社会インフラとしての責任あるサービスを提供するTRUSTDOCKにとって、セキュリティ対策は事業の根幹を成す重要課題でした。同社はこれまで、開発エンジニアが主体的に脆弱性対策を行ってきました。しかし、組織が拡大する中で、特定のエンジニアの高いスキルや自主性に依存した運用体制を、組織全体で標準化する必要性が高まっていました。また、ソースコード管理ツールの標準機能だけでは、OSやコンテナレベルの脆弱性情報の収集が不十分であるという課題も抱えていました。

「yamory」導入の決め手

TRUSTDOCKが「yamory」の導入を決めた主な理由は三点あります。第一に、コンテナレベルの脆弱性スキャンが可能で、アプリケーションからインフラまでを一元管理できる点です。第二に、対応すべき脆弱性を自動で選別する「オートトリアージ機能」の精度の高さが評価されました。第三に、脆弱性管理だけでなく、OSSのライセンス管理やEOL（End of Life）管理も包括的に行える点が、求めていた管理体制に合致していました。

導入後の効果と新たな体制

「yamory」導入後、TRUSTDOCKではメイン担当者による定期的なトリアージ運用を確立し、対応漏れを防ぐ体制を構築しました。具体的には、情報セキュリティ部が「yamory」で検知した課題をチケット化して開発チームに連絡するフローを確立。これにより、開発チームは修正作業自体に集中できる環境が整いました。その結果、ダッシュボード上で緊急度の高い脆弱性を常に低く抑えられた状態を維持できるようになり、持続可能なセキュリティ管理体制が実現したとしています。

Q&A

Q. TRUSTDOCKが導入した「yamory」とは？

A. ITシステムの脆弱性を自動検知し、管理・対策ができるクラウドサービスで、脆弱性管理とSBOM対応をオールインワンで実現します。

Q. 「yamory」のオートトリアージ機能とは何ができる？

A. 検知された多数の脆弱性の中から、対応すべき優先度の高いものを自動で選別する機能で、運用負荷の軽減に貢献します。

Q. 導入により開発チームの作業はどう変わった？

A. 情報セキュリティ部がチケット起票から連絡までを行うことで、開発チームは脆弱性の修正作業自体に集中できる環境が構築されました。

関連リンク

O!Productニュース編集部からのコメント

急成長する企業が、属人化したセキュリティ管理をいかにして「仕組み化」するか。その一つの回答として、ツールを活用した標準化の事例は、多くの成長企業にとって参考になるのではないでしょうか。

引用元：PR TIMES

この記事の著者

O!Productニュース編集部

O!Productニュース編集部は、IT・SaaS・AI業界のニュースをリアルタイムに解析・発信するメディアチームです。ビジネス向けのプロダクトに関する最新情報をなるべく分かりやすく簡潔にまとめてニュースを提供します。
「日本のすべての企業に、AIトランスフォーメーションを。」をミッションに掲げているGigantic Technologies株式会社によって運営されています。
AIに精通し、2017年設立時から企業のDX支援に取り込んでおり、十分な実績とノウハウを元に情報を発信しています。
公式SNSは以下からフォローできます。
・X：https://x.com/o_product
・Facebook：https://www.facebook.com/oproduct.jp
・LinkedIn：https://www.linkedin.com/company/oproduct/