今回は、Visionalグループのサイバーセキュリティ事業「yamory」の取り組みについて紹介します。

2021年8月26日、脆弱性管理クラウド「yamory」が、OS、ミドルウェア・開発言語の脆弱性管理機能と、ライセンス違反を検知する機能を提供開始しました。新機能により、ITシステムの脆弱性とオープンソースのライセンス違反を一元管理できる国内初（※当社調べ）のサービスとなります。

「脆弱性」とはプログラムの不具合や、設計上のミスが原因となって発生した欠陥のことを指します。家に例えれば、玄関のドアや窓の鍵を締めていたとしても、虫食いなどの何かしらが原因でわずかな穴や隙間が空いてしまい、そこから何者かに侵入されてしまうリスクがある状態です。

そして、実にサイバー攻撃の85％以上が、この脆弱性を悪用したものであることが分かっています（※ZDNet Japan「サイバー攻撃の85％は良く知られた脆弱性を悪用したもの──ベライゾン調査」2016年6月）。DXが進む社会での経営においては、これらのサイバー攻撃のリスクを軽減するために脆弱性の管理・対策をすることが、非常に重要となります。

また、インターネット上で無料で配布されているオープンソースは、今やほとんどのサービスに使われています。オープンソースには「オープンソースライセンス」といわれる利用条件が定められていて、それを違反することによって損害賠償請求や、ソースコードの開示請求をされるケースが多数発生しており、経営における重大なリスクとなっています。

これらのリスク対策をクラウド上で行い、「情報漏洩リスクをゼロにする」ことを目指しているのが、脆弱性管理クラウド「yamory」です。今回は、サイバーセキュリティ領域で20年以上の経験を持つ「yamory」事業責任者の高橋則行さんに、「yamory」がリリースした新機能や、これから実現したい未来について聞きました。

プロフィール

高橋 則行／Takahashi Noriyuki
1997年に入社したインターネットセキュリティ関連ソフトウェアを展開するデジタルアーツ株式会社で、創業期からCTOを務める。2018年に事業コンサルティングやセキュリティプロダクトを展開するLinkblue株式会社を立ち上げ、Founder & CEOとして経営を担いながら、2020年よりビジョナル・インキュベーション株式会社に参画。2020年8月より、脆弱性管理クラウド「yamory」の事業部長を務める。

セキュリティ領域の課題解決を通じて、日本を活性化させたい。

──高橋さんは、2020年8月に「yamory」の事業責任者に就任しましたが、はじめに、Visional、そして「yamory」に参画した背景やきっかけについて教えてください。

「yamory」は、2019年8月にローンチしてから2周年を迎えます。私はローンチ前の2019年のはじめから、ビジネスコンサルタントとして、自身の会社を経営しながら「yamory」の立ち上げのサポートをしてきました。その後、2020年頃から本格的に事業に入り込み、同年8月から事業部長に就任して、ちょうど1年ほど経ったところです。

それまでは、デジタルアーツというセキュリティ商材を扱う会社に創業期の1997年から開発メンバーとして参画し、CTOやCOOを務め経営に携わってきました。そのなかで、IPOという大きな節目も経験し、2010年頃からは海外展開やオフショア拠点立ち上げなども担ってきました。

これらの経験を生かして、日本を活性化させるため、社会的課題に立ち向かっていきたいと思った時に、一社だけでなく、様々な会社の事業支援ができないかと考え2018年に独立しました。

その後間もなく、Visional代表の南（壮一郎）さんとたまたま知り合う機会があり、セキュリティ領域で新規事業を立ち上げるというお話を聞きました。

長年この業界に身を置いてきた私からすれば、国内でセキュリティ領域に挑戦しようとしていること自体に非常に驚いたと同時に、その志にとても感銘を受けました。なぜなら、業界特性上、参入のハードルが高く、また、欧米と比較すると成長過程にある市場に挑戦しようとする日本の会社は極めて少なく、ほとんどが海外製品の輸入（販売代理）に頼っているのが現状だからです。

私がデジタルアーツの創業に携わり始めた1997年は、まさにIT革命真っ只の時代。当時の日本にはインターネットセキュリティという概念がなかったなかで、その重要性を0から唱え、事業づくりをしながら、自分自身も一緒に成長してきました。

そうしたこれまでの経験や知見を生かしながら、国産のセキュリティ事業をまた0から立ち上げたい。そして、DXが進むなかますます深刻化しているセキュリティの課題解決に再び挑みたい。その想いから、「yamory」にジョインすることを決めました。

──「日本を活性化させたい」という想いが、高橋さんの原動力になっているのですね。そして、これまでほとんどの企業が参入してこなかった高い壁に、「yamory」が立ち向かい、ブレイクスルーしようとしていることがよく分かりました。続いて、先日リリースした新機能について教えてください。

8月26日にリリースした新機能により、「yamory」は国内で初めて、脆弱性とオープンソースのライセンス違反を一元管理できるサービスとなりました。

これまではアプリケーション内におけるライブラリ・フレームワークの脆弱性を検知の対象としてきましたが、今回のリリースでOSとミドルウェア・開発言語の脆弱性、さらにはオープンソースライセンス違反までも含めて一元管理ができるようになります。

──どのような背景で、今回の新機能のリリースに至ったのでしょうか？

もともと「yamory」は、Visional（当時は、株式会社ビズリーチ）のエンジニア自身が、開発において直面していたセキュリティに対する課題をもとに立案され、開発者向けツールとして展開が始まりました。

「新しい可能性を、次々と。」をミッションに掲げるVisionalでは、常に新しい事業、新しい機能開発が同時多発的に進行している状態で、開発時のセキュリティ対策を模索している状況でした。

リポジトリをダイレクトに見るツールがないかと調べてみると、国内にはないものの、海外にそうしたツールを提供している成長企業があることが分かりました。そうであれば、アプリケーションを対象とした脆弱性管理のサービスを自分たちで立ち上げようということで、2年前の2019年8月に「yamory」がローンチされました。

その後、様々なお客様のニーズを深堀りしていくなかで、保守運用のサーバーにおける脆弱性対策に課題をお持ちの企業様が多いことが分かってきました。実際に日本において、開発段階でセキュリティに投資をする企業は限られており、多くの企業は一度開発したサービスを保守運用することにコストをかけている状況だったのです。そして、そこでは企業やお客様の大切なデータが管理されているため、サイバー攻撃などのリスクから最優先に守りたい箇所であることが実態として分かってきました。

「yamory」のローンチ時にフォーカスしたアプリケーションにおける脆弱性対策ももちろん大切ですが、サーバーも一元管理することができれば、「お客様の本質的課題解決」につながるのではないかと考え、今回の新機能開発に着手することになりました。

お客様の本質的課題解決の先に、脆弱性対策が当たり前の世の中を目指す。

──実際にお客様にサービスをご利用いただくなかで、本質的な課題を見つけていったのですね。今後、「yamory」が実現したいことについて教えてください。

「yamory」は、「情報漏洩リスクをゼロにする」というキーメッセージを掲げています。世の中における基本的なセキュリティ対策が強化されている状態を目指していくために、企業の業種や規模を問わず、究極的にはDXを進める全ての企業様にご利用いただけるサービスになりたいと心の底から思っています。

そしてその実現のために、どのような企業様もご利用いただけるような使いやすいサービスにしていく必要があります。現段階では、脆弱性を可視化し、対策について通知するところまでですが、今後はパッチ処理やテストまで、脆弱性対策そのものを自動化していくことを構想しています。

ここは人手に頼らずにオートメーション化しやすいところだと思いますし、そこまでやらないと構造自体を変え、脆弱性対策が当たり前となる世の中を実現することはできないと考えています。

ちなみに、経済産業省様が発表しているレポートで、「2025年の壁」という言葉が注目を集めました。そのレポートでは、2025年には不足するIT人材が約43万人まで膨れ上がるだろうと予測されています。このIT人材には、もちろんセキュリティ人材も含まれています。こうした人材面の課題に対しても、脆弱性対策の自動化によって対処していけると考えています。

───脆弱性対策が当たり前に行われる世の中を目指す「yamory」は、ビズリーチが「ダイレクトリクルーティング」という新しい採用のあり方を地道に啓蒙してきた過程を思い起こさせます。脆弱性対策が、日本の企業に当たり前のものとして浸透していった先の未来について、どのようにお考えでしょうか？

DXのスピードが上がることで、新しい可能性が次々と生み出される世の中こそ、セキュリティを担保した先にある未来だと思っています。

脆弱性対策が当たり前のものとなれば、セキュリティリスクを恐れるがためにできていなかったことができるようになり、セキュリティ対策によるシステム開発の遅れなども改善していけます。そうした環境が実現することで、それぞれの企業は、安全性を担保しながら、よりスピーディーに、そして革新的なものづくりを推進していくことができるでしょう。

──Visionalは、グループとして、産業のDXを推進する事業をつくっていくことを目指していますが、まさにVisionalが取り組むべき課題に対して「yamory」は挑んでいるのですね。

まさに、「yamory」は世の中のDXを推進していく一助になりたいと思っていますし、それこそが、Visionalとしてサイバーセキュリティ事業を推進する意義だと考えています。

実際に、経済産業省様や総務省様のレポートでも、サイバーセキュリティの課題に触れられており、今後のアクションプランも具体的に定められているほどです。国としても非常に重要な課題として捉えていることがわかります。

「yamory」も、昨年は経済産業省様のリサーチに協力させていただき、今年は総務省様のワーキンググループにも参加させていただいています。今まさに、脆弱性対策の重要性をどのように浸透させていくかについて、業界の皆さまと一緒に議論しているところです。

──非常に大きな課題に取り組んでいくということで、これからの「yamory」がとても楽しみです。Visionalでは「事業づくりは、仲間づくり」という言葉を大切にしていますが、「yamory」が事業づくりをしていくうえで、仲間になっていただく方にどのような機会を提供できると考えていますか？

まず、新たなセキュリティ商材を自分たちでつくるという経験は、非常にレアなプラチナチケットになると思います。

今はプロダクトマーケットフィットを目指して、「お客様の本質的課題解決」につながる提供価値を模索し、事業を磨き上げている段階ですが、これからもっと「yamory」というサービスを世の中に広めていった時に、「『yamory』を自分たちがつくった」と言えることは一つの誇りになるはずです。これほどまでに世の中に大きなインパクトを生み出す可能性のある事業づくりに携わる経験は、他ではなかなかないのではないでしょうか。

また、エンジニア、ビジネス、それぞれの観点でも、学びの多い環境だと思っています。エンジニア観点では、エンタープライズの企業様にもご利用いただくサービスですので、より一層高いレベルのプロダクトを求められ、もちろん堅牢性も重要となります。そのためには、フルスタックでの技術も要求されます。

ビジネス観点では、対峙するお客様の決裁部門の方々はCXOなど経営に近い方々となります。そのような方々への提案経験は、BtoBセールスの経験として大変貴重だと考えています。

──最後に、この記事をお読みの方へメッセージをお願いします。

2周年を迎えた今も、「yamory」はまだまだ創業期です。これから仲間として参画していただける方には、創業メンバーとして、一緒に事業をつくっていって欲しい思っています。

セキュリティは、技術革新が進む世の中において非常に大きなテーマであり、それに対して十分な対策ができていないのが日本の現状です。だからこそ、これからもこのチャレンジングな課題に向き合い、脆弱性対策が当たり前の世の中を目指していきたいと思っています。

この記事の執筆担当者

本田 沙貴子／Honda Sakiko
青山学院大学 総合文化政策学部卒業後、新卒1期生としてビズリーチに入社。新卒採用担当を経て、新卒事業（ビズリーチ・キャンパス）立ち上げのタイミングで法人営業を経験。その後、広報としてサービスおよびコーポレートPRを担当。2020年2月のグループ経営体制移行後は、ビジョナル株式会社 社長室 グループコミュニケーショングループにて、VisionalのグループPRや、社内外のコミュニケーションに関する様々な取り組みに携わる。

「All Visional」Twitterアカウントは、こちら。