社員からの起案によって生まれたサイバーセキュリティ領域の事業「yamory（ヤモリー）」。2020年4月、独立行政法人情報処理推進機構（IPA）様から、このサービスの有効性を評価していただきました。また、2020年5月には「yamory」に搭載されている技術「オートトリアージ機能」が特許を取得しました。

今回は、サイバーセキュリティ事業部・ビジネス開発グループのマネージャーを務める明石衛さんに取材を行い、「yamory」の起案からリリース、そして現在に至るまでの経緯を語ってもらいました。

※本記事のトップ写真は、在宅勤務への移行前に撮影したものです。

プロフィール

明石 衛／Akashi Mamoru
慶應義塾大学卒業後、大学院に進学。専攻は金融論。博士課程在籍中に、三菱経済研究所研究員を兼務。2012年よりボストンコンサルティンググループに入社。コンサルタントとして4年間務めた後、株式会社フロムスクラッチに入社。経営企画室、開発ユニット等でマネージャーを務める。2018年11 月、株式会社ビズリーチに入社。現在は、ビジョナル・インキュベーション株式会社のサイバーセキュリティ事業部において、ビジネス開発グループのマネージャーを担当。

サイバーセキュリティ領域における社会課題の解決を目指す

──今回は、オープンソース脆弱性管理ツール「yamory」についてお聞きしていきます。よろしくお願いします！

「yamory」チームの取り組みを、Visionalの仲間たちをはじめ、たくさんの方にお伝えしていきたいと思っています、よろしくお願いします！

──Visionalの各事業は、世の中の様々な課題の解決を目的としていますが、「yamory」は、どのような課題を解決するためのサービスなのでしょうか？ 「All Visional」の読者へ向けて、説明をお願いします。

「yamory」は、サイバーセキュリティ―領域の課題を解決するために生まれたサービスです。

昨今、モバイルデバイスやクラウド、IoTなど、様々な技術の変革が起きていることに伴い、サイバー攻撃の増加といったサイバーセキュリティの問題が増加しています。実際に、サイバー犯罪が世界経済にもたらす損失は、2014年の5,000億ドルから、2018年の1.5兆ドルにかけて、約3倍に増加している、というデータもあります。

こうした背景のなか、世界的に、サイバーセキュリティ人材の不足といった問題が顕在化しており、多くの企業がサイバー攻撃への事前対策において出遅れてしまっているのが実態です。

日本においても、2014年、政府が「サイバーセキュリティ基本法」を制定。2017年には、経済産業省が「サイバーセキュリティ経営ガイドライン」を発表しました。今やサイバーセキュリティは、日本の国家レベルの課題の一つなのです。

──続いて、サービスのミッション、サービス概要について簡単に説明をお願いします。

私たちは、「すべてのエンジニアにセキュアな開発を。」というミッションを掲げています。

サービス概要について一言で説明すると、オープンソースのセキュリティ上の脆弱性、つまり「穴」を見つけて、リアルタイムで開発エンジニアに共有するサービスです。

順を追ってご説明していきますね。オープンソース（OSS＝Open Source Software）とは、ソースコードが公開された無償で利用できるソフトウェアのことで、昨今の IT/Web システムの開発においては、このオープンソースの利用が主流となっています。アメリカの調査結果では、商用アプリの96％でオープンソースが利用されていることが明らかになっており、今後もその割合は増加すると考えられています。

世界のサイバー攻撃の内訳を見ると、「オープンソースの脆弱性を突いた攻撃」が全体の85％に及ぶことが分かっています。サイバー攻撃が増加するなか、企業にはオープンソースの管理や脆弱性への対策強化が求められていますが、オープンソースの管理や脆弱性情報の収集、対応などを人の手で行うことは運用負荷の高い作業となり、先ほどもご説明したセキュリティ人材の不足と相まって、多くの企業にとって大きな負担となっています。

「yamory」を利用することで、システムで利用されているオープンソースを自動抽出し、利用状況を瞬時に把握することができます。そして、発見した脆弱性について、その深刻度をもとに対処すべき優先順位付けを行います。この機能を「オートトリアージ機能」と呼んでいます。

──先日、この機能が特許を取得したことが発表されましたね。「オートトリアージ機能」によって、開発エンジニアは、どのようなメリットが得られるのでしょうか？

「オートトリアージ機能」により判別された脆弱性情報は、画面上で可視化されるため、ユーザーは対応の優先度が高い脆弱性を一目で把握し、脆弱性の管理や対応にかかる作業工数を大幅に削減することが可能です。

ちなみに、「トリアージ」とは、あまり馴染みのない言葉かもしれませんが、本来は、医療現場において多数の患者が出た時に、患者の重症度に基づいて治療の優先度を決定する、という意味があります。

部署を超えたエンジニア同士の助け合いによって開発・改善を進めていく

──この事業が、ビズリーチ社から生まれた経緯について教えてください。

ビズリーチ社は、「ビズリーチ」や「キャリトレ」をはじめ、お客様やユーザーの大切な個人情報を預かる事業を数多く展開しています。事業が増え、組織が拡大するなかで、そうした個人情報を守り続けていくために、私たち自身がサイバーセキュリティの重要性を再認識したことが、「yamory」が立ち上がるきっかけとなりました。

当時、「キャリトレ」のプロダクト開発部で部長を務めていた鈴木康弘さんの起案により、事業化に向けて動き出しました。

──リリースまでの経緯について教えてください。

サービス開発・技術開発にあたっては、ビズリーチ社のエンジニアたちから、惜しみないサポートを受けることができました。社内のエンジニアの協力があったからこそ、何度も検証を重ねながらリリースに向けて開発を進めることができました。

特許を取得した「オートトリアージ機能」も、社内のエンジニアに試用してもらい、また、率直なフィードバックをもらうことで生まれた機能です。

また、開発を進めることができただけでなく、社内のエンジニアからヒアリングする過程で、本質的な製品コンセプトを発見することができ、それが今の「yamory」のサービス設計に繋がっています。

いくつものITプロダクトを作り、運営しているビズリーチ社で立ち上がった事業だからこそ、このように、仲間に助けられながら開発を進めることができたと思っています。僕は2018年11月にビズリーチ社へ転職してきたのですが、新しい事業の立ち上げに向け、それぞれ異なる部署に所属するエンジニアたちが一丸となり、積極的に応援してくれていることに、とても驚きました。仲間を大切にするカルチャーは、ビズリーチ社、そして、グループ経営体制へ移行したVisionalの大きな強みだと思います。

「yamory」チームから、Visionalのエンジニアたちへ伝えたい想い

──2020年4月、IPA様の中で発足された「サイバーセキュリティ検証基盤構築に向けた有識者会議」において、「yamory」の有効性を評価していただけましたね。

はい。この会議は、経済産業省による、日本発の新たなセキュリティ製品の市場参入を促進するための動きを受けて発足されたものなので、今回、IPA様から認可をいただけたことは、私たちとして、とても励みになりました。

※詳細はこちら

──IPA様にyamoryの有効性を評価して頂くまでの経緯について教えてください。

きっかけは、IPA様から声をかけてくださったことでした。先方が、国内発のサイバーセキュリティ―サービスをリサーチする過程で、「yamory」を見つけてくださったのです。

IPA様は、実際にお会いする前から「yamory」について入念に調べてくださっていて、有効性検証の試行について話し合いを重ねるなかで、「これまでは、各企業のセキュリティエンジニアが独自の判断をしていたが、『yamory』を使えば、属人化を防ぎ、客観的な対応ができるようになる」と評価してくださりました。

また、IPA様のみなさまに、「yamory」が掲げているミッション「すべてのエンジニアにセキュアな開発を。」に共感していただけたことも、私たちとしては自信に繋がりましたね。

──仲間たちの協力を得ながら開発・改善を続けている「yamory」が、こうして評価していただけたことはとても嬉しいですね。この記事を通して、Visionalのエンジニアへ伝えたいことはありますか？

Visionalのエンジニアには、いつも多大な協力をいただいていて、本当に感謝しています。

お客様とコミュニケーションをするなかで、「Visionalのエンジニアたちにサポートしてもらいながら開発・改善を続けている」という話をすると、「とても素晴らしい文化ですね」というお言葉をいただくことも多いです。改めてになりますが、この助け合いの文化が根付いていることは、本当にVisionalの強みだと思っています。

「オートトリアージ機能」がIPA様から評価をいただけたことも、そして特許を取得できたことも、Visionalの仲間たちに恵まれていたからこそ、辿り着くことができた成果です。今回、この記事を通して、「yamory」が前進していることを、いつも支えてくれている仲間たちへ伝えたいと思います。

これからも、全てのエンジニアが安心して開発できる世界を作るために、新しい挑戦を続けていきます。今後とも「yamory」をよろしくお願いいたします！

──本日は、ありがとうございました！

ありがとうございました！

この記事の執筆担当者

松本 侃士／Matsumoto Tsuyoshi
1991年生まれ。慶應義塾大学総合政策学部卒業。2014年、音楽メディア企業に新卒入社し、音楽雑誌・ウェブサイトの編集や、採用などを経験。2018年、株式会社ビズリーチへ編集者として入社。現在は、人財採用本部・採用マーケティンググループで、「ALL VISIONAL」の運営などを担当している。

「All Visional」Twitterアカウントは、こちら。