エンジニアと修行僧の出会いが生んだ脆弱性管理ソリューション「FutureVuls」―お客様とのコミュニケーションで進化し続け、日本企業全体のセキュリティ向上に貢献

フューチャーグループは、最新のテクノロジーをベースに「ITコンサルティング＆サービス事業」と「ビジネスイノベーション事業」の2軸でビジネスを展開するソーシャルデザインカンパニーです。今回はフューチャーのなかでもセキュリティに特化した専門コンサルタントが集うCyber Security Innovation Groupより、脆弱性管理クラウドシステム「FutureVuls」について神戸、木戸、兼光の3名がご紹介します。

情報量に振り回されがちな脆弱性管理を対応可能なものにする「FutureVuls」

兼光：「脆弱性管理」というとなじみのない方もいらっしゃるかと思いますが、脆弱性とは、ハードウェアやソフトウェアなどの不具合等により発生するセキュリティ上の欠陥のことです。脆弱性情報の公開やそれに対する攻撃コードが作られると、誰でも脆弱性を突いた攻撃ができる状態になります。攻撃によるサーバの停止や情報漏洩が発生すると、事業が停止することもあります。脆弱性を放置するのは経営上の大きなリスクです。

木戸：管理担当者は日々脆弱性の情報を集め、管理環境下のソフトウェア等に対象となるものがないか確認し、該当すれば影響範囲を調査してリスクが高いものに対応します。しかし、年に２万件以上発見される脆弱性に人が手動で対応するのは現実的ではありません。

私たちが開発した「FutureVuls」は、こうした対応を一元化・全自動化する脆弱性管理ソリューションです。システムの資産情報の自動収取から脆弱性の検知、対応判断、タスク管理、パッチ適用など、脆弱性対応に関する一連の管理工数削減と業務効率化を実現しています。巧妙化するサイバー攻撃に対応しつつ業務効率化を図るため、機能追加にも力をいれていて、2022年9月には、米国政府機関CISA推奨の「SSVC（Stakeholder-Specific Vulnerability Categorization）」による自動トリアージ機能を搭載しました。

神戸：FutureVulsは開発者の私たち自身がお客様に直接ソリューションを提供することで、小回りのきいた対応といつでも相談できる関係づくりを大切にしています。 開発者とエンドユーザの距離が近く、現場のお客様の要望に応じた新機能の追加や実務的なアドバイスを行えるのが強みです。FutureVulsへのSSVC機能搭載も総合情報サービス企業である株式会社マイナビ様からのリクエストがきっかけで実現したものでした。

兼光：SSVCとは、脆弱性の悪用状況やシステムの露出度/資産価値などを基に、決定木を用いて現実的な対応方針を算出する評価指標です。 FutureVulsでは、CVSS（Common Vulnerability Scoreing System）や攻撃コードの有無などを用いたフィルタリングを実装することで自動化と省力化を実現してきましたが、マイナビ様からのご相談を受け、FutureVulsの機能としてSSVCを組み込んだ方が良いと判断しました。

限られた人的リソースで膨大なシステムを管理するソリューションを求めて

株式会社マイナビ デジタルテクノロジー戦略本部 IT企画推進統括部 情報セキュリティ・ガバナンス部 部長　下別府 遼様

マイナビではサービス単位で数十種類、サブシステムも含めると数百種類以上のシステムが稼働しており、以前からリスクの可視化が課題となっていました。FutureVulsは前身であるOSS（Open Source Software）の「Vuls」(*1)以来注目しており、操作性が高くサポート体制が良かったため、2020年から一部の事業部において「FutureVuls」での脆弱性管理を試験的に運用していました。

ツールをつうじて直接、開発メンバーに技術的な相談ができ、リクエストした追加機能を実装してもらえるなど、導入したメリットは大きかったです。人的リソースは限られていますので、自動化できるところはより効率化を進めたいと考えていました。そんな時にSSVCを知り、自前でスクリプトを作成してFutureVulsにREST APIを用いて連携できないかと相談を持ち掛けました。当時は、SSVCをFutureVuls本体の機能として組み込んでもらうところまでは期待していなかったので、SSVCの搭載が実現したのは嬉しい驚きでした。報告される脆弱性のうちどれを優先的に、どのくらいのスピード感で対応すべきかの判断がSSVCによって瞬時にわかるようになり、さらに効率化が進みました。

木戸：実装にあたっては、メンバー皆で学術論文を読み込みました。当時はSSVCについて書かれている日本語の情報は皆無で、海外の論文や情報しかありませんでした。論文に書かれている理論を実装に落とし込むのは、技術的な難しさもあり大変でした。それ以上に、ユーザの使い勝手の工夫には相当知恵を絞りました。便利な機能でも設定が複雑だと実際に使ってもらえません。内部で議論を重ね、またマイナビ様など企業のセキュリティ担当の方々とも何度も議論しました。

試行錯誤の末、数カ所を設定するだけでSSVCの機能が有効になり、検知された脆弱性がリスクに応じて自動で分類されるようにシンプルに実装できました。SSVCの実装後、マイナビ様では従来の悩みのタネだった脆弱性の対応判断の部分がSSVCによって大幅に自動化され、FutureVulsを全社で導入いただきました。

技術を世界のために使いたい――すべての業界で重要度を増すセキュリティ問題

神戸： セキュリティの現場では膨大な数の脆弱性管理に担当者が疲弊しているのが現状です。私がVulsを開発したのは、旅先のネパールで世界平和を願って60年以上も修行を続ける僧侶に出会ったことがきっかけでした。当時の私も自社の100台以上あるサーバを任されて脆弱性管理の業務に疲れ切り、周りのことが考えられなくなっていたのですが、修行僧の信念の強さを見て『自分はなんて未熟な人間だろう』とショックを受けました。そして世界平和のために何ができるのか考えをめぐらしたとき『自分はエンジニアだ。技術を世界のために使いたい』とひらめいたのです。そこから数か月間、自宅にこもって一気に開発を進めたのがOSSのVulsです。セキュリティ業務の効率化に貢献し、お客様のニーズにこたえながら製品を進化させることもできて嬉しく思っています。

兼光：FutureVulsは簡単な設定で使い始められる利便性と、開発者が直に相談や機能拡充に対応できる距離の近さが特長です。セキュリティ対策の高度化や業務効率化に効果を発揮するのはもちろんですが、セキュリティの専門家がいない企業にこそ使っていただきたいと思っています。FutureVulsによって、日本企業全体のセキュリティ向上に貢献していきたいです。

木戸：私たちFutureVulsチームはセキュリティに関する様々なカンファレンスやイベントに積極的に参加しています。どこかでご一緒することがあればぜひメンバーにお声がけください。

*1）2016年公開。GitHubにて1万Star以上獲得。

*2）関連プレスリリース：継続的脆弱性管理サービス「FutureVuls」に最新の評価手法「SSVC」を導入～リスクベースの「対応判断」から「対応指示」までを全自動化

お客様からのお問い合わせはこちらへ

https://futurevuls.zendesk.com/hc/ja/requests/new

フューチャーグループについて

フューチャーグループは、最新のテクノロジーをベースに「ITコンサルティング＆サービス事業」と「ビジネスイノベーション事業」の2軸でビジネスを展開するソーシャルデザインカンパニーです。

プロフィール

神戸 康多（かんべ こうた）:フューチャー株式会社 サイバーセキュリティイノベーショングループ シニアアーキテクト。修士課程修了後、2004年フューチャー入社。FutureVulsチームリーダー。2019年度ソフトウエアジャパンアワード受賞。サウナで設計・実装方法を練り、ひらめきをコードに落とし込む。外部カンファレンス等イベントでの登壇多数。

木戸 俊輔（きど しゅんすけ）：フューチャー株式会社 サイバーセキュリティイノベーショングループ シニアコンサルタント。修士課程修了後、2020年フューチャー入社。配属後ゼロから脆弱性管理を学び始め、現在はSSVCによる自動トリアージ機能を実装するなど、開発者として活躍。若手リーダーとしてチームを牽引する傍ら、品質保証やシステムテストにも興味を持ち、技術書等の執筆活動にも取り組む。

兼光 翼（かねみつ つばさ）：フューチャー株式会社 サイバーセキュリティイノベーショングループ コンサルタント。国内製造事業者のデータ活用部門においてデータ分析・ソフトウェア開発を経験後、2022年フューチャー入社。FutureVulsチームに参画後、開発・営業・マーケティングなど幅広く担当。バックエンドの設計・開発やクラウド活用に高い関心を持つ。