弥生が脆弱性やEOLを「yamory」で一元管理、30チーム以上のリスクを可視化：OSSのラインセンス管理も

アシュアードは2026年1月8日、弥生による脆弱性管理クラウド「yamory」の活用事例を公開した。弥生は30チーム以上の開発組織で脆弱性やEOLリスクを一元管理し、セキュリティ体制の強化と属人化の解消を実現したという。

[＠IT]

　バックオフィス業務の支援ソフトウェアを手掛ける弥生は、アシュアードの脆弱（ぜいじゃく）性管理クラウド「yamory」を導入した。アシュアードが2026年1月8日に発表した内容によれば、弥生ではyamoryの導入以前、アプリケーションの脆弱性やEOL（サポート終了）、OSS（オープンソースソフトウェア）ライセンスの管理において課題を抱えていた。具体的には、自社のアプリケーションのどこに脆弱性があるのかを正確に把握できない、EOL対応が期限内に完了しないといった課題があった。

管理できていなかった脆弱性やEOL、OSSライセンス

　従来、弥生では脆弱性やEOL、OSSの管理は体系化されておらず、個々のエンジニアやチームのスキルに依存していた。その結果、対応が属人化し、機能開発が優先されてセキュリティ対応や非機能要件が後回しになる傾向があった。過去には、利用していたOSSに意図せず別の有料ライセンスがリンクしており、ライセンス違反につながりかねないリスクの把握が困難だった経験もあったという。そこで同社は、過去のセキュリティ課題への対応を教訓に、全社的なセキュリティレベルの向上に着手した。

手軽さやコストパフォーマンスが採用の決め手に

　yamory導入において評価されたポイントとして、同社は「簡単に始められて脆弱性対策の保証ができる」という手軽さと、他のツールと比較検証した際のコストパフォーマンスの高さを挙げる。当初からの課題であったOSSのライセンスやEOLの管理も同時に実現できる点も採用の決め手の一つになった。

　現在弥生では、yamoryの「アプリケーションのコンポーネントスキャン（SCA）」「コンテナスキャン」「ホストスキャン」「EOL検査」「OSSのライセンスチェック」といった機能を主に利用している。「クラウドアセットスキャン機能」については、クラウドアカウント上で動いているホストスキャンやコンテナスキャンの目的で活用している他、ランタイムEOLの可視化機能も利用している。

運用体制の変革と対外的な信頼性の向上

　yamoryの本格活用を進めた成果として、弥生はもともと情報が取れていなかった状態から、可視化できるようになったことを挙げている。従来は把握できていなかった脆弱性やEOL、OSSライセンスの状況が、数十チームにわたり全社横断で可視化されるようになったという。

　こうした可視化によって具体的な目標設定が可能となり、新サービスにおいては「Immediateの脆弱性（yamoryのオートトリアージ評価で最も危険性の高い脆弱性）をゼロ件で保つ」という目標を掲げている。通知があった際はチケット化してトリアージを行い、深刻なものは速やかに対応するという基準に基づいた運用体制が構築されたという。

　属人化していたEOLやライセンス管理がツールによって平準化され、エンジニアの知識レベルに関わらず一定の水準で対応できるようになったことで、対応精度のむらが解消された。対外的な面でも、監査機関や取引先からのセキュリティに関するヒアリングシートに対し、確信を持って回答できるようになったという。