こんにちは、プロダクトセキュリティ部の新沼(cw-niinuma)です。
年末になると世の中が慌ただしくなっていく雰囲気が、わくわくするのは子供の頃から変わりません。
この記事はChatwork Advent Calendar 2021の17日目の記事です。
今日が担当の私は、前回こちらの投稿をしましたがその後についてお伝えしていなかったので今回お伝えしようかと思います。 creators-note.chatwork.com まだ読んだことがなかった方がいたら、是非前回から読んでくれると嬉しいです。
では、今回は導入したツールとそのツールを使った運用についてお伝えしたいと思います。
導入したツール
競合ツールと機能面・価格等を総合的に検討した結果、弊社はyamoryを導入しました。 yamory.io
yamoryとは、ビジョナル・インキュベーション株式会社が運営する脆弱性情報管理サービスです。
ざっくりyamoryでできることをまとめると、ソフトウェア開発で利用されているソフトウェアやサービス内のOSSの脆弱性を検知し、対応優先度を自動判別してくれるツールです。
導入にあたり、yamoryの担当者とのグループチャットをChatwork上に作成し具体的な設定方法などご支援頂きました。 現在も継続的にサポート頂いており、とても感謝しています。
選んだ3つのポイント
選定ポイントとして、以下の理由が挙げられます。
- ダッシュボードが見やすい!
- 現在の検知状況と対応優先度がひと目で分かりやすい
- 脆弱性情報内容が分かりやすい!
- リスクと対応方法が分かりやすい
- 影響のあるライブラリが分かりやすい
- 比較した競合より安い!
どう運用を設計したか
プロダクトセキュリティ部としての考えは、セキュリティ施策は運用とのセットだと考えています。 yamoryを導入しただけではすぐにセキュリティの向上は見込めないと考えいて、yamoryを使ってどのようにセキュリティを向上させたいのか、 どういう組織にしたいのか、という考えとセットだと思います。
なるべく現場に負担がかからない形の運用フローを事前に設計し、初期の段階より各開発チームのマネージャーを巻き込んで小規模利用を開始しました。
その後勉強会という形でyamory導入から運用フロー説明を開発者に共有を行いました。
運用開始前に運用フロー共有しフィードバックを運用に反映できたことが、開発者に受け入れやすくなった要因の一つだと思います。
セキュリティチームと開発チーム
yamoryには「チーム」という役割があり、yamoryで脆弱性をスキャンし対応するための管理単位チームを指します。 弊社では以下のようにチーム分けを行いました。
セキュリティチーム
- プロダクトセキュリティ部メンバーが所属
- 全チーム横断的に脆弱性情報の管理
- 脆弱性情報のトリアージ
- 全体の組織管理設定
開発チーム
- 各部署のマネージャーにはyamory招待済み
- チームで登録したリポジトリの脆弱性情報のみ確認
- 脆弱性情報管理するプロジェクトの管理
- メンバーを追加する際はマネージャーに依頼
導入して何か変わったこと
これまで大変だった脆弱性情報の把握が非常に楽になり、解決したい課題は一定解決に繋がっていると思います。
影響範囲がすぐ分かるので、JVNなどの情報で公開された脆弱性情報に必要以上にドキドキしなくなったと思います。
まとめ
yamoryの導入は単に脆弱性情報管理だけではなく、Chatworkのセキュリティをどう向上させたいかどういう組織を目指すのかという考える機会をもたらしたと思います。
脆弱性情報管理以外にも取り組みたい施策はまだまだあるので、よりいっそうプロダクトセキュリティ部を強化していきたいと思っています。
最後に、Chatworkでは一緒にプロダクトのセキュリティ向上に取り組んでいただけるような方を募集中です!エントリーお待ちしています! hrmos.co