ビスリーチが行う事業はHR領域だけではありません。 ビジネスメディア「BizHint」や、事業承継M＆Aプラットフォーム「ビズリーチ・サクシード」など、様々な領域で事業を展開しています。2019年8月には、オープンソースの脆弱性と、対応すべき優先度を自動で可視化するセキュリティツール「yamory（ヤモリー）」をリリースしました。

キーワードとなるのは「オープンソース」。現在、商用アプリケーションの開発にあたり実に96％の企業がオープンソースを利用しているそうです（※）。

オープンソースは無料で使えるメリットがある反面、セキュリティの穴を狙ったサイバー攻撃が発生する可能性を孕んでいます。現に脆弱性を抱えたオープンソースは、全体の78％にのぼると言われているのです（※）。

様々な開発に利用されているオープンソースですが、使用するソースが増えるほど、セキュリティを確認・管理するコストは肥大し膨大なものになります。このリスクに対応しなければいけないと思いながらも、十全にセキュリティ管理ができている企業は多くはありません。

「yamory」は、煩雑なオープンソースのセキュリティ管理の工数を大幅に削減するツールです。どこから手をつけていいのか分からないセキュリティ管理において、特にリスクの高い問題を洗い出し、手が出しづらかったセキュリティ管理の第一歩を後押しします。ちなみにサービス名の「yamory」は、虫(bug)を食べて家を守ってくれる「ヤモリ(家守)」から命名しました。

現在yamoryではサービス開発をリードする「エンジニア」と「セキュリティの専門家」を募集しています。クラウド型のセキュリティツールの分野は、世界を見てもここ4,5年で作られた新しい市場。今後世界的にも大きく伸びていくサービスの開発に携わってみませんか？

※ 米国の調査「Synopsys Center for Open Source Research and Innovation “2018 Open Source Security and Risk Analysis”」より

弊社のビジネスを知ってくださっている方であれば「なぜビズリーチがセキュリティツールを？」と疑問に思っているかもしれません。その経緯や思いを、事業の生みの親である鈴木康弘に尋ねました。

鈴木 私は、弊社がまだマンションオフィスだった頃に、3人目のエンジニアとして入社しました。はじめはフルスタックエンジニアとしてインフラからフロントまで開発を行っており、そのうちにプロダクト責任者として事業の立ち上げにコミットするようになりました。管理職となっていくつかの部門を見ていくうちに、課題に感じたのがセキュリティについて。サービスが増え、知名度が上がっていく中で、いかにしてセキュリティのチェックプロセスをアジャイルの中に取り入れていくかが大きな悩みとなりました。

そこで、社内ツールとしてセキュリティツールを作ろうと考えたのです。しかし、直接的な利益につながらないセキュリティに対して、開発のリソースは割きづらかった。課題意識が大きくなっていく一方で、解決のために動けないことに悶々としていました。

同時期には、他社の開発部門長に「オープンソースのセキュリティにどのように対策しているのか」とヒアリングを重ねていました。しかし、銀の弾丸はなく、ほぼ全ての会社がオープンソースのセキュリティに関する課題を持っていたのです。試しに自分のアイディアを聞いてもらうと、賛同してくれる方が大勢いました。それがきっかけでオープンソースのセキュリティツールに社会的なニーズがあることを実感できたのです。

私はアイディアを新規事業案や施策案を起案する社内コンテストで提案し、サイバーセキュリティの重要性を訴えました。ちょうどタイミングも良かったのでしょう。弊社の経営層も、世界的にサイバーセキュリティにおけるニーズが増えてしていることを理解していました。セキュリティに関する課題を解決することは、社会的に意義があることだと認めてくれたのです。ビズリーチは社会構造の変革や、技術革新によってもたらされる課題をテクノロジーの力によって解決するサービスを生み出しています。そういった考えと事業の合致もあり、私は管理職を離れ社長室所属、という扱いで一人でプロジェクトをスタートさせることになりました。

──　ところで、セキュリティの脆弱性が引き起こす脅威とは具体的にどのようなものなのでしょうか。

鈴木 脆弱性が起こした脅威で大きいものはニュースにも取り上げられています。 これまでは、サイバー攻撃を受けると、お金や個人情報が流出するに留まっていました。これはこれで大変重大な事故ではありますが、これからIoTが普及することで、あらゆるものにインターネットが接続されます。

例えば自動運転が一般的に使われる未来になったとして、システムがハックされれば人命に関わる問題に繋がってしまう。テクノロジーが発展するほど、ハックされた時のリスク度合いも必然的に大きくなっていきます。

「ソフトウェアを安全に開発する」手法を確立させるということは、人類が安心して生きていくために必要な課題であり、私はそこに貢献したいと思っています。その第一歩として、オープンソースの脆弱性と、対応すべき優先度を自動で可視化できるツールを作りました。

──　最初は一人からプロジェクトを始めて、その後どのようにメンバーを増やしていったのでしょうか。

鈴木 プロジェクトの立ち上げ直後はプロダクトづくりから採用まで一人で行っていましたね。高度な技術と専門性が必要なサービスなので、社内エンジニアのみで作るのは難しく、セキュリティ領域のスペシャリストを採用する必要がありました。なぜなら、お客様のシステムをスキャンして、脆弱性を抱えたオープンソースを検索するためにはセキュリティに対する知見が必要で、社内のアプリエンジニアには専門外だったからです。そのため、採用のために毎日ランチタイムに1人、夜に2人面談を重ねていた時期もありました。

──　これまでにジョインしたエンジニアの方々は、どのようなポイントを魅力に感じたのでしょうか。

鈴木 世界中のエンジニアに使ってもらえる可能性があるサービスを、自分たちで開発できる点に魅力を感じていただきました。今世界で使われているセキュリティプロダクトのほとんどは、シリコンバレー生まれです。日本ではライセンス販売がほとんどで、自分たちでサービスを作る機会はほとんどありません。エンジニアにとっては、エンジニアのためのツール、それこそGithubのように世界中のエンジニアに使われるツールの開発に携われることが誇りになるはずです。

また、エンジニアが集まれば必ず数人はセキュリティ意識の高い人がいるものです。とはいえ、新規機能の開発にリソースを割かなければいけない現場も多く、セキュリティ対策まで手が回しきれていないことも多い。セキュリティ対策に対してジレンマを抱えていれば、私が持っている課題感にも共感してくれますね。

私はHRという、個人情報の塊のようなサービスに携わっていたのでセキュリティ意識も高まりました。しかしながら、レベルの高いエンジニアであれば何かしらの経験がきっかけでセキュリティへの課題感をもっているはずです。そのような方に「一緒に課題を解決しませんか」と提案して一人ずつ仲間を集めていきました。

──　現在はどんな組織体制で、どのように働いているのでしょうか。

鈴木 現在は開発とビジネス合わせて20名弱のチームです。働く環境はとてもホワイトですね。18時や19時にはオフィスに残っている人はほとんどいません。みんなベテランなので、スキルが高く、働き方が効率的なのです。組織づくりにも注力していて、自立型の組織を目指しています。そのため、一人ひとりに提案できる余地が大きくありますし、提案すればそのままサービスに反映されることもあります。立ち上げ直後のサービスのブラッシュアップに携われる貴重な経験なので、みんなやりがいを持って働いてくれているのです。このチームは今期中には30名体制にしたいと思っています。

──　実際にサービスを公開してみて、顧客からはどのような反応が返ってきましたか。

鈴木 もともと公開前から社内で利用をする他に、社外で検証するために12社の企業様にお願いしてクローズドβ版をご利用いただきました。結果、どの会社様も反応はポジティブでしたね。まだリリースしたばかりなので機能的な要望は多く、今後はそれらの要望に応えるべくバージョンアップしていきます。

特に多い要望は多様なプログラミング言語への対応です。「Go言語」や「C#」にはまだ対応していないので、早急に対応しなければいけないと思っています。また、近いうちに日本語以外の言語にも対応する予定です。今や国内でも外国籍のエンジニアが働いている会社も多く、例えばインド人が大半を占めている会社や、英語が社内公用語になっている会社も増えています。最低限の国際化を実現できないとエンジニアツールとして使ってもらうには不便ですから。

また、多言語展開することは将来的に世界中で使われるサービスになるためにも必須です。オープンソースの脆弱性管理ツールの分野は、世界を見てもここ4,5年で作られた新しい市場。海外には競合となるサービスもありますが、私達とはアプローチの仕方も違い、yamoryだからできることも少なくありません。世界中のエンジニアに使ってもらえる可能性が十分にあるサービスだと思っています。

──　まだリリース直後ということで、今後も進化は続いていくのですね。最後に、yamoryの今後のビジョンを教えてください。

鈴木 個人的には、オープンソースが「自動更新されていく世界観」を作りたいですね。OSはバージョンアップされれば自動的に通知が来て更新されていきます。オープンソースの世界でも、yamoryが脆弱性を確認して、アップデートが行われると自動で通知が来て更新されるようにしたい。企業や個人の情報や、将来的には人命を守るため、安心してオープンソースを活用できる世界を実現していきたいです。

今回募集するのは「エンジニアが、安心してオープンソースを活用できる世界を実現するサービス」を作るエンジニア。同時にセキュリティの専門家も募集します。世の中のあらゆるものがインターネットに接続されていく世界で、サイバーセキュリティを強化することは私達の生活を守ることにつながります。私たちと同様の課題感を感じている方は、ぜひ一度話を聞きに来てください。