今や多くのテクノロジー企業にとって、プロダクトを効率よく開発するためにオープンソースを活用することはごく普通のことだ。米国では2018年時点で商用アプリの96%でオープンソースが利用されているという調査結果もあるほど、デベロッパーにとっては欠かせないものとして普及してきている。
ただしオープンソースを使うということは、それらが抱えるセキュリティの問題までも自分たちのアプリケーションに持ち込むことにもなり得る。上述した調査ではオープンソースを利用する商用アプリのうち、78%にオープンソースの脆弱性が含まれているという報告もあるほどだ。
こうしたコードの脆弱性調査や対策にはセキュリティ部門のエンジニアが手動で対応するのが一般的だが、当然ながら相応の時間と手間がかかる。それならば担当者の負担となっていた業務を出来る限りツールで自動化することで、現場の課題を解決しようというのが「yamory(ヤモリー)」のアプローチだ。
オープンソースの脆弱性を可視化し「対応優先度」を提案
yamoryは人材領域のプロダクトを中心に複数事業を展開するビズリーチが本日8月27日に公開したセキュリティ分野の新サービス。オープンソースの脆弱性を自動で可視化した上で、対応優先度や対応策を指南する。
たとえばGitHubと連携すれば、ユーザーはほんの数分でyamoryを使い始めることが可能。「自社システムでどのようなオープンソースが使われているか、それはどのバージョンか、そこにはどのような脆弱性が潜在的に隠れているのか」といった形で自社の利用状況を整理するとともに、最新の脆弱性情報のデータベースと照合して脆弱性を見える化する。
その結果など複数の情報を基に「対応優先度」まで自動的に導き出してくれる(オートトリアージ機能)のがyamoryの大きな特徴だ。
「1プロダクトあたり何百という単位のオープンソースを利用していることも稀ではなく、それぞれに大小5〜10、それ以上の数の脆弱性があることも珍しくはない。結果的にあまり対策をしていないと数千単位の脆弱性がいきなり出てくることもある。そうなると、そもそも何から手をつけていいかわからない」(ビズリーチ取締役CTO兼CPOの竹内真氏)
yamoryでは脆弱性としての危なさだけでなく「実際にどれほど攻撃が行われようとしているのか、それによる被害がどれほどなのか」といったやサイバー攻撃の危険度なども加味した上で、優先的に対応すべきポイントを分類。開発チームごとに対応優先度と対策を通知するほか、ダッシュボード上で脆弱性対応の進捗を管理できる仕組みを整備することで、現場の負担を減らす。
yamoryの核であり、対応優先度や対応策の決定にも影響を与える脆弱性に関するデータベースは、オープンソースの脆弱性情報や攻撃用コードを収集して構築したものとのこと。
具体的にはセキュリティ関連のメディアやブログ記事などインターネット上に散らばる様々な情報をクローリングし、自然言語処理を施して「危険性を自動で検知する」機能を開発。それを自社で使っているオープンソースのデータと突合することで、リアルタイムに近いスピード感で現場に通知していくという。
ここにはビズリーチが運営する求人検索エンジン「スタンバイ」で世の中の求人をクローリングするために使っていた技術も活用されているそうだ。
「脆弱性に関する情報や、どのような攻撃手法で穴があくといった情報はハッカーや開発者によってインターネット上で明示されたり、共有されているものも多い。それらの情報をきちんと監視し続けることができれば、想定される被害が大きく、実際に攻撃される危険性も高いものをリアルタイムに近い速度で見つけられるのではないか。そうすれば人力の煩わしさから逃れられるのではないか、そんな現場の仮説をベースに始まったプロジェクトだ」(竹内氏)
対策の工数を大幅削減、1人の担当者を配置するような効果を
yamoryはこれからプロダクトマーケットフィットを図っていくことになるが、今のところ大きく2つの顧客層を想定している。
1つ目は比較的規模の小さい、専任のセキュリティ担当者がいないようなIT企業。そういった企業ではエンジニアが事業開発と並行してセキュリティ面の業務を担うため、抱えているタスクが膨れ上がっているケースが多い。
そこをyamoryで自動化することで「セキュリティ対策の工数を大幅に削減するだけでなく、高度な専門知識がなくても脆弱性を管理できるようにする。1人のセキュリティ担当者を配置するくらいの威力を、(実際に担当者を雇うより)圧倒的に安いコストで実現したい」(竹内氏)という。
2つ目はビズリーチのように複数のIT事業を展開する企業。全社横断のセキュリティチームは存在していても、プロジェクトごとにそれぞれ異なるオープンソースを使っていて、その利用状況や脆弱性の対応状況が正確に管理されていない企業もあるだろう。そのような企業にとっては、リアルタイムに近い形で情報を一元化できる「脆弱性マネジメントツール」としても効果的だ。
もともとyamoryの構想はビズリーチの社員ナンバー8番でもある、古参のエンジニアメンバーからボトムアップで生まれたものなのだそう。実際に複数の社内事業に携わってきた中で、自らも経験したオープンソースの脆弱性管理に関する課題を解決するためのプロジェクトとして事業化に至ったという。
これまでビズリーチと言えば、中途・新卒・アルバイトなど各種求人プラットフォームや 「HRMOS」ブランドのクラウドサービスのように人材関連のプロダクトを手がける会社のイメージが強かった。ただ竹内氏いわく「創業時の中心メンバーがもともとHRに深く携わっていたわけでもなく、最初のスタートが人材領域だっただけ」であり、決して領域を限定するつもりはないそうだ。
実際に近年はM&Aプラットフォームの「ビズリーチ・サクシード」など人材関連以外の事業にも着手しているし、遡ればタイムセールサイトの「LUXA(ルクサ)」も元々はビズリーチの一事業としてスタートしたものだったりする(ルクサは2010年に分社化された後、2015年にKDDIにより子会社化され現在は同グループ企業が運営)。
創業後に人事や法人営業のバックグラウンドを持つメンバーが増えたこともあり、社内のアセットを活かすためにも人材領域に力を入れてきたが、今後は別の領域でも新たな事業を立ち上げていく計画なのだそう。セキュリティはその中でも有力なドメインの1つであり、yamoryに限らず複数のプロダクトを手がける可能性もあるという。
「HR市場においては種植えの作業がある程度終わったような状況。もちろんそれらを大きくする取り組みは必要だが、ここからは自分たちのアセットを活かせる新しい市場でのチャレンジも見据えている。yamoryも1年以上前から徐々に種植えを始めていたものであり、サクシードなども含めてHR以外の市場・産業に軸足をおいたプロジェクトも進めてきた。会社としては今回のように社員が起案したものも積極的に取り入れながら、新規事業を創出し続けていきたい」(竹内氏)
