株式会社アルファドライブ様

「yamoryなら信頼できる」品質と開発スピードを両立した脆弱性管理

新規事業の創出と開発に向けた組織活性化や人材育成を行う株式会社アルファドライブ様は2018年創業。「新規事業が生まれ続ける」組織設計や制度作りを行っています。また、新規事業開発支援サービス「Incubation Suite」などのSaaSの自社開発を積極的に行っており、脆弱性管理クラウドyamoryをCI/CDツールと統合して、開発チーム全体で2022年5月から活用しています。

取材時に「私自身がyamoryが好きでファン」と破顔一笑した、執行役員CTO/ニューズピックス技術フェローの赤澤氏にお話をうかがいました。

株式会社アルファドライブ様
新規事業の創出と開発支援を行い、新規事業開発を支えるSaaS「Incubation Suite」や、人材育成と組織改革のプラットフォーム「NewsPicks Enterprise」などを提供

業種　　　コンサルティング/SaaS

掲載日　　2022年8月

課題

• アルファドライブ様ではプロダクト開発の初期フェーズからいかに「セキュリティ」と「オブザーバビリティ（可観測性）」を高めるかを極めて重要な課題と認識していた
• 開発の後工程でセキュリティ品質を上げようとすると手戻りが発生するため、初期段階からセキュリティを担保するツールを探していた
• 定期的に行う脆弱性診断への対応はCVSSのスコアをもとに対応方針を決定していたが、現実の深刻度を判断する基準はCVSS以外にもあると考えていた

• セキュリティを保証して状態を可視化できるyamoryは、アルファドライブ様が重視する「セキュリティ」と「オブザーバビリティ」の確保に有効だった
• CVSSのスコアだけでなく、アクセスパスの存在や攻撃コードの流通などから判断して現実の深刻度に従ってトリアージを行う仕組みが信頼できた
• 2021年12月、Apache Log4jの脆弱性が大きな話題になった際に、yamoryの公式Twitterから配信された情報の速度と正確さのバランスを見て、サービスの前提となる企業と組織への信頼を強く感じた

活用シーン

• GitHubでPull Requestを上げる際にyamoryをコールしてレビューを行い、脆弱性があればSlackに通知させている
• 見つかった脆弱性は、yamoryのダッシュボードが提案するトリアージに従って修正している

アルファドライブは「品質と（開発）スピードはトレードオフではない」という前提で、理想と現実を分けて考えるのではなく、丁寧に理想を追いかけることこそが現実解だと考え、プロダクト開発を行っています。

品質を犠牲にすればアジャイル開発は成立しません。「アジャイルソフトウェア開発宣言」にある「動くソフトウェア（Working Software）」とは、「品質を犠牲にして何とか動いている状態」などではなく、「機能を含めた品質を維持し、ユーザーに価値提供をしている状態」と考えています。

アルファドライブが開発の初期段階から特に留意するふたつの「-ity（事物の性質を現す英語の接尾辞）」があり、それは「Security（セキュリティ）」と「Observability（オブザーバビリティ：可観測性）」です。このふたつが担保されていない開発プロジェクトやソフトウェアを、我々は「アウトオブコントロール」、すなわち自分たちが制御できない状態に陥っていると考えています。

しかし、開発の後工程になってから、下がってしまった品質を上げようとすると、初期設計にまで手戻りが発生することすらあります。そのため、短期的にも中長期的にも、開発の初期フェーズから「セキュリティ」と「オブザーバビリティ」をしっかりと確保してくれるツールがないかと探して、最終的にいくつかの候補に絞り込んでいたとき、世界でLog4jの脆弱性が大きな話題になりました。

 

私個人にとって脆弱性管理とは「面倒で工数がかかるけれど、それでも必ず対応しなければならないもの」です。それをこんなにスマートにサービス化したyamoryを見つけたときは、素直に素晴らしいと思いました。

セキュリティを保証して、どういう状態であるかを可視化してくれるyamoryは、アルファドライブが留意する「セキュリティ」と「オブザーバビリティ」というふたつの「-ity」をしっかりと確保してくれるツールであると開発チームが認識しています。これが導入の決め手のひとつです。

また、CVSSのスコアを原則にしながらも、そこに脅威分析アナリストが調査した、アクセスパスの存在や攻撃コードの流通なども加味して判断を行い、最終的な深刻度をつけるというのがすごく合理的だと思いました。「これ（yamory）を作っている人は信頼できる。一度話をしてみたい」と思いました。これが決め手のふたつめです。

さまざまな脆弱性管理ツールを調査して、yamoryを含むいくつかの候補に絞り込んでいた時期に、Log4jの脆弱性が報告され、グローバルで大きな話題になりました。私はTwitterを情報収集ツールとして活用していて、さまざまなベンダーや専門家のアカウントをフォローしており、そのときもLog4jの情報を複数ソースから集めまくりました。

そのときに、どんなメディアやベンダーのアカウントよりも速報性に優れ、しかし同時に正確性というバランスを決して失わない情報発信元がyamoryの公式Twitterアカウントでした。「サービスの前提となる会社や組織が信頼できる」本心でそう思えました。個人的にはこれが導入することの決定打と言えるかもしれません。

 

現在は、世の中のあらゆる公開サービスやサーバが常時なんらかの攻撃を受けている状態で、それはWAFなどのログを見ればわかります。対象のサービスや企業に何1つ私怨がなくとも、言うなれば「ドアを見かけたらとりあえず開ける」「開いたら中のものを持ち出す」という人がサイバーの世界にはあふれており、狙われることにいまや理由などありません。

セキュリティは、サービスやブランドの「ノックアウトファクター（このサービスを選ばない、使わないとユーザーに判断させる要因）」になりうるものであり、サービスだけでなく事業継続にも関わると思っています。今後もyamoryを活用して開発者全員が「セキュリティ」と「オブザーバビリティ」に、開発と運用の両面から対応していきたいと思います。

 

アルファドライブでは、脆弱性を特定するAmazon ECR Image scanningとyamory、そして専門企業による定期的なセキュリティ診断をそれぞれ併行して活用しています。

yamoryはImage scanningなら数千件見つかる脆弱性を「すぐ対応すべき」数件に絞り込むのに役立ちますし、OSSライブラリの間接依存まで検知するという圧倒的強みがあります。

専門セキュリティ企業によるペネトレーションテストなどのセキュリティ診断は、ビジネスロジックや設定漏れなど、yamoryでの対応を踏まえた上での総合的な攻撃パターンの検証であると考えて行っています。