フラッグス株式会社様

脆弱性対応を迅速化する管理体制を構築。yamoryが可能にした検知スピード向上とトリアージ効率化

プロジェクトマネジメントDXクラウドFlagxs（フラッグス）の開発・運用を手がけるフラッグス株式会社。顧客からの信頼を第一に考える同社では、アプリケーションのセキュリティ担保が重要な経営課題でした。しかし、OSS（オープンソースソフトウェア）に潜む脆弱性の管理においては、バージョンアップ通知の多さから重要な脅威が埋もれがちになるという課題を抱えていました。脆弱性管理クラウド「yamory」の導入により、これまで手が回らなかった脆弱性の可視化とトリアージを実現。検知から1〜2ヶ月で対応を完了させる迅速な管理体制を構築し、開発チーム全体のセキュリティ意識向上にも繋がった軌跡を同社で執行役員を務められ、アプリケーション開発を牽引されている曽根様にお話を伺いました。

課題

• OSSライブラリのバージョンアップ通知が大量にあり、対応すべき重要な脆弱性が埋もれてしまっていた。
• 人手での情報収集ではクリティカルな脆弱性の選別が難しく、対応の抜け漏れが発生するリスクがあった。
• アプリケーションエンジニアが兼務する中で、より効率的な脆弱性管理体制を構築する必要があった。

• 脆弱性情報が日本語で分かりやすく、自社への影響範囲の判断が容易だった点。
• 「Immediate（緊急）」などの重要度判定により、対応の優先順位付けが明確になる点。
• 既存の開発フローを妨げずにスキャンを開始できる、導入の容易さ。
• 問い合わせに対する迅速なレスポンスなど、国産ツールならではの手厚いサポート体制。

導入後の効果

• これまで見逃していた可能性のあった緊急度の高い脆弱性を、即座に検知できるようになった。
• 検知から修正完了までのリードタイムが1〜2ヶ月へと大幅に短縮され、迅速な対応体制が実現した。
• チーム全体で脆弱性を管理するフローが定着し、開発会議でのセキュリティに関する報告・議論がスムーズになった。

曽根氏： 
私たちは、プロジェクトマネジメントを効率化するマネジメントツールFlagxsを開発・提供しています。私自身は執行役員としてアプリケーション開発を見ており、開発チームの数名がセキュリティ対応を兼務する体制です。その中でも私ともう一名の担当者が中心となって脆弱性管理などを進めています。B2B向けのサービスですので、お客様にご安心してご利用いただくためにも、セキュリティ対策は非常に重要だと認識しています。
 

曽根氏： 
一番の課題は、日々公開されるOSSライブラリの脆弱性情報を、より迅速かつ網羅的に把握していく必要性を感じていた点です。
もともと、ライブラリのバージョンアップを検知するためのOSSツールを利用していました。ただ、このツールは脆弱性の有無にかかわらず全てのバージョンアップを通知するため、情報量が膨大になってしまうのです。
 

曽根氏： 
その通りです。通知が溜まり続けていく中で、「クリティカルな脆弱性を持つライブラリが埋もれてしまっているはずだ」、という問題意識がありました。社会的に大きく話題になるものは検知できていましたが、それ以外の無数に存在する脆弱性の中から、自社への影響度が大きいものを効率的に特定することに難しさを感じていました。膨大な情報の中から、本当に危険な脆弱性を効率的に見つけ出し、優先度を付けて対応できる仕組みが必要だと感じていました。
 

曽根氏：
はい。いくつかのツールを比較検討しました。例えば、海外製の有名なツールも候補にありましたが、話を聞いてみると少し料金体系が私たちの規模には合わないかな、という印象でした。
そんな中、以前一緒に働いていた知人エンジニアなど、複数人から「yamoryが良いらしい」という話を聞いたんです。 それがきっかけでウェビナーに参加し、詳しくお話を伺うことにしました。
 

曽根氏： 
一番は、脆弱性情報が日本語で非常に分かりやすかった点です。
OSSの脆弱性情報は英語で公開されることが多いですが、yamoryは「どういう機能を使っている場合に影響があるのか」といった判断に必要な情報が整理されていて、自社の状況と照らし合わせて影響の有無を判断しやすかったのが大きな魅力でした。
 

日本語での表記

また、導入のしやすさもポイントでしたね。試しにアプリライブラリのコマンドをいくつか実行してみたのですが、仕組みがシンプルで分かりやすく、これならスムーズに導入できると感じました。 実際、導入初期に少し特殊な環境起因の事象があったのですが、問い合わせたところ、すぐに対応・修正していただけたのも安心感に繋がりました。
 

スキャン機能イメージ

加えて、オートトリアージ機能の「Immediate（緊急）」といった重要度の判定も非常に参考になっています。全ての脆弱性に対応するのは現実的ではありませんから、「最低限、まずはこれをやらなければいけない」という基準が明確になったのは大きいですね。
 

オートトリアージ機能

曽根氏： 
一番変わったのは、脆弱性の検知スピードが格段に向上したことです。 これまで埋もれてしまっていたであろう情報に、即座に気づけるようになりました。
例えば脆弱性が検知されるとSlackに通知が飛ぶように設定しており、それを見たら私が開発の定例ミーティングで「重要なライブラリに緊急の脆弱性が出ているので、次の開発計画に組み込みたい」といった形で議題にあげる、というフローが定着しました。

これにより、これまで正直なところ対応できていなかったであろう脆弱性についても、検知から1〜2ヶ月で修正を完了できる体制ができました。 これはyamoryを導入したからこそ実現できた、大きな成果だと感じています。
 

曽根氏： 
開発の進捗会議などで、「yamoryで緊急度の高い脆弱性が見つかったので、対応工数を確保したい」といった報告が格段にしやすくなりましたね。 課題が明確に可視化されたことで、チーム全体で「これは対応すべきだ」という共通認識が生まれ、管理体制がうまく回り始めた感覚があります。
 

曽根氏： 
私たちのようにセキュリティ専門のエンジニアがいないチームにとって、yamoryは非常に心強い存在だと思います。脆弱性に関する情報が日本語で分かりやすく、何から手をつけるべきかという優先順位も明確に示してくれる。「最低限ここを抑えておけば大丈夫」という安心感を得られるので、小規模な開発チームにもおすすめしたいツールです。