ヤモリが ScanNetSecurity の壁に貼り付くまで～国産脆弱性管理クラウド「yamory」

　少し前のことだが、ユーザー企業に勤務してセキュリティの仕事を担当する本誌読者の方と、直接お会いして話をする機会があった。まだお若いのに CISSP で、当時転職先を探していた。

　「どこかセキュリティの会社に行くご予定ですか」と尋ねると、「セキュリティ専門企業も面白そうですが、私はあくまでユーザー企業のセキュリティ担当者として仕事をしたいんです」とハッキリそう語った。

　「セキュリティ企業はあくまで顧客のシステムを守るのが仕事ですが、ユーザー企業のセキュリティ担当は、自分の会社の資産や知財を守るのでそういう仕事をしたい」のだという。胸に残る言葉だった。自分たちが守るのはシステムではなくもっと他のもっと大事なものと言っているかのように聞こえたからだ。

　あたりまえだが、セキュリティに関してはユーザー企業こそが真の当事者である。セキュリティという仕事に携わる人の志（こころざし）や倫理、まっすぐさのようなものが垣間見えた気がして記憶に残った。専門企業の役割の重要性は変わらないが、セキュリティの原点はユーザー企業にある。

　この記事で紹介する脆弱性管理クラウド「yamory（ヤモリー）」もまた、ユーザー企業の現場の課題から生まれたプロダクトである。ビズリーチなどのサービスを手がけるVisionalグループの脆弱性管理の現場から yamory は生まれた。株式会社アシュアード執行役員 yamory 事業部事業部長山路昇（やまじのぼる）氏に話を聞いた。

山路昇　楽天にエンジニアとして入社し、楽天トラベルの開発や、インフラなどシステム全般を担当。その後、旅行のクチコミサイトフォートラベルで CTO、共同購入型クーポンサイトであるグルーポン・ジャパンで CTO、ラグジュアリーブランドの中古品を扱う EC サービスであるザ・リアルリアルの日本法人代表など、さまざまなインターネットサービスの立ち上げに携わる。2015 年から株式会社ビズリーチに入社、スタンバイを始めとする新規事業の立ち上げを行い、脆弱性管理クラウド「yamory」に 2020 年から参画、現在 yamory 事業部の事業部長を務める。

● 課題の大きさと国産プロダクトの少なさ～ yamory 開発の背景と目的

　yamory は 2019 年にリリースされた、Visionalグループ発の国産セキュリティプロダクトで、ビズリーチの運営で培ったセキュリティ保護の企業文化から生まれた。同グループが開催する社内の新規事業創出コンテストで採択され開発された。

　きっかけは、ビズリーチで Java の Struts 等々の脆弱性管理にエンジニアが苦労していたこと。世のエンジニアの負荷軽減を目的としてコンテストに企画提案された。

　ビジョナル株式会社代表取締役社長南壮一郎氏は、サイバー攻撃の脅威が急拡大している背景と、その脅威に対峙するために重要な脆弱性管理にまつわる課題の大きさ等から開発を承認したという。また、既存の海外製の脆弱性管理製品ではVisionalグループの運用実態に合わないという課題も同時に存在していた。

　yamoryは、企業のソフトウェア資産管理と脆弱性の一元管理を実現するツールだ。ITシステムに潜む多岐に渡るリスクを検知から対策までを可能にすることで、運用の効率化とセキュリティレベルの向上に寄与する。システム内のソフトウェア一覧とバージョンを自動で収集し、独自の脆弱性データベースと照合。複数の特許を取得したオートトリアージ機能によって「インターネット公開状況」「攻撃コードの存在」などから危険度を総合的に判断し、対応すべき優先順位を自動設定する。

　「オンプレミス」「AWS」「Google Cloud」「Azure」など様々な環境に対応したマルチクラウド・ハイブリッド環境での運用が可能で、脆弱性管理だけでなく、CSPM（クラウド設定不備）やOSSのライセンス違反検知、EOL管理といった多角的なリスク検知機能を提供する。SBOM 出力にも対応し、経産省の SBOM 導入の手引に国産ツールとして yamory が紹介されている。

●コロナ禍の直撃を経てブレークスルーまで

　yamory 事業は創業当初、大いに苦戦したという。コロナ禍で潜在顧客へのアプローチが充分にできなかったし、リモート勤務でメンバー同士が十分にコミュニケーションが取れなかった。また、サービス開始初期はフレームワークライブラリの脆弱性しか見つけられず、OS やミドルウェアには対応していなかった。

　山路氏はそれまで求人検索エンジンの「スタンバイ」や、転職サービス「ビズリーチ」の業務に関わっていたが、2020 年から yamory に参画、山路氏の合流後 OS やミドルウェアの脆弱性検出機能が開発され実装された。

株式会社アシュアード執行役員 yamory 事業部事業部長山路昇氏（撮影：宮川舞子）

　事業の風向きが変わったのは、AWS、Google Cloud等の CSPM 機能を開発したタイミングからだった。初期は先進的な IT 企業のアーリーアダプターが yamory ユーザーの中心だったが、次第に大手企業や非 IT 企業からの問い合わせが増加していた。

　しかし、これらの大手企業の多くは、サーバの台数が従来の 10 倍以上と非常に多く、たとえば 500 台といった規模のサーバに 1 台ずつエージェントをインストールするのが大きなハードルとなっていた。

　そこでyamoryは、AWS アカウントと yamory を連動させるだけで全サーバをスキャンできる「クラウドアセットスキャン機能」を開発し、2024 年 1 月にリリースした。この機能により yamory は転機を迎える。

　アカウント連動するだけで数百台、数千台のサーバや資産をスキャンできる機能を準備したことで、検証や導入負荷が大幅に下がり、これにより事業がドライブし始めたのだ。

●選ばれる理由～特許取得の自動化技術

　yamory 導入企業の多くが、オートトリアージ機能などの「自動化」によるメリットを決定要因として挙げている。再度説明するとオートトリアージ機能とは、脆弱性ごとに流通している攻撃コードを収集し、悪用される可能性の高い脆弱性をリスクの大きさに応じて自動で分類するもので、2020 年に特許を取得している（特許第6678798号、特許第7008922号）ほか、2024 年にはアメリカ合衆国の特許も取得した（特許番号：US12,013,948）。

　yamory は自動的にセキュリティリスクを可視化し、優先順位付けを行うため、たとえ経験の浅い管理者であっても、自分がいま何をやるべきか明確になる。また、yamory 担当者が丁寧にサポートし、直接コミュニケーションをとることで改善や機能要望が反映されやすいこと、日本語ドキュメントが充実していることなど、国産プロダクトならではの優位性もある。

　yamory のサービスサイトで導入事例として紹介されている、サイボウズ株式会社の記事によれば、同社では当初 2 名のエンジニアが属人的に脆弱性チェック作業を行っていたが、yamory を導入したことで脆弱性管理業務が 45 人日から 10 人日に削減され、月間 35 人日、年間 420 人日分の作業が自動化された。エンジニアは、より高度なセキュリティの仕事に従事できるようになり、会社全体のセキュリティレベル向上に寄与したという。

●今後のロードマップとパートナー施策

　今年1月にはクラウドアセットスキャン機能の対応範囲を拡張し、AWS に加え Azure におけるアカウント連携が可能になった。今後は他のパブリッククラウドへの対応も予定しており、様々な環境を有している大手企業や、政府、地方自治体への導入に注力していく。

　現在の yamory の販売体制は直販中心だが、今後の重要な成長要因としてパートナープログラムの充実と拡大を据えている。戦略的なパートナーシップを通じて、より多くの企業に yamory の価値を届ける販売チャネルを強化していくという。現在、複数の大手企業やITサービスプロバイダー各社が yamory のパートナー契約を締結しており、協業を通じお客様への提供価値を高めている。

　パートナー各社による yamory の評価は「日本語での問い合わせ対応のスピード」「海外製品と比較して遜色ない検出精度」などが挙げられている。

　精度に関して付記しておくと、以前、とある大手企業が、自社に最適な脆弱性管理基盤を構築するために、国内外の主要製品の網羅的比較を実施した際、その比較検討のプロセスで yamory は「検知機能の高さ」「国産ならではの運用適合性」「特許技術の自動化機能」などが高く評価された実績があるという。

このプロダクトが持つクラウドアセットスキャンなどのスケーラビリティ、複数の特許を取得する技術力、経験の浅い担当者や少人数チームでも運用可能という、理想論を追わず現実的課題を解決しようとする姿勢等々、この現場ニーズ起点の国産セキュリティプロダクト、脆弱性管理クラウド「yamory」の伸び代に今後も期待したい。