ITmedia NEWS > セキュリティ >
ニュース
» 2019年08月29日 07時00分 公開

転職サイトのビズリーチ、OSSの脆弱性管理ツールを開発 きっかけは「社内の悩み」 (1/2)

ビズリーチが、オープンソースソフトウェア(OSS)の脆弱性管理ツール「yamory」を公開。サイバーセキュリティ事業に参入した。このyamoryは、現場の悩みから生まれたツールだという。

[高橋睦美,ITmedia]

 IT系のソリューション、特にセキュリティ関連製品というと、海外、主に米国のベンダーが開発したものを日本市場に持ってきて組み合わせて使うパターンが大半です。しかしここ数年、「こんなに困っていることを解決したい、もっと楽にしたい」という運用や開発現場のニーズから生まれた日本発のツールが、徐々に存在感を増しています。

 転職サービスを手掛けるビズリーチは8月27日、企業のシステムに含まれているオープンソースソフトウェア(OSS)の脆弱性を管理し、攻撃を受けるリスクに応じて優先順位を付ける脆弱性管理ツール「yamory」(ヤモリー)を公開。サイバーセキュリティという新事業領域に進出しました。このyamoryも、現場の悩みから生まれたツールだといいます。

「もっと楽にできたら……」 きっかけは「社内の悩み」

 yamoryは、ソフトウェアのソースコードをチェックし、利用されているOSSを抽出してデータベース化。インターネット上の脆弱性情報やセキュリティリサーチャーのブログ、Twitterなど幅広いソースを定期的にクローリングして得られた脆弱性情報と照合し、対応優先度に応じて表示します。

photo

 yamoryが対応するのは、JavaやPHP、Python、Ruby、Scala、JavaScriptなどで書かれたアプリケーションで、GitHubのアカウントをひも付ければソースコードを自動的にチェックし、OSSの利用状況と脆弱性を可視化します。コマンド操作も可能なため、CI/CDツールと連携しての動作も可能ということです。

photo ビズリーチの竹内真CTO(最高技術責任者)

 ビズリーチの竹内真CTO(最高技術責任者)は、yamoryの特徴として、同社が求人情報検索エンジン「スタンバイ」の開発を通じて蓄積してきた自然言語処理や分解・解析などのノウハウをベースに、幅広いソースから脆弱性情報を収集していることを挙げます。

 そして、脆弱性の深刻度を評価するCVSS(Common Vulnerability Scoring System)のスコアだけでなく、「実際に攻撃が発生しているかどうか」「PoCが公開されているか」といった、悪用されるリスクを踏まえて深刻度を判断し、優先順位付けをしていることも特徴。数百、数千件に上る脆弱性情報の中から、本当に対応すべき数件の情報を抽出し、「費用対効果の高い対策を支援する」と竹内氏は述べました。

 実はこのyamoryは、ビズリーチの古参エンジニアが、サイバー攻撃が増加していく中で困難を極めていく脆弱性管理作業をもっと楽に、簡単にできたらいいのにな……という思いから生まれたツールだそうです。

 今、ソフトウェア開発では、効率の面からも利便性の面からもOSSを使うのが当たり前です。ですが、システムが拡張していくと、「どのシステムで、どんなOSSのどのバージョンが動いているか」をヒアリングし、把握するだけでも一苦労になります。ましてや、日々公表される脆弱性情報を逐一チェックし、影響を受けるかどうかを確認するのには多くの手間がかかります。ビズリーチ自身も例外ではなかったと言います。

 この状況は、アプリケーション開発者にとってもストレスでした。脆弱性対応の必要性は分かっていても、よりよいサービスをより素早くリリースしなければならないというプレッシャーの中では、理想通りにはいきません。ましてや、多数の脆弱性情報を「あれもこれも対応お願いします」と投げられても、どれから手をつければいいかの判断が付けられないことが課題だったそうです。

 yamoryは、そんなふうに人手に頼り、場合によっては張り付けておく必要があった作業の多くを、トリアージ(優先順位付け)作業も含めて自動化することで、こうした問題を解決し、現場のかゆいところに手の届くツールを目指しているといいます。

photo

 竹内氏は、「セキュリティ担当者がいないような小さな組織でも、エンジニアがどの問題から対処すべきかを理解し、即座に動けるように支援するし、大きな組織ならばセキュリティチームとアプリケーション開発チームが『何がどれくらい危ないのか』という情報を共有でき、意思疎通が高まると思う」と述べました。

 商用ソフトウェアの脆弱性情報への対応はこれからですが、脆弱性管理の工数を削減することで、ただでさえ不足が叫ばれるエンジニアの負荷を減らし、安心して、高い生産性で開発ができる世界を目指したいと竹内氏は意気込んでいます。また、「結託するサイバー攻撃者に対し、セキュリティエンジニアや開発者が手を結び、対峙していくためのプラットフォームになっていければ」とも話しています。

日本発のセキュリティソリューションが活発化

 現場のニーズから生まれたツールは、ビズリーチの例だけではありません。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.