株式会社kubell様

導入から約3年、活用の歴史をお聞きしました

「Chatwork株式会社（当時 有限会社EC studio）」として2004年に設立。ビジネスチャット「Chatwork」の提供を中心に、企業のコミュニケーションを効率化し、企業の生産性向上をサポート。「働くをもっと楽しく、創造的に」をミッションとして、すべての人に、一歩先の働き方を提供するというビジョンを掲げる。2024年7月に社名を現在の株式会社kubell（クベル）に変更。

同社はChatwork株式会社時代にyamoryを導入いただきました。導入時のインタビューはこちらをご参照ください。

 

導入から約3年が経ち、これまでどのような運用をされてきたのか、当初からセキュリティ部門で、これまでグループ会社および「Chatwork」におけるプロダクトセキュリティを担当されてきた新沼様に、改めてお話を伺いました。

株式会社kubell
ビジネスチャット事業、周辺サービス・新規事業の開発運営

業種　　　情報サービス

従業員数　557名（2024年9月末時点）

掲載日　　2025年1月

新沼氏：
セキュリティエンジニアリングチームに所属しており、「Chatwork」をはじめ、グループ企業のプロダクトセキュリティを担当しています。お客様の大切な情報を取り扱っていますので、会社としてセキュリティ対策には力を入れており、顧客データ保護・情報管理に厳格に取り組んでいます。
 

新沼氏：
もともとセキュリティの専門組織がなかったところから、プロダクトセキュリティ部を設立しyamory導入するところまでは前回のインタビューでお話ししたと思います。手動で行っていた脆弱性情報の収集や重要度判断などの業務が自動化し、属人化が解消されました。ただ、活用範囲は「Chatwork」のみで、初めから全てのプロジェクトにyamoryを導入できたわけではなかったので、もっと活用して運用を定着させたいと思っていました。
 

新沼氏：
現在はOSSの脆弱性管理やEOL管理をメインで活用しています。組織でいえばM&Aによる株式会社ミナジンのグループイン、社名変更に伴うグループ経営体制への移行などの変化も経て、現在はグループ全体でyamoryを活用しています。
 

新沼氏：
はい、導入当初には私自身で各開発部門へ説明会を実施し、yamoryの概要や運用方法、導入メリットについてお伝えしました。その後、グループ各社への導入にあたって、同じ内容をグループ会社にも実施しました。
 

新沼氏：
もともとM&Aによりグループインした会社などは、セキュリティ対策状況がバラバラでしたが、yamory導入により、グループとして一定のセキュリティ基準を設けてセキュリティ対策・運用を行うことができています。

 

新沼氏：
現在はセキュリティ室としてプロダクト相談窓口を設けるなど、セキュリティ室と開発者を繋ぐ場を用意しているほか、ドキュメントを整備することで開発者自身がセキュリティを守りながらも開発しやすい環境づくりを心がけています。開発時におけるセキュリティ課題や、これから開発しようとしているもののリスクなど、先にセキュリティ室に共有してもらい開発に組み込んでもらうというDevSecOpsの体制ができています。早い段階でセキュリティに関するフィードバックを行うことで、セキュリティ室・開発部門双方にとって、セキュリティ・スピードを高め合うことができていると感じています。脆弱性診断も内製化しています。

また、経営層に対して定期的にセキュリティレポートを提出しており、対象期間の中でyamoryで発生した脆弱性に関してどの程度解決したか、まだ継続中なのか、手つかずなのか、といった数値をまとめて提出しています。具体的には、yamoryで検出された脆弱性はJiraでタスク連携しており、Jiraでチケット管理を行うなど、脆弱性管理を業務プロセスに組み込んでいます。
 

新沼氏：
yamoryの機能自体も拡張されており、色々な機能があると思いますが、全てを活用しきれてはいないため、今後より活用を広げていけると良いなと思っています。

サイバー攻撃は増加する一方ですので、セキュリティ体制は常にアップデートする必要があります。しかし、人員のリソースには限りがありますので、セキュリティ体制の強化や仕組みづくりには優先度をつけながら、長期的に取り組んでいきたいと思います。セキュリティ人材は需要が高く採用難易度も高いため、yamoryのようなサービスを活用しながら、体制を強化していきたいと考えています。