yamoryと過ごして5年目。組織状態に合わせた運用フロー構築とセットで的確な脆弱性対応が可能に
参考になった
2
KDDIアジャイル開発センター株式会社 / so-katsute
プロジェクトマネージャ / 従業員規模: 101名〜300名 / エンジニア組織: 101名〜300名
| 利用プラン | ツールの利用規模 | ツールの利用開始時期 |
|---|---|---|
非公開 | 10名以下 | 2019年10月 |
導入の背景・解決したかった問題
導入背景
yamory導入前は、運用者による手動での脆弱性検索や、検索効率が悪い状態での外部システムを使った検知を実施していた状況でした。
そのため、
- 開発者がセキュリティ意識を持ちづらい
- 情報取得にコストがかかる
- サービス企画部門(PO)が脆弱性の対処方針を決定しづらい
といった課題がありました。
そこで、ライブラリの依存関係が複雑な状況下であっても、緊急度の高い脆弱性を高速/簡単に検知して対応できるような体制を構築するために、ツール導入の検討をはじめました。
比較した軸
ツールを選定するにあたっては、下記3点を重視し検討をしました。
- エンジニア以外でも使用できる
- 組み込みのコストが比較的低い
- (外部アプリ連携などの)継続運用するための機能を備えている
選定理由
実際の導入では「まずは使ってみよう」から入り、違和感なく日々のルーティーンに組み込めた点が決め手になりました。
導入の成果
yamoryを導入後は、主にCSPM機能を使っていますが課題に感じていた「脆弱性の検索効率の悪さ」が解消されたと感じています。
日々開発メンバー自然な形で脆弱性検知結果を確認しPOに共有しています。 脆弱性が確認された場合は、即時に開発メンバー/POの両者で対応影響を協議し、対応可否をスピード感を持って判断し着手可能になりました。
導入に向けた社内への説明
経営陣・上長への説明
前提として、社として新しい取り組みに対して意欲的な風土で、脆弱性診断ツールの導入に関しても当初より前向きに捉えられていました。
その中で、DevOpsの観点を実現するための取り組みに必要な製品として紹介をしました。
活用方法
よく使う機能
普段は、静的解析機能に限定して利用しており、CSPM機能をメインに利用しています。
アーキテクチャ
アーキテクチャの意図・工夫
日々の開発業務の中で自然に検知/通知/対処が可能となるように運用できるかという点を特に意識しました。
運用として、チーム内で自然に毎日確認でき、かつ対応すべき内容があればPO含め即座に検討に移れるよう、Slackに脆弱性報告チャンネルを作成し、毎日のルーティーンとして確認を行う体制を構築しました。
ツールの良い点
- 導入コストの低さ
- UIのわかりやすさ(警戒色を選択していくと対応が必要な項目に辿り着ける)
- インテグレーションの容易さ
ツールの課題点
(強いて挙げるなら)料金体系が若干判別しづらいです。
その他
yamory活用の中で失敗したエピソード
脆弱性検知について影響がでない(例えば外部接続不可なサービスにwebアクセスのみで発生する事象)を多大なコストをかけて即時対応してしまったことがあり、警告してもらった内容を正しく活用できるよう注意を払う様になりました。
ツールを検討されている方へ
ただ組み込むだけでなく、検出結果の確認/対応漏れがなくなるような運用フローを構築することで、上手く活用できていると感じています。
セキュリティ対策をエンジニアのみでなく、POといった関係各位全体の担務として取り組むために利用を検討いただければと思います。
KDDIアジャイル開発センター株式会社 / so-katsute
プロジェクトマネージャ / 従業員規模: 101名〜300名 / エンジニア組織: 101名〜300名
よく見られているレビュー
KDDIアジャイル開発センター株式会社 / so-katsute
プロジェクトマネージャ / 従業員規模: 101名〜300名 / エンジニア組織: 101名〜300名
