セキュア開発に一石を投じるVeracodeの強みバイナリコードによる静的解析が安全な世界を創造

セキュリティを意識したセキュア開発は、アプリケーション開発において押さえておくべき重要な考え方の一つだろう。そんなアプリケーション開発において、バイナリコードをクラウド上で静的に解析できるソリューションを提供しているのが、米国マサチューセッツ州に本社を構えるVeracode社(以下、Veracode)だ。欧米でアプリケーションセキュリティをリードする同社が開発したバイナリコード静的解析とは一体どのようなものなのか、その特長について紹介しながら、グローバル市場の動向や日本における戦略などについて、来日した同社CEOのSam King(サム・キング)氏に詳しく伺った。

» 2020年03月11日 10時00分 公開
[PR/@IT]
PR

クラウドベースのバイナリコード静的解析を実現するVeracodeとは

――Veracodeという会社についてお聞かせください。

Veracode Sam King氏

 セキュリティのコンサルタントとして働いていた2人が2006年に立ち上げた企業で、クラウドベースのアプリケーションセキュリティサービスを提供しています。企業におけるアプリケーション開発のプロセスにおいて、全てのコードが手作業でレビューされていた点に気付き、アナログな手法ではこれから拡張していくのは難しいだろうと考え、何とか拡張化できる形でコードレビューできないかと思案したことがきっかけです。その際に、コードを解析して脆弱(ぜいじゃく)性を自動的に分析するソリューションを生み出しました。このコードレビューを自動化することがわれわれの会社の基盤となっています。

――Veracodeの強みはどのようなところにありますか。

 一般的にアプリケーション開発におけるコードのチェックは、プログラムコードを実行し、その結果からソフトウェアのバグ検出や品質評価、動作確認を行う「動的解析」と、プログラムを実行せずにドキュメントやソースコードなどをチェックする「静的解析」に分けられます。われわれは後者の「静的解析」に強みを持っている企業です。また、ソースコードではなくバイナリコードをわれわれがクラウド上に用意しているプラットフォームにアップロードすることで、診断結果を利用者に返すことができるのも大きな特長です。

 特にデータフローを見てセキュリティ対策がしっかり実装できているかどうかを確認することになりますが、バイナリコードのため、オープンソースやフレームワークなど、自分たちで開発していない領域も含めてデータフローに合わせてチェックできるなど、幅広い検査が可能になります。そのようなバイナリコードの静的解析をクラウドサービスとして提供しており、導入や運用の負担が軽減できることも大きなメリットです。

――現場に展開する必要のないサービスとして利用できるのは大きいですね。

 静的解析だけでなく、動的解析の仕組みもSaaSとしてクラウド環境で利用可能なので、オンプレミスのテストツールを導入するよりも時間とコストを抑えることができます。バイナリコードであっても、ソースコード診断と同様のレベルでチェックできるだけでなく、クラウド上にソースコードを出すことによる知的財産の流出リスクが軽減できるのも大きな特長と言えます。

 なお、あらゆるバイナリコードをサービス当初からSaaSとして収集、解析しており、既にそのラインコードは120兆を超えています。しかも、セキュリティフローで課題を見つけた数は4500万件にも達しており、他社とは比べものにならないほどのノウハウが蓄積されています。このノウハウを学習した上でSaaSに提供されており、解析の能力は飛躍的に向上しています。

――チェックしたコードを学習データとして活用することで、セキュア開発のノウハウが蓄積されたサービスになっているわけですね。

 おっしゃる通りです。われわれがラインコードをスキャンするたびに情報が蓄積され、学習によって得られたノウハウをサービスに反映させていく。集積されているノウハウは他社にはまねできない、大きなものとなっています。

 なお、単に完成したバイナリコードを解析するだけでなく、コードをコミットする前に脆弱性診断を行うIDEプラグインとして提供する「Greenlight」というサービスは、われわれのサービスにおいても非常にユニークです。これは、コードを書きながらその都度自動的に診断が行われるため、早期に課題を解消できるようになります。まさにクラウド側から高度なノウハウが提供できるからこそ実現できる仕組みだと考えています。

――Veracodeの強みであるバイナリコードの静的解析というアプローチに至ったいきさつを教えてください。

 バイナリの静的分析というのは弊社の創設者が発明したものですが、アプリケーション全体のコードが確認でき、コードだけでなくデータフロー含め、リンク全てを包括的にセキュリティとして見ていくことができるのがバイナリコードの静的分析です。従来のソースコード解析では難しいことが、バイナリコードの静的解析によって解消できることを見つけたのです。2006年当時は、バイナリを扱うことが大きなチャレンジだったのは間違いありません。

世界のリーダーとして位置付けられるVeracodeの視点

――市場におけるVeracodeの位置付けについて教えてください。

 現在は世界で2000社を超えるお客さまにご利用いただいており、その多くが北米にある企業です。もちろん、アプリケーションにおけるセキュリティに課題を持っている企業はグローバルに存在しており、米国以外でも成長を続けています。このアプリケーションセキュリティの領域では、われわれは数年間、リーダー的な位置にいます。

 アプリケーションセキュリティのクラウド環境を提供していると語る企業も数多くありますが、実用的な環境としては不十分だと考えます。動的解析についてはSaaSで提供している企業もありますが、スタティックな解析に関してはわれわれが十分な知見と情報をもって提供できていると自負しており、本市場における独立系の企業としては最大規模となっています。

――実際のお客さまは、エンドユーザーよりも、開発を請け負っているSIerが中心でしょうか。

 お客さま像は限定しておらず、多くの業界にわたって企業規模も多彩です。誰もが知っている大企業もあれば、数人でソフトウェア開発を請け負っている小規模のお客さままで、どんな企業でもわれわれのお客さまになり得ます。ソフトウェアを制作している開発会社はもちろん、内製化しているエンドユーザーや外部に開発を委託して受け入れ時にわれわれのソリューションを利用するようなユーザー企業もあります。

――日本の場合、アプリケーション開発を内製化するよりも外部委託している企業が多い印象です。米国では社内に開発部隊を持っているエンドユーザーが多いと思われますが、その辺りの違いは感じますか。

 実際には米国でもさまざまなケースがあり、インハウスの開発部隊を抱えている企業もあれば、アウトソースして外部に任せている企業もあります。インハウスと外部の開発チームのコンビネーションで開発しているケースもあるのが現実です。

 外部に開発を委託している場合は、委託先が納品してくるコード自体のセキュリティが高く維持できていることを期待する傾向にありますが、現実はそこまで品質が担保できていないケースもあります。だからこそ、ユーザー企業の受入検査の一環としてわれわれのソリューションをご利用いただいているのです。

――実際にサービスを検討する側が見るべきアプリケーションセキュリティについて、どんな視点で見ていくことが求められますか。

 このアプリケーションセキュリティに関するソリューションで重要なのは、どういう脆弱性を見つけ出し、どの程度修正したのかという数字をベンチマークの指標として見るべきです。実際に検査したデータフローに対して、どの程度のフローを修正したのかという数字が究極のベンチマークであり、評価すべき実績だと考えています。これらの数字を出しているかどうかをしっかりとチェックしたいところです。

日本におけるVeracodeの展開とその戦略

――日本市場をどう捉えていますか。

 アプリケーションに関するセキュリティの重要性は、恐らく北米が一番感じているところです。その次に欧州、そして残りの世界全体という印象です。しかしながら、セキュリティに関連したニュースは毎日のように絶えず流れてくるため、世界中でアプリケーションセキュリティへの関心が高くなっているのは間違いありません。これがどの程度重要なのかは、北米や欧州に比べると、日本も含めた他の地域は十分ではない面もあると思います。日本市場に関しては、確かに成熟するのに時間がかかっているという認識はありますが、たとえわれわれの足跡は小さなものでも、契約数の伸び率も高まっている現状を鑑みれば、コードに関するセキュリティについて大きな問題があると気付き始めている企業が増えているのは間違いありません。

――日本においてはどんなアプローチが必要だとお考えですか。

 日本市場において成熟するまで時間がかかったという点からも、まずはわれわれがこのジャンルのエバンジェリストとなることが重要です。アプリケーションのセキュリティについて問題があることを知っているのはわれわれですから。その活動を通じて、このカテゴリーを広く認知させていくことから始めていく必要があります。その後は、北米や欧州で大きなシェアを持つVeracodeがリーダーであることを、APACも含めて日本市場において認知させていくことが必要です。そこまで進めた段階で、戦略的なアプローチが有効になってくると考えています。

 具体的には、人やプロセス、そして技術という要素の中で、人やプロセスについては現地の組織や現地の文化を前提とした「現地化」が欠かせません。この現地化を進めるためには、技術や製品があることはもちろん、日本に精通したパートナーがあって初めてできることです。その部分をパートナーに推し進めていただきたいと考えています。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:テクマトリックス株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年3月24日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。