Visionalグループが運営する脆弱性管理クラウド「yamory(ヤモリー)」は8月24日、サーバー/コンテナーを対象とした脆弱性対策に加えて、新たにウェブアプリケーションとクラウドインフラを対象としたサービスの提供を開始した。
Visionalグループ yamory事業部 事業部長の山路昇氏は、元エンジニアという立場で発見された脆弱性に対して徹夜で対応したり、いつどう攻撃されるか分からなかったりなど、セキュリティへの不安や負荷を常に抱えていた経験から、「yamoryを通じて、エンジニアが抱えるセキュリティに対する不安や負荷を少しでも軽減できるサービスを目指している」と語った。
なお、Visionalグループは人材サービス「ビズリーチ」が創業事業で、現在はグループミッションとして「新しい可能性を、次々と。」を掲げて産業のデジタル変革(DX)を推進するさまざまなサービスを運営する。yamory事業は「インキュベーション(新規事業領域)」の中の「サイバーセキュリティ」事業と位置付けられる。
yamoryは、ITシステムの脆弱性を自動で検知し、管理・対策が可能なサービスで、大きく「ソフトウェアの利用状況を自動把握」「yamory独自の脆弱性データベースと照合」「複数プロダクトレイヤーの脆弱性を危険度別に一元管理」の3ステップで脆弱性管理を行う。現在のITシステムは複雑化しており、一般的に「クラウドインフラ」「サーバー/コンテナー」「ウェブアプリケーション」の3レイヤーに対してそれぞれ正しくセキュリティ管理を行う必要がある。
日本は米国などと比較してもセキュリティ人材の不足に悩む企業が多い傾向が顕著だが、この理由について山路氏は「米国ではセキュリティ人材が多いというよりも『セキュリティ業務がシステム化され、自動化/省力化されている』ために少ない人材でも対応できている」と指摘しており、yamoryによる脆弱性管理サービスもシステム化/省力化の一環と位置付けられる。
従来は3レイヤーのうちのサーバー/コンテナー層に対して「ソフトウェア脆弱性自動検知・管理」を提供していたが、今回新たにウェブアプリケーション層とクラウドインフラ層に対して、それぞれ診断サービスを追加することでITシステムの全レイヤーを対象として脆弱性検知サービスを提供する体制が整う。
さらに今後、2022年11月には、主にクラウドインフラの設定不備の検出やガイドラインに対する違反有無を継続的にチェックする自動検知サービス(Cloud Security Posture Management、CSPM)を開始する。また、2023年春にはウェブアプリケーション診断結果も、yamory上で管理可能となる計画だ。これにより、ITシステム全レイヤーの脆弱性の検知・対策履歴のデータをyamory上に蓄積することで、ITシステム全体のリスクを可視化し、網羅的な脆弱性対策をより少ない工数で対応できるようになるとしている。
従来はサーバーとコンテナーを対象に「ソフトウェア脆弱性自動検知・管理」を提供していたが、8月24日付けでクラウドインフラを対象とした「クラウド診断」とウェブアプリケーションを対象とした「ウェブアプリケーション診断」を追加。さらに2022年11月に「クラウド設定管理(CSPM)」を、2023年春に「診断結果管理」を追加する予定
続いて、yamoryのユーザー企業としてサイボウズ 開発本部 PSIRTの長友比登美氏が同社におけるyamoryの活用事例を説明した。同社は「チームワークあふれる社会を創る」をパーパス(存在意義)として掲げ、グループウェア「サイボウズOffice」「サイボウズGaroon」や業務システム構築プラットフォーム「kintone」、メール共有システム「Mailwise」などのクラウドサービスを提供する。
同社のセキュリティは、セキュリティ室と製品セキュリティの向上を目的とするPSIRT(Product Security Incident Response Team)を組み合わせた仮想組織「Cy-SIRT(Cybozu-Security INcident Response Team)」を中心として、提供サービスのゼロデイ脆弱性を早期に発見し改修することを目的としたさまざまな活動を行っている。
yamoryの導入前は、自社製品で利用しているオープンソースソフトウェア(OSS)ライブラリーの情報を製品チームから集め、各ライブラリーのバージョン情報とどの製品で利用しているかをひも付けるための管理台帳を手動で作成した上で、OSSライブラリーの更新情報を週に1回確認するなど、脆弱性管理に45人日/月を要していたという。yamoryの選定理由は「必要な機能/欲しい機能がそろっていた」「導入が容易だった」の大きく2点で、導入後は脆弱性管理のための工数が10人日/月に減少したという。
現在のソフトウェア開発は大量のOSSを活用して進められるため、こうしたソフトウェアコンポーネントに脆弱性が発見された場合に迅速に対応できる体制作りが不可欠となる。yamoryではこうした作業の多くを自動化し、クラウドプラットフォーム、アプリケーションの実行基盤となるサーバーやコンテナー環境、さらに自社開発のウェブアプリケーションのレイヤーまで網羅的に管理できるサービスへと進化し、「脆弱性対策をオールインワンで実現」するとしている。