マサチューセッツ州ケンブリッジのLexumoは、オープンソースコードのセキュリティアップデートを継続的にチェックしてくれるクラウドサービスだ。同社は今日(米国時間2/1)、489万ドルという、しっかりした額のシードラウンドを発表した。
このラウンドをリードしたのはAccomplice, .406 Ventures, そしてDraperだ。
投資家たちがLexumoに注目する理由ななんだろう? 同社は世界中のすべてのオープンソースコードをインデクシングして、その結果をもとに、オープンソースコードを組み込みシステムやエンタープライズソフトウェアで利用している企業に、セキュリティサービスをクラウドから提供している。ユーザー企業がLexumoにコードを提出すると、同社はその中に既知のセキュリティ脆弱性をチェックする。またLexumoはそのコードを継続的にモニタして、アップデートがあればそのことをデベロッパーに知らせる。
オープンソースソフトウェアのコードの継続的なセキュリティアップデートのチェックは、ユーザーの自己責任になることが多いが、それはユーザー企業にとって、往々にして負担が大きすぎる。自力でできない場合もある。それをいわば自動化してくれるのが、Lexumoのサービスだ。LexumoのCEO Brad Gaynorはそう説明する。
デベロッパーはオープンソースのライブラリを使ってなるべく早くソフトウェアを作り、配布したいと願っているが、アップデートをタイミングよくチェックして、その内容(既存コードに与える影響など)を理解できる人材が、いない場合が多い。
“オープンソースのコミュニティは、セキュリティの脆弱性を見つけてその対策を施し、新しいコードを作っているが、そのアップデートのペースに追随できないユーザー企業がほとんどだ”、とGaynorは語る。
コードのアップデートはセキュリティ対策だけでなく、APIやインタフェイスの変更を含むこともある。しかしデベロッパーによっては、API等はいじりたくないが、セキュリティだけはアップデートしたい、パッチを当てたい、ということがある。そういう場合もLexumoはカスタムのパッチを提供してそのニーズに応える。“フル・アップグレードがいつでも正解とはかぎらない”、とGaynorは説明する。
Gaynorらは5年前には、MITの非営利の研究団体Draper Labsにいた。その団体が昨年、独立の企業としてスピンオフし、サイバーセキュリティに着目して世界のすべてのオープンソースコードをインデクシングし、検索できるようにした。Gaynorらはその価値を認めたが、実用化の方法がまだよく分からなかった。
“当時のわれわれには、世界中のオープンソースソフトウェアを分析する能力があったし、その改良と拡充にも努めていた。それはまるで、手に金槌を持っているのに、釘がどこにも見当たらない状態だった”、と彼は語る。
そして最終的に彼らは、オープンソースコードの脆弱性を見つけ出すことをサービスとして企業化しよう、という方針に落ち着いた。今は、資金環境が厳しくなってきたと言われているから、その中での500万ドル獲得は、なかなかのものだ。
“大きな市場なのに、まだ誰も手を付けていないんだ。われわれの技術とビジネスモデルは、とくに組み込みシステムにおける未対応のニーズに応えようとしている”、とGaynorは語っている。