転職サイトのビズリーチ、OSSの脆弱性管理ツールを開発 きっかけは「社内の悩み」(1/2 ページ)
ビズリーチが、オープンソースソフトウェア(OSS)の脆弱性管理ツール「yamory」を公開。サイバーセキュリティ事業に参入した。このyamoryは、現場の悩みから生まれたツールだという。
IT系のソリューション、特にセキュリティ関連製品というと、海外、主に米国のベンダーが開発したものを日本市場に持ってきて組み合わせて使うパターンが大半です。しかしここ数年、「こんなに困っていることを解決したい、もっと楽にしたい」という運用や開発現場のニーズから生まれた日本発のツールが、徐々に存在感を増しています。
転職サービスを手掛けるビズリーチは8月27日、企業のシステムに含まれているオープンソースソフトウェア(OSS)の脆弱性を管理し、攻撃を受けるリスクに応じて優先順位を付ける脆弱性管理ツール「yamory」(ヤモリー)を公開。サイバーセキュリティという新事業領域に進出しました。このyamoryも、現場の悩みから生まれたツールだといいます。
「もっと楽にできたら……」 きっかけは「社内の悩み」
yamoryは、ソフトウェアのソースコードをチェックし、利用されているOSSを抽出してデータベース化。インターネット上の脆弱性情報やセキュリティリサーチャーのブログ、Twitterなど幅広いソースを定期的にクローリングして得られた脆弱性情報と照合し、対応優先度に応じて表示します。
yamoryが対応するのは、JavaやPHP、Python、Ruby、Scala、JavaScriptなどで書かれたアプリケーションで、GitHubのアカウントをひも付ければソースコードを自動的にチェックし、OSSの利用状況と脆弱性を可視化します。コマンド操作も可能なため、CI/CDツールと連携しての動作も可能ということです。
ビズリーチの竹内真CTO(最高技術責任者)は、yamoryの特徴として、同社が求人情報検索エンジン「スタンバイ」の開発を通じて蓄積してきた自然言語処理や分解・解析などのノウハウをベースに、幅広いソースから脆弱性情報を収集していることを挙げます。
そして、脆弱性の深刻度を評価するCVSS(Common Vulnerability Scoring System)のスコアだけでなく、「実際に攻撃が発生しているかどうか」「PoCが公開されているか」といった、悪用されるリスクを踏まえて深刻度を判断し、優先順位付けをしていることも特徴。数百、数千件に上る脆弱性情報の中から、本当に対応すべき数件の情報を抽出し、「費用対効果の高い対策を支援する」と竹内氏は述べました。
実はこのyamoryは、ビズリーチの古参エンジニアが、サイバー攻撃が増加していく中で困難を極めていく脆弱性管理作業をもっと楽に、簡単にできたらいいのにな……という思いから生まれたツールだそうです。
今、ソフトウェア開発では、効率の面からも利便性の面からもOSSを使うのが当たり前です。ですが、システムが拡張していくと、「どのシステムで、どんなOSSのどのバージョンが動いているか」をヒアリングし、把握するだけでも一苦労になります。ましてや、日々公表される脆弱性情報を逐一チェックし、影響を受けるかどうかを確認するのには多くの手間がかかります。ビズリーチ自身も例外ではなかったと言います。
この状況は、アプリケーション開発者にとってもストレスでした。脆弱性対応の必要性は分かっていても、よりよいサービスをより素早くリリースしなければならないというプレッシャーの中では、理想通りにはいきません。ましてや、多数の脆弱性情報を「あれもこれも対応お願いします」と投げられても、どれから手をつければいいかの判断が付けられないことが課題だったそうです。
yamoryは、そんなふうに人手に頼り、場合によっては張り付けておく必要があった作業の多くを、トリアージ(優先順位付け)作業も含めて自動化することで、こうした問題を解決し、現場のかゆいところに手の届くツールを目指しているといいます。
竹内氏は、「セキュリティ担当者がいないような小さな組織でも、エンジニアがどの問題から対処すべきかを理解し、即座に動けるように支援するし、大きな組織ならばセキュリティチームとアプリケーション開発チームが『何がどれくらい危ないのか』という情報を共有でき、意思疎通が高まると思う」と述べました。
商用ソフトウェアの脆弱性情報への対応はこれからですが、脆弱性管理の工数を削減することで、ただでさえ不足が叫ばれるエンジニアの負荷を減らし、安心して、高い生産性で開発ができる世界を目指したいと竹内氏は意気込んでいます。また、「結託するサイバー攻撃者に対し、セキュリティエンジニアや開発者が手を結び、対峙していくためのプラットフォームになっていければ」とも話しています。
日本発のセキュリティソリューションが活発化
現場のニーズから生まれたツールは、ビズリーチの例だけではありません。
関連記事
- AWS障害、“マルチAZ”なら大丈夫だったのか? インフラエンジニアたちはどう捉えたか、生の声で分かった「実情」
AWSの障害に、各社はどのように対応したのか。ITmedia NEWS編集部では問題に直面した企業やエンジニアに聞き取り調査を行った。生の声から、実情が見えてきた。 - “DoS攻撃並み”のトラフィックでまひ寸前! 福岡大学NTPサービスの悩み
福岡大学が提供している公開NTPサービスは、最大で約265Mbps、毎秒33万クエリと“DoS攻撃並み”のトラフィックに。1つの大学の手に余る規模になってしまったが、そう簡単にサービスを停止できない事情があるという。 - 「Fate/Grand Order」ユーザー爆増の裏側で、エンジニアが挑んだデータベースとの戦い
スマホゲーム「Fate/Grand Order」を支えるインフラエンジニアが、ユーザーが爆発的に増える中で経験した、データベースの負荷対策を振り返る。 - 「君、今日からクラウド担当ね」 未経験者が1人で始めた、ファミマのAWS移行の舞台裏
「AWS Summit Tokyo 2019」のセッションに、ファミリーマートでクラウド移行の責任者を務める土井洋典さんが登壇。土井さんは、前任者が突然退職したため、ある日突然上司からクラウド担当を任された経験を持つ。たった1人でのスタートだったというが、どうやってAWS移行を成功させたのだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.