ビズリーチ、サイバーセキュリティ事業に参入--OSSの脆弱性管理ツールを独自開発

　ビズリーチは8月27日、サイバーセキュリティ事業への参入を発表した。第1弾としてさまざまなオープンソースソフト（OSS）の脆弱性を管理するツール「yamory（ヤモリー）」を自社開発し、提供を開始した。今後は商用ソフトの脆弱性対策へのターゲットの拡大、ツールの海外展開、さらに自社エンジニアによるツールの運用支援やサイバーセキュリティ対策支援へと幅広い事業展開を視野に入れている。

右からビズリーチ 代表取締役社長の南壮一郎氏、同取締役 CTO 兼 CPOの竹内真氏

　ビズリーチは、会員制転職サイト「ビズリーチ」の運営のほかに、人材活用クラウド「HRMOS」、事業承継M&Aプラットフォーム「ビズリーチ・サクシード」などITプロダクトベースのサービス事業を複数展開し、事業の幅を広げている。

　同社が今回サイバーセキュリティ事業領域に進出した理由について、ビズリーチ代表取締役社長の南壮一郎氏は、「社会構造の変革によって生まれる課題、技術革新によってもたらされる課題、これらの社会の課題を抽出して事業を立ち上げてきた中で、次に解決を目指す課題がサイバーセキュリティ領域」と説明。また、サイバーセキュリティ対策は、犯罪の増加や対応できる人材が不足しているなどの社会的な問題であることに加え、「ビズリーチ自身が成長していく過程において発生した課題であり、自社のエンジニアが起案して開始したサービス」であるとした。

　サイバーセキュリティ領域でOSSの脆弱性対策支援に着目した理由について、ビズリーチ 取締役 CTO 兼 CPOの竹内真氏は、サイバーセキュリティ人材が不足する中で、サイバー攻撃のほとんどが脆弱性攻撃であることと、OSSが広く普及していてそこに起因するリスクが高いことを挙げる。「OSSは、無料で配布されているソフトウェアの部品であり、今やなくてはならない存在になっている。米国の調査によれば96％のサービスでOSSが活用されていて、そのうち78％に脆弱性が存在している。このような状況でミスを完全に防ぐことは難しい」（竹内氏）。

yamoryサービスの概念図

　そのような背景のもとで開発されたyamoryは、組織内で活用しているOSSの情報を把握して、脆弱性の管理と対策が行える有償のツールとなる。利用に関してはまず、さまざまな種類のソフトウェアやアプリ、ウェブサービスで利用されているOSSを抽出し、それぞれに対してバージョンや利用状況を把握する。

yamoryの脆弱性分析画面

　次にyamoryが有する脆弱性情報のデータベースと照合し、脆弱性情報やサイバー攻撃用のコード情報と自組織のOSS情報をマッピングしてリスクを炙り出す。そのうえで、独自の「オートトリアージ機能」によって対策の優先順位とともに対策方法を提示し、現場のエンジニアが効率的に対応できるようにする。ここまでを自動的に行うため、導入企業はセキュリティの専門知識がなくてもOSSの脆弱性を管理できるようになり、セキュリティ対策の工数やコストを削減できる。脆弱性情報は、複数の情報ソースから自動的に取得する仕組みだ。

色分けされた脆弱性のボタンを選択するとリスクと対策方法が表示される

　ツールの提供形態はSaaS方式で、サブスクリプションモデルを想定している。金額・料金体系について現段階では未定で、「導入に際して各社ごとに話を聞きながら設定していくことを想定」（竹内氏）。販売目標として、今後3年間で1000社への導入を目指すとしている。