この記事では、Visionalのサイバーセキュリティ領域の事業・脆弱性管理クラウド「yamory」について紹介します。

「yamory」は、2019年8月のローンチ以降、サイバー攻撃が深刻化する近年の流れを受け、また、サービスを導入・活用してくださっているお客様からの声に応えながら、日々、進化を続けています。最近では、海外の動向を受け日本でもSBOM（Software Bill of Materials／ソフトウェア部品表。ソフトウェアサプライチェーンの中で利用されているソフトウェア部品を正確に把握するための手法。）が注目され始めており、そうした流れの中で、「yamory」は、SBOMの生成・管理・運用を行うことができるツールとして、今まで以上に大きな注目と期待を集めています。

今回、事業部長の山路昇さん（トップ写真：右）、プロダクト責任者の鈴木康弘さん（トップ写真：左）の2人にインタビューを行い、SBOMを巡る「yamory」の動き、また、ユーザー会や、「Assured」（Visionalのもう一つのサイバーセキュリティ領域の事業）との連携をはじめとした事業部の取り組み、今後の展望などについて聞きました。

この記事を通して、「安心してテクノロジーを活用できる世界を実現する」というミッションを掲げながらチャレンジし続けるyamory事業部の仲間たちの想いや熱量が伝わったら幸いです。

プロフィール

来たるべき時代の追い風を確実に捉えるために、日々サービスを磨き続ける。

──この1年ほどで、IT企業はもちろん、金融機関をはじめとした大手企業など多くのお客様が「yamory」の導入・活用を進めてくださっていますね。

鈴木：世間の風向きが大きく変わり始めているのを感じます。特に最近では、SBOMが日本でも大きな注目を集め始めています。遡ると、ソフトウェアを構成する部品をしっかり管理しないと正確なリスク管理はできないという前提は前々から共有されていて、まさしく「yamory」はそのためのサービスなのですが、ただ、これまでずっと法的拘束力がなかったんです。世の中的に大きなインシデントが次々と起こり続ける中で、日本でもSBOMが注目され、法制度にも変化が起き始めて、次第に、「そろそろ本格的に脆弱性管理をやらないとまずいね。」というように世間の風向きが少しずつ変わっていったように捉えています。

──例えばアメリカでは、2021年5月にSBOMに関する大統領令が出て、アメリカ国内でSBOMの普及が大きく進みましたよね。

鈴木：そうですね。アメリカだけではなく、EUでは、2022年9月に「サイバーレジリエンス法案」が公表され、2024年に施行されると言われています。これにより、EU圏内で販売されるデジタル要素を備えた全ての製品を対象にSBOMの作成義務が求められ、違反した企業に対する罰則規定も設けられています。

──一方、日本におけるSBOMを巡る動きは、具体的にどのようなものがあるのでしょうか？

鈴木：経済産業省に「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理⼿法等検討タスクフォース」（ソフトウェアタスクフォース）が設置され、 産業分野ごとに実証実験が進められています。また、SBOM導入に向けた取り組みについては、2023年7月に「ソフトウェア管理に向けたSBOMの導入に関する手引」が公表され、政府調達のソフトウェアに関しては、早ければ2024年にもSBOM提出が義務化される可能性もあり、今後、国内においても、金融、医療、製造などの産業から、SBOMに関する対応が求められていくことになると考えられます。

──こうした日本国内の流れは、「yamory」にとって大きな追い風になるのではと思いましたが、いかがでしょうか？

山路：ただ日本では、SBOMの必要性を理解していても、実際に管理・運用をすぐに始められるという企業はまだまだ少ない状況で、確かに追い風が吹き始めたかもしれませんが、まだまだ微風です。ただ、今頑張っておかないと、本格的に風が吹き始めた時に対応が間に合わなくなってしまう。だから、今の間により良いものを作っておかなければ、セキュリティの新しいスタートラインにも立てなくなってしまうと思いながら、日々サービスを磨き続けています。

──経産省の「ソフトウェア管理に向けたSBOMの導入に関する手引」には、SBOMの作成や運用・管理に資するツールとして、「yamory」が唯一の国産サービスとして掲載されています。どのような経緯でここに掲載されることになったのでしょうか？

鈴木：経産省のソフトウェアタスクフォースは、Japan Automotive ISAC（自動車業界のISAC／ISAC：Information Sharing and Analysis Center 業界別に構成されている、政府と企業が統合的に情報を共有し分析するための組織体）や、医療ISAC、Software ISACなどと協力しながら実証実験を進めていて、もともと我々がSoftware ISACに加盟していた縁もあり、実証実験のツールとして「yamory」を提供しています。そうした背景があり、経産省の手引書に「yamory」を唯一の国産のサービスとして掲載いただきました。（詳しくは、こちら。）

山路：SBOMの導入を進めようとしている企業の方々は、この手引書をしっかりチェックされていて、この手引書に載っているのを見て、銀行をはじめとする大手企業様から僕たちのもとにお問い合わせが来ることもあります。

鈴木：ちなみに、業界のいろいろな方とお話しする中で、日本に国産ツールがない、つまり、全て海外製品に頼ってセキュリティ対策をしているという状態は、日本の安全保障の観点からすると良くないというお話を聞いたこともあります。その文脈で、「yamory」に対して、国産ツールであることへの期待をかけてくださる方も多いです。だからこそ、もうこの事業を簡単にはやめられないという気概もあります。

事業づくりを通して、サイバーセキュリティの大切さを日本に啓蒙していく。

──2023年から、鈴木さんは、Software ISAC OSS委員会の副委員長としての活動をスタートしましたね。2023年8月のイベント「日本におけるソフトウェアサプライチェーンとSBOMのこれから」では、「SBOMの継続的な運用フローとリスク管理手法」というテーマで登壇していました。（登壇レポートは、こちら。）

鈴木：日本でSBOMについて語れる人が多くはなく、そもそも国産でSBOMに関するツールを作って提供しているのが我々だけなので、「SBOMについて話してください。」とお願いされることがあり、そういったお声をもらった際は引き受けさせていただいています。

──日本におけるSBOMの第一人者としての認知が広まっていきそうですね。

鈴木：そうなれるように頑張ろうと思っています。事業の成長のためにできることはなんでもやるという気持ちです。「yamory」としての取り組みを挙げると、2週間に1回ぐらいのペースで、その時々におけるセキュリティの必須ワードを盛り込んだセミナーを続けています。

山路：「yamory」のサービス説明だけをするのではなく、時代の流れに合わせたイベント内容にしていこうと事業部で工夫しています。今は鈴木さんだけが話すのではなく、事業部のいろいろな人が話すような形にしています。

鈴木：このようなセミナーを重ねていくことで、参加者の皆さんのセキュリティの理解が深まっていくと思いますし、将来的に、その中から「yamory」のユーザーになってくださる方が出てきたらいいなと考えています。

──「ビズリーチ」が日本においてダイレクトリクルーティングを啓蒙し続けているように、「yamory」は、世の中に先んじてサイバーセキュリティの大切さを啓蒙する事業であり、特に今はその意味合いが強いフェーズなのだと思いました。

山路：お客様との商談時に「yamory」の活用の話をすると、「そこまで徹底的にやらないといけないんですね。」と驚く方が全体の8割ぐらいいらっしゃいます。もともとセキュリティ対策に本格的に取り組まれていないお客様の場合、そもそも担当者がいないし、予算も取っていないというケースも多いです。そうした現状をどのように変えていくかが、僕たち「yamory」のチャレンジです。

現状、セキュリティ対策が十分ではない企業が中小企業・大手企業を問わず非常に多いですが、「yamory」を導入・活用していただくことによって、お客様の事業や会社を守れる可能性は広がりますし、そうした一社一社のお客様からの期待と感謝を積み重ねられることこそが、この事業部で働く大きなやりがいの一つだと思います。

また、1月には初めてユーザー会を開催して、約30名の「yamory」をご利用のお客様にお集まりいただきました。（当日のレポートは、こちら。）僕たちは、2019年8月のローンチの翌年からコロナ禍に入ったこともあり、長い間お客様とのコミュニケーションはオンラインがほとんどでしたが、今後は、このような直接的な交流の場も大切にしていきたいと思っています。

「yamory」を進化させ続けていく上で、海外の動向などをキャッチしながら、今後お客様にとって必要になるであろう機能を見定め、できる限り早く実装できるように努めていますが、一方、このような場でお客様から直接ご意見をいただくことで、非常に多くの学びや気付きを得られます。これからもこうした場を大切にしながら、お客様の声に応えられるようなサービスへと「yamory」を磨き続けていきます。

──単独のスタートアップではなく、Visionalグループの一事業としての「yamory」だからこそ生まれる事業づくりの可能性や面白さなどがあれば教えてください。

山路：前提として、僕たちがやろうとしているのは、世の中に大きなインパクトを与えていくまでに非常に時間がかかるビジネスです。だからこそ、Visionalから継続的な投資を受けられることのメリットはとても大きいです。

また、Visionalのサイバーセキュリティー領域の事業は「yamory」だけではなく、セキュリティ評価プラットフォーム「Assured」もあります。自社が開発するサービスを守る担当者と、自社にSaaSを導入する担当者が被っている企業も多いので、その場合は、僕たちが「Assured」の皆さんと一緒に商談することもあります。また、「yamory」と「Assured」が事業部の垣根を越えて連携することも増えています。実際に、2つのサービスを導入・活用してくださっている四国銀行様のように、僕たちが多角的に企業のセキュリティ対策を支援するケースも生まれ始めています。

──最後に、今後の展望や構想について教えてください。

鈴木：お客様が抱える様々なセキュリティのお困りごとに対して、今後、我々が価値提供できる幅を今以上に広げていきたいと思っています。一企業のシステム全体を守るためには、例えば、自分たちが書いたコードの脆弱性対策やインフラの脆弱性対策などを含めた複合的な対応が求められます。さらに、穴を塞いだとしても年々サイバー攻撃の種類は多様化しているので、しっかりログを監視しながら安心・安全を守り続けていく必要があります。そうした体制を構築するために、我々ができること、やっていかなければいけないことはまだまだたくさんあると考えています。

山路：この約10年間を通して見ると、サイバー攻撃の回数は飛躍的に増えており、それに伴い世の中全体のインシデントの数も大きく増えています。日々ニュースなどでも話題になっていますが、この数年においても深刻な被害を受けたケースが相次いでいます。これから先の5年、10年を見据えると、セキュリティ対策は、当たり前に取り組むべきものとして今まで以上に大切なテーマになっていくはずです。先ほど鈴木さんが言ったように、今の段階で僕たちがカバーできている領域は一部でしかないので、その領域を徐々に広げながら、「yamory」を多角的なリスクを一元的に管理できるようなサービスに成長させ続けていきたいです。

関連記事

この記事の執筆担当者

「All Visional」Xアカウントは、こちら。