This page is intended for users in Germany. Go to the page for users in United States.

yamoryのプロダクトオーナーに聞く、ビズリーチがサイバーセキュリティの分野に進む理由

こんにちは、Reach One編集部の乾友香です。

ビズリーチでは、ITエンジニアによるシステム開発の生産性向上を目指す、オープンソース脆弱性管理ツール「yamory(ヤモリー)」を2019年8月にリリースしました。 (関連記事はこちら)

reachone.bizreach.co.jp

今回は、「yamory」の起案からサービス全体のディレクションに携わっている、サイバーセキュリティ事業部 プロダクト開発部 部長の鈴木に「yamory」が生まれた背景や目指す世界について、インタビューしました。


鈴木 康弘/Yasuhiro Suzuki
1983年生まれ。東京工業大学大学院修士課程修了後、ITコンサルティング会社を経て、2010年9月にビズリーチへ入社。ビズリーチの立ち上げ初期から携わり、キャリトレなど4つのサービスを立ち上げてきた。現在は自身が起案した「yamory」のプロダクト開発部 部長として、プロジェクト全体のディレクションや組織マネジメントを行っている。

エンジニアとして現場で感じる課題を解決したかった

ーyamoryは鈴木さんが起案から関わっていますが、なぜこのサービスを立ち上げようと思われたんですか?

私自身がエンジニアとして複数の事業に関わっているなかで、サイバーセキュリティ対策にかかる工数の多さを課題に感じていました。プロダクトを効率よく開発するためにはオープンソースを活用するのが一般的なのですが、オープンソースには脆弱性が含まれていることが多く、以前当社では脆弱性調査や対策をエンジニアが手動で行っていました。これは専門的な知識も必要だし、とても手間のかかる作業なんです。

この負担を効率良く減らす方法はないかと、エンジニア同士の横のつながりを生かして、他の企業の方やセキュリティエンジニアの方に意見を伺いました。しかし、同じように課題として感じている人は多いものの、現状では地道に対応していくしかないというのが答えでした。

そこで生産性高くセキュリティリスクを管理するためには、新しいツールの開発が必要だと強く感じたんです。社内で使用するだけのツールを開発するのに多くの時間とエンジニアを確保することは難しい。でも他の企業にもニーズがあるのなら、セキュリティ対策ソフトウエア事業として開発すれば良いのではないかと考えるようにもなっていきました。

そんな時にちょうど「New Bamboo!」という新規事業案や施策案を持ち込む社内コンテストが開かれることになったんです。「これだ!」と思いました(笑)。

ーそれで「New Bamboo!」で起案することになったのですね。最初にyamoryの構想を聞いたときの、経営チームの反応はいかがでしたか?

もともと南をはじめとした経営チームは、社会の課題が次々に生まれてくるなか、課題の大きな新しい領域での新規事業の立ち上げを視野に入れてリサーチしており、セキュリティ業界にすでに注目していたようで、大変興味をもってくれました。 サイバー攻撃が深刻化し、なかでもオープンソースの脆弱性を突いた攻撃によって個人情報の漏えいなどの大きな被害が続出するなか、その課題を解決するとても意義のある事業だと評価され、プロジェクトがスタートすることになったんです。


同じ志の仲間を見つけることからスタート

ー「New Bamboo!」で承認されてからは、どのようにプロジェクトを進めていったのですか?

最初は私一人でしたので、まずは仲間探しからスタートしました。ビズリーチは創業時から「事業創りは仲間探し」という考え方を大事にしているんです。自分から社外の方々に直接コンタクトをとり、数百人の方とお話をさせていただきました。

ーとても多くの方に会ったのですね。

セキュリティ対策サービスの開発にはかなり高い知識とスキル、経験をもった方が必要です。でも、そういう方はすでに他社で重要なポストについていることがほとんどなので、転職を考えている方の絶対数が少ないんです。そのため、少しでも興味を持っていただけたらまずはお会いして、yamoryの開発に魅力を感じてもらえるように構想や思いをお伝えすることから始めました。いろいろな方にプロジェクトの構想を伝えることで、自分のなかでも考えがブラッシュアップされていき、この事業がどのような社会の課題を解決したいのか、より鮮明になっていったので、とても貴重な時間でした。

ー実際に、求めていた仲間はみつかりましたか?

かなり苦戦しましたが、初期のタイミングで、それぞれが全く別のベクトルで高いスキルを持ったメンバーが5人集まりました。このメンバーは今でも開発の核になっています。

大手SIerから言語理論研究(博士課程)というバックボーンを持つプログラミング言語理論のスペシャリスト、Apache Projectsのドキュメントクローラーのコミッタや、インフラやマネジメントの経験が豊富なメンバーなど。また、このサービスはセキュリティアナリストやセキュリティリサーチャーの経験が必要なのですが、そういう経験を持ち、かつ新規事業を立ち上げたい人って本当に希少なんです。そういう経験者も仲間に加わってくれました。

これだけ優秀なメンバーが集まったのは、プロジェクトの志に、エンジニア当事者として「とても価値がある事業だ、そういうことやりたい」と共感してもらえたことが大きいと、改めて感じます。

仮説検証のなかで浮き彫りになった課題

ープロダクトの開発はどのように進めていったのですか?

まずは社内ツールとして、プロトタイプを作り、実際に運用していきました。社内のセキュリティチームのエンジニアも巻き込み、仮説検証を繰り返す。社内運用でブラッシュアップした後は、クローズドβとしてyamoryに興味を持ってくださった12社の企業様に社外検証もしていただきました。

ー仮説検証を繰り返すなかで、見えてきた課題はありましたか?

ヒアリングをしていくなかで、セキュリティチームがどのようなアーキテクチャーで、どのオープンソースを使っているか把握していないケースが多く、それを知りたいというニーズが高いことがわかりました。

また、脆弱性をクローリングしてアラートを出す段階までは、比較的すぐにプロトタイプを作ることができたのですが、その先に、対応優先度がわからないと実際に運用するときに問題だということがわかってきたんです。

ーそれは、どのような問題なのですか?

既存のシステムのなかには数百、数千単位で脆弱性を知らせるアラートがでるケースがあります。そうなると、すぐにすべての脆弱性に対応することは現実的ではありませんし、どこから手をつけたら良いかもわかりませんよね。そこで脆弱性の対応優先度をつける必要があると考えたんです。

注力すべきリスクが高いものをどのように選別するかについては、ディスカッションを重ねました。そのなかで、攻撃用コードやPoCと呼ばれる、脆弱性への攻撃が実際に有効であることを検証するためのプログラムがインターネット上に流通していると攻撃されるリスクが高くなることが判明しました。こういうケースは優先度高く対応する必要があります。脆弱性の危うさだけではなく、攻撃リスクを考えるべきだという大きな気づきがありました。

インターネット上にどのような攻撃コードやPoCが流通しているかについては、求人検索エンジン「スタンバイ」で培った技術を生かし、セキュリティ関連の情報をクローリングすることで情報を集約することに成功しました。この技術は、現在特許申請中で、悪用される可能性の高い脆弱性をリスクの大きさに応じて自動で分類する「オートトリアージ機能」として生かされています。

世界一のプロダクトを作りたい

ーyamoryでは創業メンバーを募集中ですが、現在集まっているのはどのようなメンバーですか?

エンジニア、デザイナー、UXリサーチャーなど、現在は十数名のメンバーがおり、それぞれが得意領域においてトップクラスの知識と経験を持っています。そんな個性の強いメンバーが一つのベクトルに向かって進んでいるところが、このチームの素晴らしいところだと思います。

ーチームが同じ方向を向いて進む秘訣は何ですか?

自己組織化したチームを目指しているので、サービスのビジョンやどう実現していくかは、チーム自身で考えられるようにしたいと思っています。そのためにOKRやスクラムも取り入れています。一人で全部やりたいというタイプの人より、チームで開発に取り組んでいくというタイプの人が向いているチームですね。

お互いに気軽に意見を言い合えるフラットな関係も大切にしています。メンバーが10名以下だった頃から、チームバリューとして「和気藹々」でいようということを掲げてきたのですが、メンバーが増えても変わらずにいきたいと思っています。

でも一番大切なことは、全員が中途半端なものは作りたくない、世界一のプロダクトを作りたいという情熱をもっていることですね。 ビズリーチはインキュベーションの環境が整っているので、同じように熱い気持ちを持って働きたい方にとって、とても良い環境だと思います。


ー具体的にどのようなところが良い環境なのですか?

ビズリーチは「インターネットの力で、世の中の選択肢と可能性を広げていく」というミッションの下、社会にインパクトのある価値ある事業を創り続けるという風土があり、社会的に意義のあることに対してチャレンジしやすい環境なんです。たとえチャレンジに失敗しても、また次のチャンスを与えてくれる懐の深さもあります。実際に私がそうでした(笑)。失敗したこともありますが、こうして大きなことに挑戦させてもらっています。

それができるのは、安定した収益基盤となる事業がある会社だからこそです。目先の収益だけを求めて焦らされることなく、新規事業にじっくり取り組むことができる。yamoryは開発に時間が必要なプロダクトなので、こういった恵まれた環境があったからこそ生まれたサービスだと思います。

「yamory」が目指していく世界

ーyamoryという名前は、どのようにして決めたのですか?

生き物のヤモリに由来しています。ヤモリは漢字で「家守、屋守、守宮」と書き、害虫(バグ)を食べて家を守ってくれる縁起の良い生き物とされているんです。 システムの脆弱性(バグ)を無くしてサイバー攻撃から守るというこのプロジェクトが目指す世界観ともピッタリだということで、初期段階からプロジェクトコードを「yamori」にしていました。

開発が進み実際にサービスの名称を決めることになった時も、これ以上の名前はないということになったんです。ただ「yamori」だと、英語で発音したときに「ヤモーリ」になってしまうと途中で気づいて。世界中の方々にも広く利用していただきたいと思っているので、英語での発音も考慮し「yamory」(ヤモリー)という名称にしました。海外進出については、1年以内の英語対応も予定しています。


ー目指す世界観とピッタリの名前ですね。yamoryが目指す世界観を、さらに具体的に教えてください。

オープンソースというのは、テクノロジー、ソフトウエアの部品なんですね。まずはそれを安心して活用できるようにしようというのが今の段階です。 将来的にはアジャイルの中にセキュリティ対策や対応が自然と組み込まれる開発スキーム(DevSecOps)の実現を目指し、オープンソース以外にもインフラ/NW、OS/MW、コード/ロジックもスコープに入れていきたいと思っています。セキュリティエンジニアだけではなく、全てのエンジニアのためのセキュリティツールになりたいですね。

ー実現できたらセキュリティ対策にかかっていた膨大な時間と労力を、一気に減らすことができそうですね。

セキュリティ対策は難易度も高いですし工数が多く取られるものなので、その負担を減らしていくことで、エンジニアが生産性の高い開発に注力できるようになって欲しい。これはエンジニアとして、個人的にミッションに掲げていることでもあります。

世界的にもデジタルトランスフォーメーションという流れがあるなかで、さまざまなサービスの開発が活発になっていくと思います。エンジニアが開発に集中できる環境を創っていくことは、さまざまなイノベーションやサービスにつながっていくはずです。yamoryを通してエンジニアのソフトウエア開発を支え、結果的に人類社会の発展に貢献していけたら幸せですね。

株式会社ビズリーチ's job postings
1 Likes
1 Likes

Weekly ranking

Show other rankings