脆弱性対策が大変--ビズリーチがセキュリティサービスを開発した狙い

國谷武史 (編集部) 2019年08月28日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 企業の人材採用支援サービスを手掛けるビズリーチは8月27日、オープンソースソフトウェア(OSS)の脆弱性を管理するためのサービス「yamory(ヤモリー)」の提供を開始した。主力事業からは異色に映る新たな取り組みについて、取締役 CPO(最高プロダクト責任者)兼CTO(最高技術責任者)の竹内真氏に話を聞いた。

 yamoryは、アプリケーションにおけるOSSの利用状況を自動的に収集し、脆弱性情報の収集と管理、対策までの各種作業の自動化を支援する。サービス名称は、建物の守る存在として縁起の良い生き物のヤモリにちなんだものだ。同社の各種サービスのセキュリティ品質を維持・向上させるために不可欠だが、大きな負担になっていた脆弱性対策業務を効率化する目的で同社のエンジニアが開発し、それを商用化した。

ビズリーチ 取締役 CPO兼CTOの竹内真氏
ビズリーチ 取締役 CPO兼CTOの竹内真氏

 現代のアプリケーションでは、コンポーネントも含めれば大半のケースにおいてOSSが利用されている。また、OSSの脆弱性の悪用を狙うサイバー攻撃も常態化し、攻撃によってサービスが中断したり、情報流出などの被害が発生したりすれば、ビジネスに深刻な影響が生じかねない。開発段階だけではなく運用も含めた脆弱性の管理は、企業や組織にとって必須の取り組みになっている。

 しかし、脆弱性の管理はエンジニアに多くの負担とかけているのが実情だ。日々発信される膨大な数の脆弱性情報を収集して、自社のサービスやアプリケーションに影響する可能性のある情報を抽出し、具体的に想定される影響を分析して、修正パッチの適用や回避策の実施といった対策内容を判断しなければならない。

 こうしたことから昨今では、OSSや商用ソフトウェアなどの脆弱性を管理するためのツールが提供されている。ただ、それでもエンジニアとっては必ずしも使い勝手が良いわけではない。多くのツールでは、脆弱性の影響度を示すCVSS(共通脆弱性評価システム)の数値(最大値は10.0)を主要な指標として、その範囲に応じて危険度を分類(低・中・高といった段階)している。ツールの利用者は、CVSS値や分類を頼りに対応方法を検討することになるが、本来は攻撃発生などの危険性がどれだけ差し迫っているかといった緊急性を基準に対応する必要がある。

 「独自に脆弱性情報を集めてデータベース化しているが、CVSSで影響度が高いとされながら、既に攻撃実証コードが公開されていたり、実際に悪用攻撃が発生したりして、本当に対応を急がなければならないケースはわずかしかない。エンジニアとっては脆弱性情報を手作業で集めるだけでも大きなコストだが、既存のツールを利用しても必要な情報が不足しているなどの課題があり、できるだけ自動化したいという思いがあった」(竹内氏)

 yamoryは、同社の創業期から在籍するベテランのエンジニアが、こうした現場の課題を解決すべく1年半ほどを費やして開発したという。折しもIT業界ではエンジニア人材が不足し、セキュリティの重要性も高まっていることから、竹内氏によれば、現場側からyamoryを社内で利用するだけではなく業界の抱える課題も解決しようと事業化が提案された。そこで経営側でも新規事業としての検討を進めてきたという。

 yamoryでは、まずアプリケーションの情報を登録すると、構成状況などを解析して使用しているOSSの種類やバージョンなどを可視化する。そして、グローバルに提供されている一般的なデータベースからセキュリティ研究者のブログなどをソースとして収集している脆弱性情報と照合し、脆弱性の有無や対策の優先度を解析する。既に脆弱性が解決されたバージョンを使用しているなどの場合は、対策済みとして自動処理され、ユーザーにはアラートしない。一方、攻撃実証コードや悪用攻撃の存在が判明している場合は、ユーザーに対応の優先度や推奨される対応方法(パッチ適用やバージョンアップの実施、回避策の検討など)を通知して、行動を促す。

yamoryのUI(出典:ビズリーチ) yamoryのUI(出典:ビズリーチ)
※クリックすると拡大画像が見られます

 「正直に言えば、内部ではどこから情報を収集するのか、収集した情報の内容をどのように分析するのかといった部分にかなりのリソースをかけているが、表向きには脆弱性対策を自動化するメリットをユーザーが感じられるようにしている。多くのITエンジニアがセキュリティの知識やスキルの習熟に努めているが、セキュリティの業務だけに特化するわけにはいかない。開発に必要なセキュリティのリソースの確保が難しいという組織では、セキュリティ関連業務のコストを削減するためにも、ぜひ活用していただきたい」(竹内氏)

 現状のyamoryでは、JavaやPHP、Python、Perlなどアプリケーション開発で主流のプログラミング言語をベースにしたソフトウェアに関する脆弱性情報に対応している。具体的なロードマップなどは未定だが、竹内氏によれば、C#やGoといった他のプログラミング言語、さらにはミドルウェアなど対応領域を広げていく構想もあるという。

 提供価格は個別相談になるが、今後3年間で海外を含め1000社への提供を目標にしている。「当社としてはyamoryを重要な新規事業の1つに位置付けているが、まずは脆弱性対策で苦労している現場のエンジニアにとって一助になりたいと考えている」(竹内氏)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]