Visionalグループが運営する脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下、yamory)は、株式会社Works Human Intelligence(本社:東京都港区、代表取締役最高経営責任者:安斎 富太郎、以下WHI)に導入されたことをお知らせします。
WHIは、『複雑化、多様化する社会課題を人の知恵を結集し解決することで「はたらく」を楽しくする』ことをミッションに掲げ、大手法人向け統合人事システム「COMPANY(R)」の開発・販売・サポートの他、HR関連サービスの提供を行っています。「COMPANY(R)」は約1,200法人グループの大企業や官公庁のインフラとして日々利用されており、製品のセキュリティ対策に注力しています。
この度、製品および社内システムおけるより効率的な脆弱性対策の実施に向けて、yamoryの導入を決定いただきました。

そこで、WHI 品質管理 Dept. 板倉 英史氏に、今回のyamory導入の背景についてお伺いします。
※1 従業員数3,000人以上の法人 ※2 WHI調べ

  • この度は、yamoryをご導入いただきありがとうございます。まず、WHI様におけるセキュリティ対策の現状や、導入の目的をお聞かせください。

板倉氏:
当社が提供する「COMPANY(R)」は国内約1,200法人グループで利用されており、約470万人(※3)の人事データを管理しています。クライアント企業様の従業員の個人情報を扱う製品として、オープンソースの使用状況やソフトウェアライセンスの確認については品質管理担当者が定常的に一元管理をするなど、セキュリティ対策に注力してきました。
ITシステムの脆弱性対策において、より効率的な管理・対策を行うため、yamoryの導入を決めました。

※3 2021年12月末時点の「COMPANY 人事」の契約ライセンス数合計
WHIが提供するCOMPANY(R)シリーズ httpswww.works-hi.co.jp
  • これまではどのような脆弱性対策をされてきたのでしょうか?

板倉氏:
OSSに関連する業務として、利用申請やライセンス確認、一覧管理、OSSの脆弱性情報収集、各製品での脆弱性の影響有無確認などがあり、これらを原則手動で行っていました。

その工程における脆弱性対策という点では、以下を実施してきました。
1.新規OSS利用時に既存の脆弱性が存在するかチェック
2.利用中のOSSに関する脆弱性情報をJVNやNVD、セキュリティ専門ニュースサイト、ベンダーのサイトなど多くのチャンネルから、基準を設けてスプレッドシートへ転記し管理
3.必要に応じて各製品の担当を集め、影響有無を確認

各工程でセキュリティ担当者に負荷がかかるため、昨年から改善を進めてきました。また、昨年12月に判明したApache Log4jの脆弱性について、早期に情報をキャッチし収束できたものの、対応に一定工数がかかったことや情報収集の難しさなど、改めて手動管理に課題を感じたことで、管理方法を見直す機会になりました。
  • yamoryを選んでいただいた理由をぜひ教えて下さい。

板倉氏:
まず1つ目に、ツールとしての使いやすさです。
yamoryでは複数のレイヤーの脆弱性管理を一元化することができるため、より効率的で網羅的な脆弱性の検知、管理・対策が可能になる点が大きなメリットであると感じています。また、ダッシュボードも非常にシンプルで、現状把握と着手すべき点が一目でわかるため、エンジニアによる脆弱性対策の方針決めが容易になりました。
ダッシュボードイメージ

2つ目に、緊急性の高い脆弱性の検知が早く、横断検索も可能な点です。
yamoryの脆弱性情報データベースは、外部リソースに依存しておらず、セキュリティアナリストが日次で分析・登録を行っているため、即時に対処が必要なゼロデイ脆弱性なども素早い検知が可能な点に魅力を感じています。また、横断検索機能により、各チームが保有している資産や脆弱性の影響範囲の把握ができるため、Apache Log4jなどの緊急性が高い脆弱性にもより迅速な対応が可能になることを期待しています。
3つ目に、必要十分な機能が備わっている点です。
海外製品などにも同様の機能が内包されたサービスもありますが、その他の機能も多く、実際に活用するシーンがない、使いこなせないと感じていました、yamoryは当社にとって本当に必要な機能を網羅しており、導入の決め手になりました。導入時・導入後のフォローアップが充実している点も大変すばらしいと思います。
  • そのようにご期待いただけて大変有り難いです。今後もより効率的で精度の高い脆弱性対策・管理ができるツールとして、皆さまにご活用いただけるよう目指してまいります。


【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供することで、ITシステムに必要な脆弱性対策をオールインワンで実現します。複雑化するITシステムの網羅的な脆弱性対策を効率化し、安心してテクノロジーを活用できる世界を目指し、社会のDX加速を支えます。
URL:https://yamory.io/
Twitter:https://twitter.com/yamory_sec
運営会社:株式会社アシュアード(Visionalグループ)

【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。
URL:https://www.visional.inc/

配信元企業:Visional

企業プレスリリース詳細へ

PR TIMESトップへ