ピー・シー・エー株式会社様

yamoryの初期ユーザーが語る、導入時と現在の活用状況

ピー・シー・エーは1980年、数名の公認会計士の有志により設立。『PCAクラウド』や『PCAサブスク』のサブスクリプションサービスをはじめ、財務会計、販売・仕入管理、給与計算、人事管理、固定資産管理、税務計算と多岐にわたる製品ラインナップを展開。「働く、が変わるとき。」をタグラインに掲げ、バックオフィスの生産性向上を後押しし、働く人に寄り添い、支え続けています。また、2022年からは「“手に届く価格”で“手が届かなかった業務効率最適化”を」をテーマに『PCA Hub』サービスを展開しています。

クラウド化に伴い、セキュリティへの取り組みを強化している同社の齊藤様、輿石様にお話を伺いました。
 

ピー・シー・エー株式会社
『PCAクラウド』や『PCAサブスク』をはじめとするサブスクリプション型基幹業務システムの開発・販売

業種　　　情報サービス

従業員数　464名（2023年3月末時点）

掲載日　　2024年7月

課題背景

• OSSの利用機会が増えており、脆弱性管理が喫緊の課題となっていた

• OSSの脆弱性自動検知により効率的な脆弱性管理を実現、yamoryはないと困る存在に

活用シーン

• 脆弱性が検知されるとSlack連携で通知が飛び、プロダクトの担当者が自発的に対応
• EOLやOSSライセンス違反について、確認漏れや取りこぼしがないかを確認
• セキュリティチーム内での定期的な振り返りツールとしても活用

今後の活用について

• yamoryによるスキャンの対象製品の拡大を予定
• グループ会社のセキュリティ強化にも、yamoryの活用を検討

齊藤氏：
弊社は1980年に設立し、当初から会計・販売管理・給与計算等の基幹業務パッケージを提供してきました。当初はオンプレ製品を展開していましたが、時代や働き方の変化にあわせ、2008年からクラウド版の製品提供を開始しました。現在オンプレ版はサブスクリプション型提供に移行していますが、どのソフトもオンプレ・クラウド両方に対応しています。
我々は、それらの開発を行う製品開発部に所属しています。製品群ごとに部門が分かれていますが、私は製品開発全体を取りまとめる開発本部の副部長を担っています。

輿石氏：
私も同じく製品開発部の中で、2022年から提供を開始している、社内業務や企業間取引のペーパーレス化を推進する「PCA Hub」の開発責任者を担っています。

 

斎藤氏：2022年から提供している「PCA Hub」は、他製品とは異なり完全にブラウザで動くクラウドサービスで、多くのOSSライブラリを使用しているため、セキュリティ対策をこれまで以上に強化する必要がありました。そこで、OSSライブラリの脆弱性情報の収集・対応を目的にセキュリティチーム（PSIRT）を組成しました。また、会社として国際的なセキュリティ基準への対応を進めており、「PCAクラウド」ではSOC1報告書、SOC2報告書※1の取得や、ISO/IEC 27001、ISO/IEC27017などの外部認証※2を取得しています。 

※1 SOC報告書とは
https://faq.pca.jp/faq/show/1532
※2 どんな外部認証を取得していますか？
https://faq.pca.jp/faq/show/1358
 

斎藤氏：
オンプレ製品の場合は、脆弱性が見つかった場合もWindowsのアップデートで対応できることも多かったのですが、クラウドが増えてくるとOSSの利用も増え、脆弱性情報をいち早く検知する必要が出てきました。セキュリティチームの立ち上げ時期にちょうどyamoryを知り、「まさに求めていたものだ」と思い、すぐに問い合わせました。実際にトライアル利用も行い、求めている機能が備わっており、使いやすいUIだったため、導入を決定しました。

 

輿石氏：
現在はアプリライブラリスキャンをGitHub連携で利用しています。オートトリアージの結果を確認し、「Immediate」はできる限り早く対応してもらう、または対応方針を担当プロダクトリーダーに決めてもらうという形で運用しており、「Immediate」が残っていることは基本的にないです。
対応についてルールとして明記しているわけではないのですが、脆弱性が検知されるとSlack連携で通知が飛ぶ仕様になっており、プロダクトの担当者が自発的に対応しています。各メンバーがトリアージの危険度も理解していて、「Immediate」のような危険性の高い脆弱性にはすぐに対応してくれています。
また、EOL管理機能やOSSライセンス違反についても、確認漏れや取りこぼしがないかをyamoryで確認しています。

斎藤氏：
セキュリティチームでは月に2回定例MTGを実施していて、検知された脆弱性について、yamoryを確認しながら確認や振り返りを行っています。
 

斎藤氏：
OSSの脆弱性管理については、yamoryに頼りっぱなしで、ないと困る存在ですね。　EOLに関しても、大きなものは事前に計画して対応していますが、全てを網羅して把握できているわけではないので、取りこぼしがないかをチェックできるのはとても有難いです。OSSライセンス違反についても同様に、取りこぼしがないかを確認できて助かっています。

 

輿石氏：
要望に関しては、何かあれば都度チャットから機能要望をお送りしています。今思いつくものだと、EOLの警告は「6か月以内」が最長ですが、比較的大き目のものはもう少し早めに把握して長期的なスパンで計画を立てる必要があると思っているので、今後そのようなところにも対応いただけると嬉しいですね。

斎藤氏：
今後、yamoryによるスキャンの対象製品をさらに広げていきたいと思っています。また、グループ会社のセキュリティに関する活動も今後強化していくため、グループ会社に関してもyamoryを活用して脆弱性管理、EOLやOSSライセンス違反の管理を行っていきたいと思っています。
要望としては、他社ではyamoryをどのように活用しているのか、興味があるので、どのような体制で、どのような取り組みをしているかなど、ノウハウを共有するような場があると嬉しいですね。