株式会社グロービス様

EdTech事業における組織横断の統合的な脆弱性管理を実現

グロービス様は1992年の設立以来、「経営に関するヒト・カネ・チエの生態系を創り、社会の創造と変革を行う」ことをビジョンに掲げ、各種事業展開を進めています。デジタルでの社会人教育事業（EdTech）にも注力しており、開発組織を拡大するとともに、セキュリティ対策を徹底してきました。

そこで、グロービス 経営管理本部 情報システムチーム テクノロジー・ディレクター 王 佳一氏に、今回のyamory導入の背景についてお伺いします。

株式会社グロービス様
各種事業展開、デジタルでの社会人教育事業（EdTech）

業種　　　教育/EdTech

掲載日　　2022年8月

王氏：
グロービスは日本最大の経営大学院（MBA）やテーラーメイド型の企業内研修等の運営を通じて、人材育成に関わってきました。現在は「テクノベート時代の世界No.1 MBAへ」という目標を掲げ、デジタルでの社会人教育事業（EdTech）に本腰を入れています。約5年前にEdTech新規事業部門を創設し、質とスピードの両方を保ったプロダクト開発を行うためのエンジニア組織を構築しています。

ITシステムの脆弱性対策において、より効率的な管理、迅速な対策ができる方法を模索した結果、yamoryの導入に至りました。

 

グロービス様が展開する「GLOBIS学び放題」

 

社内には多くの開発チームがあり、それぞれ個別にセキュリティ対策をしている状況でした。例えばインフラのレイヤーでは、OSSのスキャンツールを定期実行してSlackへの通知を行っていました。またアプリケーションのレイヤーでは、GitHubの機能を用いたセキュリティスキャンを行っている例があります。

 

昨年12月に判明したApache Log4jの脆弱性については、すべての開発チームのJava利用状況をセキュリティ担当者が確認し、必要な脆弱性対策の調査をしていきましたが、漏れなく対応するには、膨大な工数と時間がかかりました。また、複数サービスを運営していく中で、脆弱性対応の基準が属人化してしまうリスクや、脆弱性の対応優先度の判断が難しいといった課題がありました。

 

まず1つ目に、複数レイヤーをyamory1ツールで統合的に管理できる点です。

これまで、すべてのシステムレイヤーの脆弱性を管理するためには、それぞれのレイヤーに対してツールを使い分ける必要がありましたが、yamoryでは複数のレイヤーの脆弱性管理を一元化することができるため、より効率的で網羅的な脆弱性の検知、管理・対策が可能になる点が大きなメリットであると感じています。

2つ目に、組織を横断して脆弱性管理が行える点です。

グロービスでは、セキュリティ担当者が各開発チームを横断して、脆弱性への対応状況を都度確認していましたが、yamoryを活用することで各開発チームのリポジトリを可視化し、脆弱性への対応有無も自動で管理・確認できることが期待されています。

3つ目に、Apache Log4jなど緊急性の高い脆弱性の検知も早く、横断検索も可能な点です。

外部のリソースに依存するのではなく、yamory独自のデータベースに脆弱性情報が集約されているため、迅速な脆弱性検知が可能で、昨今リスクが高まっているゼロデイ脆弱性なども素早い検知を実現できる点に魅力を感じています。また、間接依存の脆弱性も検知が可能で、横断検索機能で脆弱性のあるLog4jの存在の有無を確認することができ、緊急性が高い脆弱性にも迅速に対策できることが期待されています。