株式会社インフキュリオン様

経営と現場が同じ目線でセキュリティを語れるように
─yamory導入で脆弱性対策を“自分ごと化”し、全社的なガバナンス強化を実現─

「決済×テクノロジー」を軸に金融イノベーションを推進する株式会社インフキュリオン。同社では、多数のプロダクトにおける脆弱性管理が各チームに委ねられており、全社横断での状況可視化が困難という課題を抱えていました。現場エンジニアからの「使いやすい」という声が決め手となりyamoryを導入した結果、経営層へのスムーズな状況報告が可能になったほか、開発チームのセキュリティ意識向上とトリアージ工数の大幅な削減を実現しました。
今回は、グループ全体のセキュリティガバナンスを統括するSIRT室の室長である片岡様と、プロダクト開発の現場でセキュリティ推進に携わる後藤様のお二人に、yamory導入の経緯とその効果について詳しくお話を伺いました。

課題

• パッチマネジメントが各プロダクト任せで、グループ全体の対策状況を可視化できていなかった。
• Log4jのような重大な脆弱性発生時に、影響範囲の特定と経営層への報告に時間がかかっていた。
• 各プロダクトで同様の情報収集やトリアージを行っており、リソースが非効率になっていた。

• 現場のエンジニアから「直感的で分かりやすいUI」への評価が非常に高かった点。
• クラウドネイティブな環境との親和性が高く、簡単なステップで導入できる点。
• 導入検討時に発生した技術的な課題に対し、迅速な機能改修で対応してくれた手厚いサポート体制。

導入後の効果

• グループ全体の脆弱性状況をダッシュボードで可視化し、経営層へスムーズに報告できるようになった。
• オートトリアージ機能により、脆弱性のトリアージにかかる工数を大幅に削減できた。
• 開発者自身が脆弱性を“自分ごと”として捉えるようになり、チームのセキュリティ意識が向上した。

片岡氏： 
私はSIRT室の室長として、グループ全体のセキュリティを統括する、いわゆる2線部門の立場です。 各プロダクトが安全に運用されているかをモニタリングし、全社的なセキュリティ戦略を策定する役割を担っています。

後藤氏： 
私はインフキュリオンのグループ会社である株式会社リンク・プロセシングに所属し、インフラエンジニアとして決済プラットフォームの開発・保守に携わっています。
また、1.5線として2線であるSIRT室と協力しながら、実際のプロダクト開発の現場で、セキュリティ対策を推進しています。

片岡氏：
当社は「決済×テクノロジー」を事業の軸としており 、お客様の大切な情報をお預かりしています。そのため、セキュリティは事業の根幹を支える最重要課題の一つです。ISMS認証も取得しており、各プロダクトチームが脆弱性対策に取り組むサイクルはありました。

片岡氏： 
各プロダクトチームが主体的に対策を進めていた一方で、グループ全体で標準化されたルールがなく、対策状況を横断的に可視化できていない、という課題がありました。

当社は多様な決済サービスを提供しており、10以上の開発チームが個別に対応していることは把握していましたが、全体を横断して状況を確認するすべがなかったため、網羅的なガバナンスの観点では改善の余地がある状態でした。特にLog4jのような大きな脆弱性が発見された際には、影響範囲の確認と経営層への報告にどうしても時間がかかってしまい、迅速な経営判断の妨げになるリスクを感じていました。

片岡氏：
はい。多くのプロダクトの状況を人手で一つひとつヒアリングして回るのは、もはや限界だと感じていました。 全社の状況を効率的に把握するための共通基盤が必要不可欠だと考え、本格的にツールの選定を始めました。過去に他のツールを評価した経緯もあったので、なぜ導入に至らなかったのかをヒアリングしつつ、複数のツールでPoC（概念実証）を実施しました。 

片岡氏： 
正直に言うと、私たち2線部門の「全チームを横断して分析したい」という要望だけを考えれば、より多機能な分析ダッシュボードを持つ別のツールの方が魅力的に見える部分もありました。

しかし、最も重要なのは「現場で実際に使ってもらえること」です。 実際に複数のツールを現場のエンジニアに見せたところ、yamoryに対する反応が圧倒的に良かったのです。 「このUIなら分かりやすい」という声が、導入の最大の決め手になりました。使ってもらえないツールを入れても意味がありませんからね。

後藤氏： 
現場の視点では、UIの分かりやすさは本当に魅力的でした。 セキュリティにそれほど詳しくないエンジニアでも、プロダクトが今どういう状況なのかを一目で理解できる。 これはチーム全体でセキュリティに取り組む上で非常に重要です。
 

ダッシュボードイメージ

また、クラウドアセットスキャン機能のおかげで、クラウド環境との連携が非常にスムーズだった点も評価しています。
脆弱性診断のために専用のサーバーを立てて、そのメンテナンスも…となると運用の手間が増えてしまいますが、yamoryは簡単なステップで連携が完了し、すぐにスキャンを開始できました。
 

クラウドアセットスキャン機能

片岡氏： 
yamoryの顧客課題への対応スピードも決め手の一つです。導入検討の最終段階で、当社の環境では対応が難しい致命的な技術課題が見つかりました 。これを相談したところ、迅速に機能改修で対応していただけました 。顧客課題を解決するスピード感があったからこそ、「yamoryなら、一緒に課題を解決していける」と確信できました。

片岡氏： 
導入前に期待していた「組織全体の脆弱性状況の可視化」の実現ができたことが最大の成果です。 月に一度、経営層向けにセキュリティ全体の状況を報告しているのですが、そのレポートの一項目としてyamoryのダッシュボード情報を加えています。 「残存脆弱性はこれだけで、着実に削減アクションを進めています」と、客観的なデータに基づいて報告できるようになったことで、説明コストが格段に下がりました。

後藤氏： 
最も効果を感じているのは、オートトリアージ機能による工数削減です。 これまでは検知された脆弱性一つひとつについて、CVSSスコアなどを見ながら「これはすぐに対応すべきか」を判断する作業が発生していました。yamoryが攻撃可能性などを加味して自動で優先度付けをしてくれるおかげで、その分の工数がまるごと削減され、本来やるべき対応業務に集中できるようになりました。
 

オートトリアージ機能

また、今後はSIRT室とも協力しながら脆弱性管理のみならず、yamoryのEOLやOSSライセンスリスクの機能を活用した管理体制も強化していきたいと思っています。
 

EOL機能

後藤氏： 
大きな変化があったと感じています。先ほども申し上げた通り、yamoryはUIが非常に直感的で分かりやすい。 これにより、開発チームのメンバーがプロダクトのセキュリティ状況を「自分ごと」として捉え、客観的に把握できるようになりました。 yamoryの導入が、チーム全体のセキュリティレベルを見直す、非常に良いきっかけになったと感じています。

片岡氏： 
今は「脆弱性が何件残っているか」という残数のモニタリングが中心ですが、今後は一歩進んで、「この1ヶ月で新たに何件の脆弱性を検知し、そのうち何件をクローズできたか」といった、セキュリティチームの生産性を測る指標としても活用していきたいです。 そうしたデータを示すことで、セキュリティ投資のROI（投資対効果）を経営層にも分かりやすく伝えていけると考えています。

後藤氏： 

現場で開発を担当するエンジニアの視点から言えば、「分かりやすいUIと使いやすいUX」がyamory最大の魅力だと伝えたいです。 セキュリティツールは、専門家だけが使うものではなく、組織全体で活用してこそ価値が生まれます。 その点、yamoryは習熟に多くの時間を必要としないため、多忙な開発チームにもスムーズに導入できるはずです。開発とセキュリティを一体で推進していく上で、非常に効果的なツールだと思います。