常的な開発フローの一部になったことが大きな変化です。

もともとソフトウェアを最新の状態に保つ習慣はありましたが、yamoryの導入によって、EOLが近いライブラリの把握や、対応すべき脆弱性の優先順位が客観的な数値で示されるようになりました。根拠に基づいた意思決定ができるようになったことで、チーム全体の納得感が高まり、エンジニアが主体となってプロダクトの品質を磨き上げる文化がより強固になったと感じています。
 

EOL機能
 

奥津氏： 
公共案件での利用を通じて、自分たちが使っている技術スタックにおけるOSS管理の基盤は整いました。今後は、検知された情報に対して「自分たちのシステム環境において、本当に修正が必要な箇所か」というトリアージを、より精緻に行えるようになればと考えています。

基盤層からアプリケーション層まで、脆弱性・ライセンス・EOLを横断的に管理できる強みを活かし、エンジニアが自律的に、より安全なプロダクトを追求できる環境をさらに発展させていきたいです。
 

五島氏：
開発スピードと安全性の両立、そして複雑なライセンスやEOLの管理は、多くのチームが抱える課題だと思います。

特に公共案件に携わる企業や、高い信頼性が求められるプロダクトを持つ組織にとって、yamoryがISMAP（政府情報システムのためのセキュリティ評価制度）に登録されていること(※1)は、選定における非常に大きな安心材料になるはずです。

調達要件のクリアはもちろん、エンジニアが主体となって自分たちのプロダクトを守り、改善していく仕組みを構築したいと考えているすべてのチームにとって、yamoryは強力な支えになると確信しています。

 ※1 ISMAP サービスリスト：https://www.ismap.go.jp/csm?id=cloud_service_list_detail&sys_id=be88fa79837f3610aa68c6a8beaad3f1