株式会社ネオキャリア様
「脆弱性対応で『慌てる』ことがなくなった」― 開発初期からyamoryを導入し、組織の垣根を越えたリスク管理体制を構築
人材紹介やHR Techなど多角的なサービスを展開する株式会社ネオキャリア。同社で全社的なDXを牽引するDX推進部エンジニアリング1グループ(以下:DX推進部)では、共通アプリケーションの開発着手とほぼ同時に、脆弱性管理クラウド「yamory」を導入しました。
本インタビューでは、DX推進部の原氏と、同部の横山氏に、後手に回らないセキュリティ体制の構築方法、そして開発現場の自律性を守りつつ、情報システム部門や経営層とも「共通の指標」でリスクを語り合える体制をいかにして築いたのかについて伺いました。
課題
- 開発部門の立ち上げにあたり、初期段階から仕組みで解決できる環境を模索していた。
- OSSの依存関係やEOLの把握を人力で行うことの限界と、将来的な管理工数の肥大化を懸念していた。
- 重大な脆弱性が発表された際、正確な情報を迅速に集約し、関係各所へ透明性を持って報告できる体制を求めていた。
- ライブラリ、コンテナ、クラウド設定不備(CSPM)まで、幅広いレイヤーを一つのツールで横断的に管理できる点。
- 計画的なアップデートに不可欠なライブラリのEOLを自動で可視化できる点。
- 専門知識の有無を問わず、対応優先順位を直感的に把握でき、現場と管理部門が「共通の指標」で議論ができるダッシュボードであった点。
導入後の効果
- 正確な情報が自動集約されることで、突発的なリスクにも冷静かつ迅速な判断をすることが可能に。
- 客観的なデータを基に、現場の状況をステークホルダーへ即座に共有できる体制を構築。
- 把握しきれていなかった間接依存のライブラリまで可視化され、より精度の高い対策を実現。
―― 本日はよろしくお願いいたします。まずはじめに、貴社の事業内容と、皆様の部署での役割についてお聞かせください。
原氏:
弊社は総合人材サービス会社として、採用支援・就労支援・業務支援を軸に、非常に幅広い領域で事業を展開しています。私たちが所属するDX推進部は、全社共通のアプリケーション開発や技術検証を担い、社内全体のDXを技術面から支えることがミッションです。
―― 事業を進める上で、セキュリティはどのような位置づけになりますでしょうか。
原氏:
セキュリティは非常に重要視しています。DX推進部が全社共通アプリの開発に着手した際、初期段階から「セキュリティ対策は必須の仕組みとして検討しよう」という方針がありました。
より良くするための改善活動として、課題が出てから対処するのではなく、予防的な観点で最初からツールを導入することを前提にプロジェクトをスタートさせました。
―― yamoryを導入される前は、脆弱性の管理において具体的にどのような課題をお持ちでしたか?
原氏:
DX推進部に集まったメンバーは、中途採用で様々なバックグラウンドを持っており、セキュリティに対する意識が高いエンジニアたちでした。
過去の経験から、OSSの依存関係やEOLの管理を人力で行うことの危うさを知っていたため、SCA(ソフトウェア構成分析)やSBOMをサポートするツールを強く求めていたんです。 「いつか必ず来る重大な脆弱性」に対して、場当たり的に対応するのではなく、最初から仕組みで解決できる環境を整えたいと考えていました。
―― そうした中で「yamory」を選ばれた決め手は何だったのでしょうか。
原氏:
まず技術面では、私たちの開発環境が複数の主要なパブリッククラウドを併用し、コンテナ技術も活用しているため、ライブラリからインフラ、クラウドの設定不備までを一元管理できる網羅性が評価ポイントでした。
yamoryの対応範囲と提供価値
加えて、決め手となったのは「誰が見ても状況が分かる」という客観性です。 実は選定の際、全社ガバナンスを担う情報システム部門からも「エンジニア以外が見てもリスク状況を正しく把握できるツール」という視点での要望を受けていました。「yamory」はUIが非常に整理されており、対応すべき優先順位が色分けされるなど、直感的に状況を理解できます。
これなら、現場は技術的な詳細を追い、情報システム部門や経営層は全体のトリアージ状況を確認するというように、立場が違っても同じダッシュボードを見ながら「共通の指標」で議論ができる。この「組織の共通言語」になり得る点が、導入の最大の決め手でした。
ダッシュボードのサンプルイメージ
―― 実際にyamoryを導入されてみて、率直なご感想はいかがですか?
横山氏:
現状、私が見ている限りでは、基本的に十分満足しているというのが率直なところです。必要な情報がしっかり取れています。
原氏:
自分たちが想定していなかった「間接依存」のライブラリまで可視化されたことには驚きました。 また、一番の変化は脆弱性対応で慌てることがなくなったことです。
以前は業界全体を揺るがすような脆弱性が出ると臨戦態勢で対応していましたが、今は「yamory」を見れば影響範囲が即座に分かります。この「安心感」は、現場のエンジニアだけでなく、管理側にとっても非常に大きな価値だと思っています。
依存関係を含めた構成情報の管理が可能
―― チームの意識や、ステークホルダーとの連携にポジティブな変化はありましたか?
原氏:
現場ではデイリーレポートを確認し、自分たちで判断してスプリントにタスクを組み込む自律的な流れができています。また、管理部門やステークホルダーに対しても、「今、これだけ安全です」という報告を、客観的なデータに基づいて即座に行えるようになりました。
現場と管理側が「共通の指標」を持てたことで、無駄なコミュニケーションコストが大幅に削減されたと感じています。
―― 最後に、かつての貴社と同じように脆弱性管理に課題を感じている企業担当者の方へ、メッセージをお願いいたします。
原氏:
セキュリティ対策は、問題が起きてから動くのでは遅すぎます。
開発の初期段階から「yamory」のようなツールを組み込んでおくことで、将来的なリスクを大幅に軽減でき、何より開発チームの安心感に繋がります。
「自分たちが何を使っているのか」を常に可視化しておくことは、現代の開発において欠かせないプロセスだと思います。
―― 本日は貴重なお話をありがとうございました。
社名 株式会社ネオキャリア |
業種 IT・情報通信業 |
従業員数 1001〜5000名 |
課題・目的
|
会社概要 採用支援、人材紹介、派遣、ITサービスの提供など、HRテックとリアルを融合させた多角的な人材ソリューションの展開。 |
企業HP |
