ビズリーチは本日(2019年8月27日)、自社サービスで使われるオープンソースにおける脆弱性情報を自動で収集し通知する新しいサービス「yamory(ヤモリー)」を発表しました。有料で提供されるSaaS型のサービスで価格は各社の開発状況に応じて見積もりを行うとのことです。
ビズリーチは2009年4月創業。転職サイトや求人検索エンジンなどのITサービスを展開する企業として今や1300名規模に成長する一方で「インターネットサービスにおけるサイバーセキュリティの重要性を感じ」(ビズリーチ代表取締役社長南壮一郎氏)社内向けに「yamory(ヤモリー)」の提供を開始。今回、時流の変化に合わせてプロダクトとして世に公開しました。
商用サービスのほとんど使われるオープンソースの脆弱性
ビズリーチ取締役CTO兼CPO竹内真氏は「商用サービスの78%でオープンソースが使われており、そのほとんどで脆弱性が報告されており、実際にそこから生じたセキュリティホールを突いた攻撃が85%と深刻化しています。
一方で、サービスに対する攻撃は10年で約21.8倍(1IPあたり)と深刻化しており、早急な対応が求められていますが、セキュリティ技術者不足などの理由でそもそもセキュリティ専門部署ないなど危機的な状況といえます」。
数千にまで及ぶこともある脆弱性情報に対応
「yamory(ヤモリー)」は、社内で開発中のリポジトリの中から使用しているオープンソースを自動で判別し、オープンソースの脆弱性を提供する複数のレポートサイトから情報を収集します。
しかし、脆弱性情報の報は、数百、数千にまで至るコトが多く、そこでオートトリアージという特許出願中の独自技術で対応の優先順位を算出し、危険なものを自動通知する仕組みを提供します。
対応が必要な脆弱性情報には、セキュリティ担当者がアサインできるようになっており、Slackなどでも通知される仕組み。面倒な調査をすることなく自動で何を誰が対応すべきかまで絞り込めるようになっています。
「yamori(ヤモリー)」はリリースまでにビズリーチ社内はもちろん12社がテスト導入済み。セキュリティ担当者を雇うコストと比較して圧倒的なROIで導入できるのが売りとのことです。
【関連URL】
・[公式] yamory(ヤモリー)
