Techトレンド Vol.974

「今やサイバーテロの危険は“人命”にまで及ぶ」ビズリーチがOSS脆弱性管理ツール『yamory』の開発に至ったワケ

社会のあらゆる階層にITが浸透して久しい。各種ITサービスやWebサービスの開発を手掛けるソフトウェアデベロッパーたちは、開発効率を高めるオープンソースソフトウェア(OSS)の活用にも積極的だ。だがこのOSSの普及によって、新たな課題が顕在化しつつある。年間数万件にも上るOSSの脆弱性開示件数に対し、現場のエンジニアが対応しきれない状況が続いているからだ。

そこで、2019年8月27日にOSS脆弱性管理ツール『yamory(ヤモリー)』をリリースしたビズリーチの鈴木康弘さんに、OSSの脆弱性がもたらす脅威やyamory開発の経緯などについて話を聞いた。

株式会社ビズリーチ サイバーセキュリティ事業部 プロダクト開発部 部長 鈴木康弘さん
株式会社ビズリーチ
サイバーセキュリティ事業部 プロダクト開発部
部長 鈴木康弘さん
1983年生まれ。東京工業大学大学院修士課程修了後、ITコンサルティング会社を経て、2010年9月にビズリーチへ入社。『ビズリーチ』の立ち上げ初期から携わり、キャリトレなど4つのサービスを立ち上げてきた。現在はサイバーセキュリティ事業部のプロダクト開発部部長として、自身が起案したOSS脆弱性管理ツール『yamory(ヤモリー)』プロジェクト全体のディレクションや組織マネジメントに携わっている

サイバー被害はいまや「個人情報」にとどまらず、人命に関わる危険性も

「OSSは今や、効率的なソフトウェア開発になくてはならないものです。ですから、ソフトウェアエンジニアは常にOSSの脆弱性開示情報に目を光らせ、何らかの対策を取るべきなのは言うまでもありません。しかし現実にはそれがままならない状況が起こっています」

そう話すのは、ビズリーチのサイバーセキュリティ事業部プロダクト開発部の部長を務める鈴木康弘さん。鈴木さんは現在、自ら起案し事業化したオープンソース脆弱性管理ツール、yamoryプロジェクトを率いている。

「商用システムの9割以上が、何らかの形でOSSを利用していると言われ、一つのアプリケーションに数百、数千ものコンポーネントが利用されていることも少なくありません。自社で開発・運用しているアプリケーションごとに、使用しているOSSを正確に把握し、適切に管理するには膨大な手間がかかるため、『何とかしなければ』と感じていながらも、効果的な手が打てず悩んでいるエンジニアは少なくないはずです」

こうした状況を見透かしたかのように、OSSの脆弱性を突いたサイバー攻撃は増加傾向にある。

株式会社ビズリーチ サイバーセキュリティ事業部 プロダクト開発部 部長 鈴木康弘さん
立ち上げの想いを熱く語る鈴木さん

「個人情報や暗号資産の流出事件が度々話題になりますが、いずれサイバー攻撃がもたらす被害はこうした窃取事件だけに留まらなくなるでしょう。OSSの脆弱性が手当てされないまま放置されれば、今後さらに重大なインシデントが起こる可能性があります」

ここ数年AIが台頭し始めたことによって、自動運転車や接客ロボットといった、デジタルと現実空間をつなぐ新たなサービスの実用化が進んでいる。今後こうした傾向がさらに加速すれば、脆弱性を突かれコントロールを奪われた自動車やドローン、ロボットが犯罪やテロに用いられたり、ライフラインを奪われたりと、人々の生命を危険にさらすような事態も起こりかねない。

「すでに原子力発電所や基地など、重点警備対象施設へのサイバー攻撃は日常的に行われていると言われています。OSSを含む多様なソフトウェアが社会インフラを支えているにも関わらず、適切な対策が取られないまま運用されていたとしたら、取り返しのつかない被害が出てもおかしくありません」

もちろんOSSがクローズドなソフトウェアに比べ、とりわけ悪意ある攻撃に対して弱いわけではない。だがOSSがもたらす恩恵の陰で、脆弱性に対する攻撃リスクが高まっているとしたら、見逃していいはずはない。

「これだけ多くの用途にOSSが用いられているのに、効果的な対策が取れていない状態を放置すべきでないのは明らかです。われわれは、セキュアなソフトウェア開発環境を確立することは、人類の発展に欠かせない大きな課題だと考えています。だからこそサイバーセキュリティ事業部を立ち上げました」

会社の認知度向上に伴い攻撃リスクが急上昇。yamory着想のきっかけ

OSSの脆弱性管理がいかに重要かは分かった。だが、そもそもなぜ転職サイトや求人検索エンジンなどを手掛けるビズリーチが、サイバーセキュリティを事業化するに至ったのだろうか。

株式会社ビズリーチ サイバーセキュリティ事業部 プロダクト開発部 部長 鈴木康弘さん

「それは、当社の悩みでもあったからです。テレビCMを放映するようになってから、われわれのサービスに対するサイバー攻撃が増え始めました。そこで他社がOSSの脆弱性に対してどのような対策を取っているかを調べるため、主要なWeb企業にヒアリングをかけたことが事業部設立の契機になりました」

調査の結果分かったのは、企業規模に関わらず、すべての企業がOSSの管理において何らかの課題を抱えているということだった。

「そもそも専任のセキュリティ部門を置いたり、自作の社内ツールで対処できたりする企業は一部の大企業に限られています。発展途上のベンチャーにとっては、エンタープライズ向けのツールは高額過ぎて手が出しづらく、安価なサービスは機能が限定的です。結果的に各社とも、現場のエンジニアが“できる範囲で”対応していることが分かりました」

結局、「銀の弾丸」にあたるような解決策は見つからなかった。だからといって身の丈に合わない高価なツールを導入することも、プロフィット部門からエンジニアを引き剥がして社内ツールの開発に当てることもできない。一計を案じていた鈴木さんの下に、ほどなく吉報が舞い込む。構想を膨らませていたタイミングで、新規事業を提案する社内コンペ制度がスタートしたのだ。

「そこでさっそく企画書を作り、OSSの脆弱性診断サービスの事業化を提案することにしました。事前のヒアリングで一定の市場があることは分かっていましたし、企画が通れば大手を振って社内のリソースを使うこともできます。また、当社の経営陣はサイバーセキュリティが社会的課題になっていることを理解していたこともあり、きっと意義を認めてくれるだろうと思っていました」

鈴木さんの提案は、目論見通り社内コンペを勝ち抜き事業化が決まる。それからおよそ2年弱の歳月を費やし、2019年8月27日にリリースしたのが、OSS脆弱性管理ツール『yamory』だ。

株式会社ビズリーチ サイバーセキュリティ事業部 プロダクト開発部 部長 鈴木康弘さん

「プロトタイプを作っては、社内のセキュリティ担当者に使ってもらいながら機能と使い勝手を磨き込みました。品質が一定の水準に達した後、およそ半年かけて主要Web企業12社様にパブリックβ版を評価してもらい、そのフィードバックをもとに最終的な調整を図り、リリースに漕ぎ着けました。yamoryは、セキュリティに対する開発現場の悩みをくみ取って作り上げたサービスなのです

yamoryをソフトウェア開発に不可欠な一大ブランドに育てたい

yamory最大の売りは、専用クローラーによって自動収集した脆弱性情報や攻撃コードを基に、脆弱性対策の優先付けを行う「オートトリアージ機能」にある。

オートトリアージ機能とは、OSSの危険度を評価するCVSS(共通脆弱性評価システム)のスコア情報に加え、評価対象となるシステムが外部から攻撃可能な公開サービスであるか、また実際に攻撃用コード(PoC)がネット上で流通しているか、さらに脆弱性を狙った攻撃が行われているかどうかを総合的に評価して、すぐに対処すべき脆弱性とそうでないものを判定する機能だ。

「yamoryは、自動で脆弱性対策の優先付けを行い、脆弱性ごとに取り組むべき対策を提示します。これによりソフトウェアエンジニアは、脆弱性情報収集やリスク評価、影響範囲の分析などに時間を割くことなく、サイバー攻撃のリスクからアプリケーションを守れるようになりました。オートトリアージ機能は、開発現場のニーズや意見を吸い上げて実装したyamoryの主要機能と言えます」

現在yamoryが検知・評価できる脆弱性はアプリケーション内のOSSに限られるが、鈴木さんは、今後、インフラ、ネットワーク、OS、ミドルウェア、ソースコード、ロジックなど、アプリケーション以外のレイヤーに対してもツールを提供していきたいと意気込む。

株式会社ビズリーチ サイバーセキュリティ事業部 プロダクト開発部 部長 鈴木康弘さん

「デジタルトランスフォーメーションが進行する中、企業は自社システムやWebアプリケーションを自ら開発・運用するようになるというのが世界的な流れです。yamoryは、アジャイル開発のプロセスにセキュリティやリスク管理のプロセスを組み込み、より安全で洗練されたソフトウェア開発を実現することを最終目標に据えています。つまりOSSの脆弱性診断はその一歩に過ぎないということ。今後、yamoryブランドを旗印に対応領域を拡大し、ソフトウェア開発の発展に貢献したいと考えています」

yamoryの名称は、は虫類のヤモリ(家守・屋守・守宮)に由来するという。日本では、長らく人家に住み着き、害虫を食べてくれる有益な動物として大切に扱われてきたヤモリ。yamoryが、ソフトウェアエンジニアに支持され、デジタルトランスフォーメーション時代になくてはならない「家守」になれるかどうか。真価が問われるのはこれからだ。

>>株式会社ビズリーチの求人を見る

取材・文/武田敏則(グレタケ) 撮影/明星暁子

この記事が気に入ったらいいね!しよう

エンジニアtypeの最新情報をお届けします

RELATED POSTS関連記事

JOB BOARD編集部おすすめ求人

エンジニア転職フェア開催 IT&モノづくりエンジニアを求める優良企業が大集結!



記事検索

サイトマップ



記事ランキング

SIerって本当にヤバいの? ひろゆきが語る、業界ごと沈まないためのキャリア戦略

SIerって本当にヤバいの? ひろゆきが語る、業界ごと沈まな...

英文メールでよく見る「略語」の意味は?アメリカ&シンガポール企業で働くエンジニアが解説

英文メールでよく見る「略語」の意味は?アメリカ&シンガポール...

頭痛にコーヒーが効くって本当? 管理栄養士がエンジニアに送る「頭痛対策フード」3つ

頭痛にコーヒーが効くって本当? 管理栄養士がエンジニアに送る...

BASEえふしんが『モバツイ』時代にやらかした“恥ずかし過ぎる失敗”とは?

BASEえふしんが『モバツイ』時代にやらかした“恥ずかし過ぎ...

LINE初の開発専門子会社が担う、Growth開発の実態と未来【LINE Growth Technology】

LINE初の開発専門子会社が担う、Growth開発の実態と未...

TAGS

「type転職エージェント」無料転職サポートのご案内