yamoryを活用してOSS関連業務を効率化(株式会社Works Human Intelligence)

ツール導入前の課題

・OSSに関連する業務として、利用申請やライセンス確認、一覧管理、OSSの脆弱性情報収集、各製品での脆弱性の影響有無確認などがあり、これらを原則手動でおこなうために工数がかかっていました。

どのような状態を目指していたか

製品ひとつひとつの規模が大きくまた製品数を増やしている状況であり、 開発プロセスに組み込まれた形での均質的で効率的な管理フローの構築を目指していました。

• Synopsys Black Duck
• Dependabot
• FutureVuls

• 運用にかかる人的コスト・金銭的コスト
• ツールとしての使いやすさ（UI）
• 緊急性の高い脆弱性の検知速度
• インシデント対応時に必要となる横断的な検索機能
• 機能充足度

• 選定の評価項目全体を通して欠点がなく、利用のイメージを持てたこと
• 開発責任者が信頼できると感じたこと

改善したかった課題はどれくらい解決されたか

OSSのリアルタイムな一覧管理やライセンス確認、脆弱性情報収集が容易かつ高速に対応できるようになり、 工数面、管理範囲、対応速度で当初解決したかった課題を解消できました。

どのような成果が得られたか

1. 各運用工程での工数削減

• 脆弱性やサポート切れOSS、ライセンス違反などの調査・管理工数
• セキュリティチームによる統制・監理工数（各チームの脆弱性対策など各種運用統制状況）
• SOC（セキュリティオペレーションセンター）との情報連携によるログ調査の工数　など

2. 管理範囲の拡大 製品だけでなく、社内利用しているVPN機器などの脆弱性情報取得にも活用

3. 脆弱性情報の収集力強化と脆弱性への対応速度向上 脆弱性のレベリングや管理が容易くなったことで、レベル毎に定めていた品質をさらに高めた状態で製品リリース可能に。

どの製品を選定しても同じ悩みが発生しますが、全製品への展開にあたり、以前のフローとは役割・責任を変える必要があり、製品としてのセキュリティのあるべき姿から論じて、新しいプロセスについての合意形成をおこなったため、時間を要しました。

また、製品や管理対象サービスなどによって構成面が異なるために、把握と最適なスキャン方法の検討をする必要がありました。

• いつ、だれが、何を、どのように運用するのか？という実運用の面や
• どのように管理の品質基準を定めるか
• 運用する上での、納得いく役割・責任分担の明示と合意

を検討し決める過程が一番大切であり、 yamoryは、それらを検討するうえで存在するハードルを下げる点で役に立つツールだと思います。