株式会社システムインテグレータ様

工数の削減と属人性を排除した脆弱性管理を実現

この度、株式会社システムインテグレータ様にyamory導入の背景や同社の取り組みについて伺いました。

株式会社システムインテグレータ様

掲載日　　2021年3月

課題

• 検知の精度と費用対効果

• セキュリティにかかる工数削減（1チームあたり2～3人日）の実現

• 脆弱性のチェックもより高品質で標準化させることができた

活用シーン

• 週次のメールによる状況の確認
• 設計時のライブラリ選定
• 結合テスト
• リリース判定時

yamoryを導入するまでは、担当者が定期的に脆弱性情報のサイトを見に行き、情報を確認する形で実施していました。

ただし、このやり方だと月に2〜3日分のエンジニアの工数がかかってしまうし、担当者によって参照するサイトが異なる等やり方もばらばらであり、情報のばらつきや検知スピードの担保が困難な面もありました。

また、お客様から「脆弱性のニュースが出ているが、対応は大丈夫か」といったお問い合わせがあった際もその都度担当者が調査しており、やはり工数がかかっていました。

 

当時、お客様からオープンソースのライブラリの脆弱性についてお問い合わせを受けることが多く、その対応に追われている時にちょうど展示会で yamoryを知りました。

早速試してみたところ、お客様からお問い合わせを頂いていたライブラリの脆弱性がまさに検知されたので、詳しい説明を聞きたいとyamoryに連絡をしました。

エンジニアが上記の調査をやろうと思えば、2〜3日はかかります。
しかし、人力での確認となるとチェック漏れのリスクはあるし、作業も楽なものではありません。

コストをかけてでもツールを入れて、ツールによる客観的な脆弱性管理が必要だと判断し、導入しました。

説明を聞いたところコストメリットが大きかったことも導入の決め手です。

 

やはり脆弱性管理にかかる工数自体が減ったことが大きいですが、チェックの抜け漏れを防止できるという精度面でも助かっています。

人力でのチェックとなると、どうしてもJavaのプロジェクトはチェックしたがJavaScriptのプロジェクトは見落として後から慌てて対応する等、全ての情報をチェックするのは難しい面がありましたが、yamoryを入れておけばそのようなことは起こりません。
ここは大きく変わったと感じています。

また、お客様から突発的に脆弱性に関するお問い合わせを頂いた時でも、すでにyamoryで検知が出来ているので、担当による調査を待たずにその場で回答できるようになったことも大きかったです。

脆弱性に関するお問い合わせはお客様や時期によって変動するのですが、お問い合わせが急増した時でも、不安がない、既に検知されている、というのは非常に助かっています。

お客様からすると、これまで丁寧にその都度「調査します」と言っていたのが、「大丈夫です、対応予定です」等と返すことが多くなった為、対応がそっけなくなったと感じられているかもしれませんが（笑）

開発でも、突発的にライブラリを試してみたり、バージョンをあげる際にもyamoryでチェックが気軽に出来るので便利だと感じています。

 

 

まずは製品の開発計画時、設計の段階で利用しています。

ここではjarの選定時にyamoryにかけて、どのモジュールのアップデートが必要か、アップデートしたあとにさらに変更分がないか、確認しています。

また、この段階で脆弱性が多いライブラリに関しては他のライブラリの使用を検討する等、ライブラリ自体の選定にも活用しています。

その他、結合試験の前後での確認と、リリース判定に利用しています。

また、週次で来るメールレポートは助かっています。
先週より脆弱性数が増えていると「あれ？これって大丈夫かな？」と、チームで相談して確認するようにしています。

 

（参考）yamory週次メールレポート

 

yamoryの導入はスムーズでした。
チェックしたい製品がyamoryで対応されていましたし、不明点があってもサイトに情報があって、調べればわかったので特に困ったことはありませんでしたね。

 

まず、検知された脆弱性に対し対応方法が書かれているところがとても助かっています。
対応方法を教えてくれるので、マイナーバージョンであればすぐにバージョンを上げてしまおう、メジャーバージョンアップであれば少し調査しよう、というように、すぐに対応に動けるのです。

また、メールでのレポートも助かっています。
やはりエンジニアは忙しいので、常にyamoryに張り付いているわけにもいかないですが、yamoryは週次でメールにて状況を教えてくれるので、脆弱性数の変化に気づくことが出来ます。