ビズリーチ、オープンソースの脆弱性管理ツール「yamory」提供開始、対応優先度の分類や通知も自動化

（左から）株式会社ビズリーチ取締役の竹内真氏（CTO兼CPO）、同社代表取締役社長の南壮一郎氏

　株式会社ビズリーチは27日、オープンソース脆弱性管理ツール「yamory（ヤモリー）」をリリースした。

　yamoryは、社内システムのオープンソースソフトウェア（OSS）の利用状況の把握、脆弱性などの情報収集・照合、対応の優先順位付け、対応策の通知を自動的に行うツール。これまで、セキュリティ担当者が手動で行うことの多かったセキュリティ対策の工数を削減できるとしている。

　同サービスの利用料金やライセンス体系については未定。現在、無料トライアルで提供されており、専用フォームから申し込むことができる。

求人検索エンジンで培った技術を生かして構築した脆弱性情報データベース

　yamoryでは、開発言語やビルドシステム／パッケージ管理システムに応じて最適な脆弱性スキャン方法を提供するという。対応言語は、Java、Ruby、Scala、PHP、Python、JavaScriptで、今後はGolang、C#もサポートする予定。

　GitHubアカウントとの連携が可能で、GitHubで管理しているリポジトリ内のマニフェストファイルを自動スキャンできるほか、脆弱性のアラートをSlackで通知する機能も備える。今後は、「GitLab」やプロジェクト管理ツール「Jira」との連携にも対応する予定。

　また、リポジトリやプロジェクトをスキャンして検出された脆弱性を対応優先度別に分類する「オートトリアージ」機能を備える。具体的には、1）脆弱性が検出されているシステムが外部から攻撃可能な状態か、2）CVSSで「Critical」または「High」に相当する脆弱性か、3）検出された脆弱性に関連する攻撃コードが流通しているものか、などを判断して優先度を分類する。

　脆弱性の情報を収集・照合するためのデータベースは、同社が2015年にリリースした求人検索エンジン「スタンバイ」で培われた技術を生かしているという。インターネット上に公開されているセキュリティ関連の情報をクローリングすることで、迅速に脆弱性に関する情報を集約できるとしている。

セキュリティ対策にかかる工数を削減、ITエンジニアのシステム開発の生産性向上へ

　ビズリーチはこれまで、転職サイト「ビズリーチ」や事業承継M&Aプラットフォーム「ビズリーチ・サクシード」など数々のサービスを手掛ける中で、サイバーセキュリティの問題にも直面してきたという。サイバー犯罪による経済損失が急速に拡大しているものの、サイバーセキュリティ人材が不足していることや、サイバーセキュリティ市場規模が今後5年間で約2.2倍に拡大する見込みもあることなどから、セキュリティ事業へ参入することになったと説明する。

　ビズリーチ取締役の竹内真氏（CTO兼CPO）は、yamoryではオートトリアージ機能が類似サービスとの差別化を図る「ユニークな機能になる」と説明する。サイバーセキュリティ人材が不足している中で、対策の優先順位を自動的に決定付ける同機能が重要な役割を果たすとしている。

　同社では、オープンソースの脆弱性を管理しやすい環境を構築することで、セキュリティ対策にかかる工数を削減し、ITエンジニアのシステム開発の生産性向上を目指すとしている。

　なお、サービス名の由来は、縁起のいい生き物とされる「ヤモリ」。害虫を食べたり、環境により皮膚の色を変えるなど「状況に合わせて大切なものを守ってくれる存在という思いを込めて名付けた」という。