ビズリーチがOSS脆弱性管理ツール「yamory」をリリース。脆弱性とリスク情報を照合し、対応の優先度までを自動で判断

転職サイト「BIZREACH」をはじめ、転職・求人関連のサービスを展開する株式会社ビズリーチが、サイバーセキュリティ事業に進出した。8月27日に発表された「オープンソース脆弱性管理ツール yamory(ヤモリー)」は、オープンソースソフトウェア(OSS)を活用したシステムの脆弱性を把握し、危険度の分析や対応の優先度付け、そして対応策の実施までを自動化できるクラウドサービスだ。人手に依存していた脆弱性対策のプロセスを大幅に効率化すると同時に、より堅牢なシステムセキュリティを実現できると同社では言う。

世界で利用され脆弱性リスクも多い
OSSをターゲットに開発

転職などの人材関連サービスを中心に展開してきたビズリーチが、今回サイバーセキュリティという領域に進出した意図は何か。株式会社ビズリーチ 取締役 CPO兼CTO 竹内 真氏は、自社の現場のエンジニアからの提案が開発の発端となったと明かす。

(右)株式会社ビズリーチ 代表取締役社長 南 壮一郎氏、(左)同取締役 CPO兼CTO 竹内 真氏

「もともと当社では経営方針として、技術革新により社会の課題を解決していくというミッションを掲げています。それをもとに新たな事業領域を検討していたところ、社内のエンジニアから声があり、これを糸口に情報セキュリティという社会の要請を解決するサービスを作ろうと考えたのです」。

とはいえ、ソフトウェアの脆弱性はOSSだけに限らない。世の中には商用ソフトの問題も数多くあるが、yamoryの開発にあたり、あえてOSS に絞った理由として、竹内氏は「現在、世の中で最も多く使われており、その一方でセキュリティリスクの懸念も大きいこと」を挙げる。

アメリカのある調査によれば、現在運用されている商用アプリケーションの96％でOSSが利用されているという。そして、それら商用アプリケーションの約8割に脆弱性が存在することが判明している。実際にこうしたOSSの脆弱性を突いたサイバー攻撃により、クレジット会社のカード情報を含む個人情報の漏えいや、ホスティング会社の提供するレンタルサーバ上でWebサイトが改ざんされるなど、被害は枚挙にいとまがない。

脆弱性を突いたサイバー攻撃は全体の9割にもおよぶ/p>

クレジットカード情報の漏えいなどは身近なだけに大きな問題だ

「このように、OSSは世界中のいたる所で利用されているが、インターネットからで無料で配布され、多くのエンジニアによって開発・改良が絶え間なく行われるため、どうしても脆弱性が生まれてしまうリスクは避けられません。当社としては、まずはこの領域に着目し対策ツールを開発することが、現在の社会の要請に応えるものと判断しました」。

脆弱性対策のすべてのプロセスを自動化してくれるyamory

yamoryの大きな特長は、OSSの脆弱性対策における対応プロセスを自動化できる点だ。通常の脆弱性対策は、大きく以下の3つのプロセスで構成されている。

1. OSSの利用状況を把握：現在利用しているシステムの中に、どのようなOSSが含まれているのかをリストアップする。これまでは、セキュリティ担当者が電話やメール、対面などで各システムの開発部署にヒアリングしなくてはならず、膨大な手間と時間がかかっていた。
2. 脆弱性情報との照合：使われているOSSに関する脆弱性情報をインターネット上のさまざまな場所から探索し、どのようなリスクがあるのかを整理・把握していく。これも毎日セキュリティ担当者がウォッチしていなくてはならず、大変な作業だった。
3. 対応優先度の決定と対応策の実施：脆弱性情報との照合結果をもとに、どのリスクから優先的に対応していくかをセキュリティ担当者が決め、具体的な対応策を現場のエンジニアに指示する。

脆弱性対策における3つのプロセス

「これら一連の作業をyamoryはすべて自動的に行い、人手で毎日何時間も費やしていた膨大な作業をほぼゼロにできます。次々に生まれる脆弱性とそれに伴うリスクを把握するための果てしない労力をツールにゆだねることで、セキリティ管理者は、そこから生まれた余裕をより生産的な作業に振り向けられるようになります」(竹内氏)。

現在のシステムやソリューションは非常に多くのOSSを組み合わせて構成されているため、一つのシステムに含まれるOSSの数は通常で数百、多い場合は数千点に上るという。これを人力で把握するのは並大抵のことではない。

社内のOSS利用状況を把握するだけでも担当者に大きな負荷がかかっていた

脆弱性情報も同様だ。インターネット上には無数の脆弱性情報が公開されているが、それらの信憑性を吟味し、膨大な情報を的確に抽出・整理する作業が、セキュリティ担当者の大きな負担になっている。

同様に膨大な脆弱性情報の収集・分析はクリティカルな問題だけに担当者の負荷も大きい

yamoryは、これらすべてのプロセスを自動化する。まず、システム内で利用されている OSSをYamoryが自動的に抽出し、利用状況を瞬時に把握するため、これまでの人手によるヒアリングの工数がゼロになる。ネット上の脆弱性情報も、yamoryが常時クローリングして抽出し、取得済みのOSSの利用状況と該当するリスク情報の紐づけを行う。

yamoryの自動化機能で担当者の負荷は大きく削減された

脆弱性情報も自動化によりOSSの利用情報と関連するリスク情報の紐づけが容易に

「そして最後に、『対応優先度の決定と対応策の実施』ですが、これが実は今までなかなか自動化できない部分でした。yamoryは、この工程を自動化することに成功しています。OSS の利用状況とそれに付随するリスク情報をもとに攻撃リスクをランク分けし、対応の順番や緊急度までを見える化する。現時点でこれができるのは、おそらくyamoryだけでしょう」(竹内氏)。

自動化しにくかった優先度と対策の実施も自動化が可能に

「オートトリアージ機能」が高精度な優先順位づけを実現

ここまで紹介したyamoryの機能の中でも、特に注目したいのが「対応優先度の決定と対応策の実施」の工程を自動化するテクノロジーだ。これはビズリーチが独自に開発した「オートトリアージ機能」と呼ばれるもので、現在、特許出願中だという。

「トリアージ」とは医療現場で用いられる言葉で、大規模な事故や災害などで多くの負傷者が出た場合、医師や救急隊員などが緊急度を判定し、治療の優先順位をつける作業だ。yamoryのオートトリアージ機能も、発見されたリスクをもとに対応の緊急度を判定し、優先順位をつけていく。このプロセスが自動化されることで、従来は人手で行っていた作業コストがカットできるのはもちろんだが、それ以上に大きなメリットとして、より精度の高い優先順位づけが可能になると竹内氏は言う。

ビズリーチが独自開発した「オートトリアージ機能」は特許出願中の自動化テクノロジーだ

「例えば数百件の脆弱性があっても、そのうち本当に緊急を要する危険なものは数件しかありません。それを人手で選別するのは大変ですが、yamoryは膨大なリスク情報と照合しながら本当に危険度の高いものを高精度に判別し、可視化します。その結果、セキュリティ要員や判別作業の時間などのリソースを最小限に抑えながら、最大のリスク抑止効果を実現できます」(竹内氏)。

また一般に、ネット上に公開されている脆弱性の深刻度を評価するには、「CVSS(Common Vulnerability Scoring System)」が利用されているが、yamoryはさらに、現在ネット上に流出している攻撃コードなどの情報までもいち早く把握し、対応に盛り込むことができる。竹内氏は「ここまでできるツールは、おそらく世界でも数えるほどと思います」と語る。

yamoryはSaaSとして提供され、料金体系は未定だが、同社ではサブスクリプションのようなモデルで詳細を詰めているという。また今回は、対象となるOSSの利用率の高さに着目してOSS向けツールとしてリリースされたが、将来的には他の商用OSなども視野に入れた展開を検討していく見通しだ。

株式会社ビズリーチ 代表取締役社長 南 壮一郎氏は、「さまざまな技術変革が進む現代の社会では、サービスや企業が拡大成長していく過程で、セキュリティという重要課題を避けて通ることはできません。モバイルやクラウドの拡がり、IoTなど見えない場所でのデータ流通の増大。また、こうした動きに向けた政府のサイバーセキュリティ政策の推進。ここに当社も積極的に新しい領域のサービスを提供し、社会の課題解決に貢献していきたいと考えています」と語る。

同社とyamoryの、これからの動向に注目していきたい。