株式会社スペースマーケット様

導入数ヶ月で脆弱性を1/3に削減 — yamoryで自治体案件に求められるセキュリティ要件に適合し、組織的な管理体制を構築

あらゆる場所を時間単位で貸し借りできるマーケットプレイスを運営する株式会社スペースマーケット。同社が展開する自治体向け公共施設予約管理システム「Spacepad」では、極めて高いセキュリティ水準の提示が求められます。インフラ全体の多角的なリスク把握や、組織的な管理体制の構築という課題を、脆弱性管理クラウド「yamory」がどう解決したのか。インフラチームの井上直人氏に、導入後の変化と今後の展望を伺いました。

課題

• 自治体向けサービスに不可欠な、客観的なセキュリティ根拠の提示
• 標準ツールでは難しかった、多角的なリスク把握と優先順位付けの精度向上
• 属人化を排除した、客観的な基準で判断できる組織的な脆弱性管理体制の構築

• ひと目で状況が把握できる、シンプルで洗練されたダッシュボードのUI
• 国産ツールならではの日本語による詳細な解説と、エンジニアにとっての使いやすさ
• OS、ミドルウェア、アプリケーションライブラリまで幅広くカバーする網羅的な検知能力

導入後の効果

• 脆弱性の可視化により、ホストOS等の脆弱性を導入から数ヶ月で約1/3まで削減
• 明確な成果データをもとに経営層へ報告できる体制が整い、組織全体の納得感と意識が向上
• 専門家がいなくても、誰もが客観的な基準で迷わず対応できる体制を構築
• 正確なセキュリティ情報の提供が可能になり、自治体案件の公募等における信頼性が向上

井上氏：
株式会社スペースマーケットでは、あらゆる場所を時間単位で貸し借りできるマーケットプレイスを運営しています。主軸のマーケットプレイス事業に加え、3年ほど前からは自治体向けの公共施設予約管理システム「Spacepad（スペースパッド）」というサービスを立ち上げ、自治体様の施設可視化や予約管理を支援しています。

弊社ではインフラチームがセキュリティ領域も兼務しており、プロダクトの信頼性と安全性を守るための対策を推進しています。私自身もインフラエンジニアとして、これらサービスの基盤構築・運用に携わっています。
 

井上氏：
以前から重要性は認識していましたが、特に「Spacepad」で自治体様向けのサービスを展開するようになり、セキュリティ管理が必須の要求事項となりました。

自治体案件は事前の公募に対して、自社のセキュリティ体制を正確に示し、評価を受ける必要があります。そこでの情報の正確さが、事業の信頼性に直結すると考えています。
 

井上氏：
一番の課題は、インフラ全体の詳細なリスク状況の把握や、対応の優先順位付けをより確かなものにしたかったことです。当時は、パブリッククラウドの標準ツールなども活用してはいましたが、より網羅的に可視化し、組織として一貫した基準で管理する体制を求めていました。

また、膨大な情報の中からリスクの妥当性を客観的に判断できる仕組みを整え、特定の担当者の判断に依存しない、組織的な管理体制をいかに築くかという点も模索していました。
 

井上氏： 
機能が充実していることはもちろんですが、シンプルで分かりやすいUIが決め手でした。ダッシュボードのグラフや一覧の視認性が非常に高く、詳細情報へもスムーズにたどり着けます。
 

 ダッシュボードのサンプルイメージ
 

また、海外製のツールが多い中で、「yamory」は国産ツールとして日本語表記が充実しており、エンジニアにとっての使いやすさが追求されている点も魅力でした。これなら、特定のスキルに頼りすぎることなく、チームで適切な運用ができると感じました。

井上氏： 
これまで捉えきれていなかったリスクが、ダッシュボード上で一気に可視化されました。特にクラウドアセットスキャン機能を活用し、クラウドアカウントと連携するだけで、構成情報からクラウドの設定不備（CSPM）といったリスクまで網羅的に可視化できた点には大きなメリットを感じています。
 

クラウドアセットスキャン機能
 

また、OSやミドルウェアの脆弱性（CVE）だけでなく、EOL（サポート終了）の状況なども含めて一覧で把握できるようになったのは非常に助かっています。

運用面では、「yamory」で可視化されたデータをもとに管理ポリシーを策定しました。緊急性の高いものから優先的に対応する体制を整え、導入してから数ヶ月間でホストOS周りの脆弱性を約3分の1まで削減することができました。

井上氏：
経営層へのアプローチが大きく変わりました。具体的な数値データをもとに「現在これだけのリスクがあり、このように改善した」という報告ができるようになったため、経営層と現場で脆弱性対策への納得感と重要性の認識を共有できるようになりました。

インフラチームで検知したアプリケーション側の脆弱性については、開発チームにバージョンアップを依頼するなど、部署を跨いだ連携もスムーズになっています。セキュリティを組織として守るべきものとして捉える意識がより浸透してきたと感じています。また、目に見えて脆弱性のグラフが減っていくのは、対応の成果を実感しやすく、チームにとって非常にポジティブな効果を生んでいます。
 

井上氏：
導入時にはまだ登録前だったと思いますが、利用しているツールが政府基準の厳しい評価をクリアしたというのは、やはり大きな安心材料になりますね。

自治体様へセキュリティ体制を説明する際も、「ISMAP登録されているツールを使って管理しています」と言えることは、私たちのサービスの信頼性を裏付ける強い根拠になると感じています。

※1 ISMAP サービスリスト：https://www.ismap.go.jp/csm?id=cloud_service_list_detail&sys_id=3bad501e2bea7a10f0bbfd69fe91bfb8

井上氏： 
現在はインフラ周りの対応が中心ですが、今後はアプリケーション層も含め、さらに広いレイヤーで脆弱性を削減していきたいと考えています。
また、自治体案件の入札タイミングなどで、「yamory」によって担保された高いセキュリティ水準をしっかりと示し、事業の成長を後押しする要素にしていきたいです。
 

井上氏：
私たちが一番良かったと感じているのは、リスクを客観的に把握し、対策の優先順位を明確にできたことです。もし脆弱性管理の現状把握に課題を感じているのであれば、まずは「yamory」で「可視化」することから始めるのをお勧めします。現状が正しく分かれば、次に取るべき具体的なアクションが自ずと見えてくるはずです。