企業の人材採用支援サービスを手掛けるビズリーチは8月27日、オープンソースソフトウェア(OSS)の脆弱性を管理するためのサービス「yamory(ヤモリー)」の提供を開始した。主力事業からは異色に映る新たな取り組みについて、取締役 CPO(最高プロダクト責任者)兼CTO(最高技術責任者)の竹内真氏に話を聞いた。
yamoryは、アプリケーションにおけるOSSの利用状況を自動的に収集し、脆弱性情報の収集と管理、対策までの各種作業の自動化を支援する。サービス名称は、建物の守る存在として縁起の良い生き物のヤモリにちなんだものだ。同社の各種サービスのセキュリティ品質を維持・向上させるために不可欠だが、大きな負担になっていた脆弱性対策業務を効率化する目的で同社のエンジニアが開発し、それを商用化した。
ビズリーチ 取締役 CPO兼CTOの竹内真氏
現代のアプリケーションでは、コンポーネントも含めれば大半のケースにおいてOSSが利用されている。また、OSSの脆弱性の悪用を狙うサイバー攻撃も常態化し、攻撃によってサービスが中断したり、情報流出などの被害が発生したりすれば、ビジネスに深刻な影響が生じかねない。開発段階だけではなく運用も含めた脆弱性の管理は、企業や組織にとって必須の取り組みになっている。
しかし、脆弱性の管理はエンジニアに多くの負担とかけているのが実情だ。日々発信される膨大な数の脆弱性情報を収集して、自社のサービスやアプリケーションに影響する可能性のある情報を抽出し、具体的に想定される影響を分析して、修正パッチの適用や回避策の実施といった対策内容を判断しなければならない。
こうしたことから昨今では、OSSや商用ソフトウェアなどの脆弱性を管理するためのツールが提供されている。ただ、それでもエンジニアとっては必ずしも使い勝手が良いわけではない。多くのツールでは、脆弱性の影響度を示すCVSS(共通脆弱性評価システム)の数値(最大値は10.0)を主要な指標として、その範囲に応じて危険度を分類(低・中・高といった段階)している。ツールの利用者は、CVSS値や分類を頼りに対応方法を検討することになるが、本来は攻撃発生などの危険性がどれだけ差し迫っているかといった緊急性を基準に対応する必要がある。
「独自に脆弱性情報を集めてデータベース化しているが、CVSSで影響度が高いとされながら、既に攻撃実証コードが公開されていたり、実際に悪用攻撃が発生したりして、本当に対応を急がなければならないケースはわずかしかない。エンジニアとっては脆弱性情報を手作業で集めるだけでも大きなコストだが、既存のツールを利用しても必要な情報が不足しているなどの課題があり、できるだけ自動化したいという思いがあった」(竹内氏)
yamoryは、同社の創業期から在籍するベテランのエンジニアが、こうした現場の課題を解決すべく1年半ほどを費やして開発したという。折しもIT業界ではエンジニア人材が不足し、セキュリティの重要性も高まっていることから、竹内氏によれば、現場側からyamoryを社内で利用するだけではなく業界の抱える課題も解決しようと事業化が提案された。そこで経営側でも新規事業としての検討を進めてきたという。
yamoryでは、まずアプリケーションの情報を登録すると、構成状況などを解析して使用しているOSSの種類やバージョンなどを可視化する。そして、グローバルに提供されている一般的なデータベースからセキュリティ研究者のブログなどをソースとして収集している脆弱性情報と照合し、脆弱性の有無や対策の優先度を解析する。既に脆弱性が解決されたバージョンを使用しているなどの場合は、対策済みとして自動処理され、ユーザーにはアラートしない。一方、攻撃実証コードや悪用攻撃の存在が判明している場合は、ユーザーに対応の優先度や推奨される対応方法(パッチ適用やバージョンアップの実施、回避策の検討など)を通知して、行動を促す。
yamoryのUI(出典:ビズリーチ)
※クリックすると拡大画像が見られます
「正直に言えば、内部ではどこから情報を収集するのか、収集した情報の内容をどのように分析するのかといった部分にかなりのリソースをかけているが、表向きには脆弱性対策を自動化するメリットをユーザーが感じられるようにしている。多くのITエンジニアがセキュリティの知識やスキルの習熟に努めているが、セキュリティの業務だけに特化するわけにはいかない。開発に必要なセキュリティのリソースの確保が難しいという組織では、セキュリティ関連業務のコストを削減するためにも、ぜひ活用していただきたい」(竹内氏)
現状のyamoryでは、JavaやPHP、Python、Perlなどアプリケーション開発で主流のプログラミング言語をベースにしたソフトウェアに関する脆弱性情報に対応している。具体的なロードマップなどは未定だが、竹内氏によれば、C#やGoといった他のプログラミング言語、さらにはミドルウェアなど対応領域を広げていく構想もあるという。
提供価格は個別相談になるが、今後3年間で海外を含め1000社への提供を目標にしている。「当社としてはyamoryを重要な新規事業の1つに位置付けているが、まずは脆弱性対策で苦労している現場のエンジニアにとって一助になりたいと考えている」(竹内氏)
