株式会社Works Human Intelligence

国内大手法人の3社に1社が利用する製品の脆弱性対策に活用

WHI様は、『複雑化、多様化する社会課題を人の知恵を結集し解決することで「はたらく」を楽しくする』ことをミッションに掲げ、大手法人向け統合人事システム「COMPANY(R)」の開発・販売・サポートの他、HR関連サービスの提供を行っています。「COMPANY(R)」は約1,200法人グループの大企業や官公庁のインフラとして日々利用されており、製品のセキュリティ対策に注力しています。この度、製品および社内システムおけるより効率的な脆弱性対策の実施に向けて、yamoryの導入を決定いただきました。

そこで、WHI品質管理Dept. 板倉 英史氏に、今回のyamory導入の背景についてお伺いします。

株式会社Works Human Intelligence様
大手法人向け統合人事システム「COMPANY(R)」の開発・販売・サポートの他、HR関連サービスの提供

業種　　　パッケージソフトウェア/SaaS

掲載日　　2022年9月

板倉氏：
当社が提供する「COMPANY(R)」は国内約1,200法人グループで利用されており、約470万人（2021年12月末時点の「COMPANY人事」の契約ライセンス数合計）の人事データを管理しています。

クライアント企業様の従業員の個人情報を扱う製品として、オープンソースの使用状況やソフトウェアライセンスの確認については品質管理担当者が定常的に一元管理をするなど、セキュリティ対策に注力してきました。ITシステムの脆弱性対策において、より効率的な管理・対策を行うため、yamoryの導入を決めました。

 

WHI様が提供するCOMPANY(R)シリーズhttps://www.works-hi.co.jp/

 

OSSに関連する業務として、利用申請やライセンス確認、一覧管理、OSSの脆弱性情報収集、各製品での脆弱性の影響有無確認などがあり、これらを原則手動で行っていました。

その工程における脆弱性対策という点では、以下を実施してきました。

1. 新規OSS利用時に既存の脆弱性が存在するかチェック
2. 利用中のOSSに関する脆弱性情報をJVNやNVD、セキュリティ専門ニュースサイト、ベンダーのサイトなど多くのチャンネルから、基準を設けてスプレッドシートへ転記し管理
3. 必要に応じて各製品の担当を集め、影響有無を確認

各工程でセキュリティ担当者に負荷がかかるため、昨年から改善を進めてきました。また、昨年12月に判明したApache Log4jの脆弱性について、早期に情報をキャッチし収束できたものの、対応に一定工数がかかったことや情報収集の難しさなど、改めて手動管理に課題を感じたことで、管理方法を見直す機会になりました。

 

まず1つ目に、ツールとしての使いやすさです。

yamoryでは複数のレイヤーの脆弱性管理を一元化することができるため、より効率的で網羅的な脆弱性の検知、管理・対策が可能になる点が大きなメリットであると感じています。また、ダッシュボードも非常にシンプルで、現状把握と着手すべき点が一目でわかるため、エンジニアによる脆弱性対策の方針決めが容易になりました。

 

yamoryダッシュボードイメージ

 

2つ目に、緊急性の高い脆弱性の検知が早く、横断検索も可能な点です。

yamoryの脆弱性情報データベースは、外部リソースに依存しておらず、セキュリティアナリストが日次で分析・登録を行っているため、即時に対処が必要なゼロデイ脆弱性なども素早い検知が可能な点に魅力を感じています。また、横断検索機能により、各チームが保有している資産や脆弱性の影響範囲の把握ができるため、Apache Log4jなどの緊急性が高い脆弱性にもより迅速な対応が可能になることを期待しています。

 

yamory脆弱性データベース

 

3つ目に、必要十分な機能が備わっている点です。

海外製品などにも同様の機能が内包されたサービスもありますが、その他の機能も多く、実際に活用するシーンがない、使いこなせないと感じていました、yamoryは当社にとって本当に必要な機能を網羅しており、導入の決め手になりました。導入時・導入後のフォローアップが充実している点も大変すばらしいと思います。