株式会社プレッシオ様

専門知識は不要。yamoryを「羅針盤」に、外部ベンダーと実現した脆弱性管理体制とは

新聞折込広告の丁合機（ちょうあいき）で国内トップクラスを持つ技術力を基盤に、新聞販売店との長年の取引で蓄積した豊富な経験値を活かし顧客管理システム（Bizpre）やコールセンターサービスなどを提供し、人手不足という課題に直面する顧客を総合的に支援する株式会社プレッシオ。多くのお客様の情報を扱う同社にとって、セキュリティ対策は事業継続における最重要課題の一つでした。従来から外部ベンダーと連携し対策を講じていましたが、今回、脆弱性管理クラウド「yamory」を導入したことで、ITの専門知識がない経営者自身が客観的な指標で脆弱性の状況をリアルタイムに把握し、外部ベンダーとよりスムーズに連携できる体制を構築。信頼性の高い事業運営を実現しました。

課題

• 外部ベンダーに委託していたセキュリティ対策を、客観的なデータに基づいて自社でも状況把握できる仕組みを探していた。
• 取引先への説明責任を果たす上で、第三者の視点を取り入れた客観的な証跡の必要性を感じていた。
• 日々検知されうる脆弱性に対し、どの問題から優先的に対処すべきか、迅速な判断が求められていた。

• ITの専門知識がなくても、脆弱性の危険度が色分けで直感的に理解できるUIの分かりやすさ。
• 危険度の高い脆弱性が検知された際に、メールで即時通知され、迅速な対応が可能になる点。
• 自社の課題感に完全に合致しており、他ツールと比較検討する必要性を感じなかった。

導入後の効果

• 危険性の高い脆弱性を常時ゼロに保つ運用が定着し、セキュリティレベルが大幅に向上した。

• 客観的なデータに基づき、お取引先に対して自信を持ってセキュリティ体制を説明できるようになった。

• ツールを介して外部ベンダーと共通認識が持て、スムーズで建設的な連携が可能になった。

大谷氏： 
事業の柱は複数ありますが、新聞販売店向けの業務支援システムの開発・運用もその一つです。私は代表として、事業全体の責任者を務めております。

情報の取り扱いに慎重なお取引先も多いため、セキュリティは事業の根幹に関わる重要な位置づけにありました。従来、セキュリティ対策は開発を委託する外部ベンダーと密に連携し、その専門的な知見に委ねていました。

しかし、お客様へセキュリティ体制を説明する際に、「専門家が管理しているので安全です」と伝えつつも、客観的なデータに基づいて自社の状態をより正確に把握し、確かな安全性を証明したいという課題感を持っていました。
 

大谷氏：
知人から「それならyamoryがぴったりだよ」と紹介されたのがきっかけです。話を聞いてみたら、あまりにも我々の課題に「ドンピシャ」だったので、他のツールとは比較検討すらしませんでした。

一番の決め手は、UIの分かりやすさです。私は全くエンジニアではないのですが、yamoryは脆弱性の危険度が「Immediate」、「Delayed」といった形で4段階に色分けされて表示されるので、一目で状況を理解できます。
これなら専門家でなくても「この赤く表示されている項目は優先度が高そうですね」と、ベンダーと共通の認識を持って具体的な話ができると感じました。専門的なレポートだけでは、ここまで迅速な判断は難しかったかもしれません。
 

ダッシュボードイメージ

大谷氏： 
専門知識がない私でも、脆弱性の管理ができるようになったのが非常に大きいですね。危険度の高い脆弱性が検知されるとすぐにメールで通知が来ますし、週に1回はレポートメールも届きます。その通知を見て、ベンダーに「いつ対応するのか」を確認し、修正を指示するという流れができています。
 

メールイメージ

大谷氏：
導入直後は、それまで把握しきれていなかった「Immediate」や「Delayed」といった優先度の高い脆弱性が複数見つかり、可視化されたことで、すぐに対応の必要性を認識しました。

そこからベンダーに優先順位をつけて対応してもらい、今では危険度の高い脆弱性から優先的に対応する体制が整い、特に最もリスクの高い「Immediate」な脆弱性をゼロに保つという、非常に高いレベルのセキュリティ運用を実現できています。これは、事業の安全性を担保する上で、大変大きな成果だと感じています。

大谷氏： 
大きく変わりましたね。これまでの信頼関係に加えて、客観的なデータに基づいたやり取りが可能になりました。

yamoryが脆弱性を検知し、優先順位別に表示してくれるので、セキュリティの専門知識がなくとも、「検出された脆弱性の対応をお願いします」と建設的かつ事務的に対応依頼ができます。
ベンダー側もyamoryのアカウントを持っていて同じ画面を見ているので、「出てましたね、いつまでに直します」と連携が早く、伝達コストもかかりません。定例ミーティングでも、yamoryのダッシュボードを前提にスムーズな会話ができています。

大谷氏： 
特に、私のようにITの専門家ではない経営者の方や、開発を外部に委託している企業の方にも、yamoryはお勧めです。
ツールがないと、ベンダーとの信頼関係に基づいてお任せすることになります。しかし、yamoryのような客観的なツールがあれば、お互いに同じデータを見ながら、「ここが問題なので、一緒に解決しましょう」という建設的な関係性を築くことができます。外部ベンダーと協力しながら、自社のセキュリティを自分たちの目で管理できる。これは経営において非常に大きな安心材料になると思います。