TRUSTDOCK、「yamory」活用し脆弱性管理を標準化　属人的な運用から脱却

　TRUSTDOCKは、組織拡大に伴う脆弱性管理の標準化と効率化を目的に、Visionalグループのアシュアードが提供する脆弱性管理クラウド「yamory」を採用した。2月10日、Visionalが発表した。従来は開発エンジニアの個々のスキルに依存していた管理体制を見直し、全社統一の運用フローを構築することで、持続可能なセキュリティ管理体制を確立したという。

　オンライン本人確認（eKYC）サービスを展開しているTRUSTDOCKにとって、セキュリティ対策は事業の根幹に関わる最重要課題の一つだ。しかし、組織が急拡大する中で、セキュリティ運用における課題が顕在化していた。

　従来、脆弱性対策は現場の開発エンジニアが主体的に行っていたが、特定のエンジニアの高いスキルや自主性に依存する属人化した運用となっていた。全社的な標準化が急務となる一方、使用していたソースコード管理ツールの標準機能だけでは、OSやコンテナレベルの脆弱性情報の収集が不十分だったという。また、オープンソースソフトウェア（OSS）のライセンス管理や、ソフトウェアのサポート終了（EOL）管理も含めた、網羅的な管理体制の構築も求められていた。

　これらの課題を解決する基盤として、同社はyamoryを選定した。アプリケーションからインフラストラクチャまで、コンテナレベルを含めた脆弱性スキャンを一元的に管理できる点を評価した。特に、膨大な検知結果の中から対応すべき脆弱性を自動で選別する「オートトリアージ機能」の精度の高さが、運用負荷の軽減につながると判断した。加えて、脆弱性だけでなく、管理が煩雑になりがちなEOLやOSSライセンスについて同一プラットフォーム上で一元管理できる点も採用の決め手となった。

　yamoryの導入により、セキュリティ管理体制は大きく改善したという。情報セキュリティ部のメイン担当者が定期的にトリアージを行う運用フローを確立し、対応漏れのリスクを低減した。同部が修正チケットの起票から開発チームへの連絡までを一貫して行うことで、開発チームは脆弱性の修正作業のみに集中できるようになったとしている。

　また、リスクが可視化されたことで、ダッシュボード上で確認できる緊急度の高い脆弱性は常に低い水準に抑えられているという。組織全体で統一された基準に基づくセキュリティ管理が可能となり、サービスの安全性と開発業務の生産性の双方を向上させている。

ニュースリリース