ブラック・ダックCMOボブ・キャナウェイが語るOSSセキュリティの近未来
--はじめに簡単に自己紹介をお願いします。
キャナウェイ氏:ボブ・キャナウェイと申します。CMOとしてワールドワイドでのマーケティング戦略を担当しています。ブラック・ダックに参画してから1年半ぐらいになります。以前は、やはりオープンソースの会社でエンタープライズコンテンツマネージメントをやっていました。
ショルツ氏:カール・ショルツ、マーケティング担当のディレクターです。ブラック・ダックに参加して1年くらいで、その前は様々なスタートアップの会社の仕事をしていました。
--お二人とも比較的最近に入社されたようですが、どうしてブラック・ダックを選んだのでしょうか?
キャナウェイ氏:我々がソフトウェアを開発していく際にオープンソースは非常に重要な方法になってきていますし、その中で様々な組織が助けを必要としています。どうやって安全にオープンソースを使いイノベーションを起こしていくのか、企業にとってそれは欠かせない戦略となってきています。まさにそういった環境の中心にブラック・ダックがあります。
ショルツ氏:私も同じような理由で参加しました。Bobの事は知っていて、以前にも一緒に仕事をしていました。先ほどオープンソースの新しい動きの中心にブラック・ダックがいると発言がありましたが、とても働きがいのある分野だと思ってます。
--CMOの立場からみて日本のマーケットをどんな風に捉えていますか?
キャナウェイ氏:日本は非常に重要な市場です。世界の中でも大規模な企業が集中しているところでもありますし、製造業や金融サービス、そしてソフトウェアの企業もかなり増えています。
また、オープンソースの利用もかなり高くなっていながらも、まだ皆さんあまりその活用を意識されていないという点では、ほかの国々と同じように我々がお手伝いする余地がたくさんあると思っています。フォズニック氏:私は2016年の途中から社長に就任しました。今まではパートナー各社を経由して販売してきましたが、これからは直販にも力を入れ、もっと顧客の顔を見ていこうと考えています。
キャナウェイ氏:ワールドワイドですと直販のほうが多いですね。日本はチャネルセールスで売っていくという例外的なポジションでしたが、今後は直販のチャンスも非常に大きくなっていくと思います。
フォズニック氏:日本市場の特質な部分として自社で開発しなくてアウトソーシングする、いわゆるSIerの文化があります。この分野はもうひとつのターゲットになると考えています。日本はスクラッチ開発が好まれる傾向にありますが、ヨーロッパとアメリカはゼロからの開発はそんなにやらない。
キャナウェイ氏:そうですね、米国の金融サービスで非常に大きいところは社内の開発者を1万人も抱えていたりしますので、そのあたりは日本とは違うなと思います。しかしそれより小規模な企業だとシステムインテクレーターに依存しているところもあります。SIの人達がOSSベースで開発を行うことで、OSSの内容についてもしっかりと管理して責任をとらなければいけないので、我々の製品がますます重要になると考えています。
--最近の米国のオープンソースの状況として、アジャイルやDevOpsなどの手法が取り入れられ、コンテナー技術の導入も進んでいると聞きます。ブラック・ダックとしてはどういったアプローチをしているのでしょうか?
キャナウェイ氏:私たちの目標は、あくまでお客様がオープンソースソフトウェアを安全に使っていけるようにサポートすることなので、お客様のプロセスに関しては全て対応できるようにしていきます。例えば、社内の開発プロセスがアジャイルを採用し、CI/CDを導入している場合もカバーできるように、様々なDevOps分野のツールとの統合をたくさん進めてきました。いわゆる“ゴーイング・レフト”というアプローチで、開発の初期段階で我々の製品を活用していただいています。
そしてまた、そのアプリケーションをコンテナーに入れていく部分の支援については、これは“ゴーイング・ライト”と表現していますが、本番環境で実行する場合には、今まで見えていなかったセキュリティリスクを導入してしまう危険性を排除するためにブラック・ダックを使っていただいています。
OSSというのは、あらゆるポイントで企業の中に入り込んでいく可能性があります。ソフトウェア開発で使われることもありますし、外から購入したものの中に含まれている場合も考えられます。それからシステムインテクレーターに依頼して開発されたいろいろなコンポーネントに使われていることもあるでしょう。我々の見方としては、ソフトウェア全体の35%から80%、ときには90%までがオープンソースが使われていると考えています。
--オープンソースの活用が進んでいるのは全世界的な動きだと思いますが、最近のトレンドを教えてください。
キャナウェイ氏:Marc Andreessen氏の「ソフトウェアが世界を侵食している」という言葉がありますが、IoTやConnected Carの世界もソフトウェア化の傾向を強めています。そうやって(オープンソース)ソフトウェアの利用が高まれば高まるほど、ハッカーの目から見れば非常に魅力的な、侵入しやすい攻撃面が増えていく事になります。組織の中に侵入して情報を持ち出したりハッキングを行う可能性が高まりますので、今後1年から1年半の間にこういったリスクがどんどん高まっていくと考えられます。その結果としてブラック・ダックのような製品をDevOps分野で使っていく傾向が高まっていくと予見しています。
--企業のAI導入が盛んに取り上げられていますが、ブラック・ダックが持つ脆弱性のデータベースをマシンラーニングで解析し、将来的な予測や検知に使うようなアプローチは考えられるのでしょうか。
キャナウェイ氏:はい、我々は非常に多くのデータを収集して膨大なナレッジベースを構築しています。マシンラーニングを活用して解析を進めていくことで、既知の問題だけでなく将来起こりうる潜在的な脆弱性に対しても準備をしていくことが可能になると思います。過去に起こった事に関するレポートだけではなく、予見的な情報を提供することでリスクを低減できるようにお手伝いをすることが今後の目標です。
◇ ◇ ◇
先日グローバルで初めてユーザーカンファレンスを開いたところですが、東京でも2月22日に開催を予定しています。皆さんぜひご参加ください。