オープンソース利用したソフト開発の脆弱性にメス　強みは「ノイズの大幅な削減」　Endor Labs　

2024.02.21 Wed

森英信

ソフトウェア開発においてオープンソースの利用が増加する中、セキュリティの確保とソフトウェアサプライチェーンの安全性は重要な課題となっている。この課題に対応するため、サイバーセキュリティ関連のスタートアップであるEndor Labs（本社：米国カリフォルニア州）は、公開されている多くのオープンソースコードを分析し、開発者に安全で、効率的で、最適な開発環境を提案している。サイバーセキュリティ業界で3度目の創業を経験した共同創業者でCEOのVarun Badhwar氏に、プロダクトの特徴や事業戦略を聞いた。

目次
・便利なオープンソースに潜む脆弱性とは
・製品の最大の強みは「ノイズの削減」
・サイバー攻撃の対象はソフトウェアサプライチェーンになる

便利なオープンソースに潜む脆弱性とは

―Endor Labsのプロダクトについて教えてください。

　ソフトウェア開発のプロセスを保護することを目的とする、企業のセキュリティチーム向けの製品です。現代のアプリケーションでは、使用するコードの約90%は自身では書かず、オープンソースなどのライブラリなどを「部品」として組み立てています。ソフトウェアを構成する大量のコードのほとんどは、開発者とは別の人によって書かれているのです。AIの進化により、これはさらに顕著になり、ソフトウェアの管理・運用・セキュリティにおいて基本的な変化をもたらしています。

　オープンソースを採用する企業は、そのコードを書いた人のコーディングスキルも分からず、面接もしておらず、セキュリティ評価も行っていません。悪意を持った攻撃者がコードの脆弱性を元に攻撃をしかけるかもしれません。近年、ソフトウェアサプライチェーンのセキュリティが重要になっているのです。

Varun Badhwar

Endor Labs

Co-Founder & CEO

南カリフォルニア大学でコンピュータサイエンスの学士号を取得した後、2006年にKPMGに入社し企業のサイバーセキュリティの支援を行い、2007年からはSalesforceのセキュリティチームを4年間率いる。2010年にクラウドセキュリティサービスのCipherCloud、2015年にCSPM（クラウドセキュリティ態勢管理）のRedLockを創業し、後者はPalo Alto Networksに買収された。その後、Prisma Cloudの創設者としてPalo Alto Networksのクラウドセキュリティ事業を拡大。2021年にEndor Labsを共同創業した。

―技術的なブレークスルーはどのような点ですか。

　Endor Labsの技術的なブレークスルーは3つあります。1つ目は、開発者がより信頼性の高いオープンソースソフトウェアを選定できるようにするためのポリシーエンジンの提供です。使用するオープンソースを事前審査することで、開発ワークフローを効率化します。

　私たちはクラウド上に巨大なデータベースを構築しており、数々のオープンソースライブラリをスキャンしています。新しいライブラリや新しいバージョンがリリースされるたびにスキャンを行います。コード、開発者、品質、ドキュメントなどをチェックして、それら全てにスコアリングを行います。さらに、AIベースのエンジンを基盤としているため、開発者のニーズに最適なパッケージを推奨します。

　2つ目のブレークスルーは、開発中に直面する最大の課題であるセキュリティチェックの支援です。現在のセキュリティツールは多くのアラートや誤検知を発生させます。開発者がこれらの問題を一つ一つ見て対処していくと、多大な時間を費やしてしまいます。セキュリティツールが発するアラートの80％は誤りか、関係のないものだといいます。私たちはコードをスキャン・分析しているため、他のセキュリティツールが発生させるアラートの8〜9割を減らすことができるのです。

　3つ目は、CI/CDパイプラインの安全性の向上です。コードはGitHubやGitLabのリポジトリで管理され、CI/CDパイプラインを経由して本番環境に展開されます。このパイプラインは、現在のセキュリティにとって大きな課題です。チームは、リポジトリを誰が管理しているのか、誰がアクセス権を持っているのか、誤ってコードが公開されたり、許可されていないコードがチェックインされたりした場合を把握していません。私たちは、これらの状況を監視し、可視性を高めるとともに、問題が発生した場合にはアラートを発することで対応します。

製品の最大の強みは「ノイズの削減」

―同様にDevSecOpsのプロダクトを提供するSnykやSynopsysとの違いはどのような点ですか。

　私たちの最大の強みはノイズの削減です。これにより、競合のツールを使用していた多くの顧客が当社の製品に乗り換えています。アラートや誤検知によるノイズは非効率な作業を生み出しますが、Endor Labsを使用すると、そのような対応が大きく削減されることを実感できます。

　ある大手金融機関のお客様では、開発チームがキュリティチームから報告されるオープンソースパッケージの脆弱性を追跡するために無数の時間を失っていました。セキュリティチームはこれらの脆弱性を効率的に優先順位付けすることができませんでしたが、Endor Labsの分析機能によってこれを解消し、誤検知アラートを76％も削減できました。

　さらに重要なことは、私たちは脆弱性が何であるかを伝えるだけでなく、開発者に修正のための最速の方法を示し、作業を行う前に影響評価を全て行います。これにより、開発者はアップデートやソフトウェアのテストを行う決定を簡単にできるようになります。

―最近では、SBOM（Software Bill of Materials、ソフトウェア部品表）の利用によるソフトウェアサプライチェーンの強化が推奨されています。御社のプロダクトでもSBOMの出力に対応していると思いますが、この動きについてどう思いますか。

　最近の重要インフラへの攻撃などの事件を受けて、食料品店で食品を買うときに成分を知りたいように、ソフトウェアを実行する際にそのソフトウェアの「成分」を知ることが重要であることが非常に明確になりました。私たちは、SBOMが使用しているものや実行しているもの、そしてリスクについての透明性と開示に関する重要なトピックであると考えており、これを世界中の政府が実践に移すことを非常に喜ばしく思っています。

　SBOMの出力はソフトウェアを出荷する直前に行い、使用しているオープンソースソフトウェアやそのバージョンをリストアップします。しかし、これだけでは開発者がなぜそのソフトウェアを選んだのかが分かりません。開発を依頼した顧客が「なぜこのソフトウェアを使用したのか」と疑問に思うことがあります。そのため、開発者がソフトウェアを選択する初期段階で選択を支援することが私たちの責任であると考えています。

　Endor Labsでは、開発者が高品質のオープンソースを選択し、それを安全に利用することを支援しています。SBOMの作成・管理機能も提供していますが、本質的な問題は開発者が何かを使用し始め、それを維持し、私たちの製品を出荷するまでのライフサイクルを解決することです。私たちは、最終的にリリースされるソフトウェア製品が高品質であることを確実にする支援をしているのです。

image: Endor Labs HP

サイバー攻撃の対象はソフトウェアサプライチェーンになる

―御社の成長性を示す数値や、今後の市場拡大戦略について教えてください。

　2023年8月にはシリーズAラウンドで7000万ドルを調達しました。現在約70人の従業員がおり、小さなスタートアップからBroadcomのような世界トップクラスの企業をはじめとする多数の優良顧客がいます。現在、顧客基盤の拡大を急速に進めています。特に北米での営業組織を拡大しており、次の12カ月間でさらに拡大する予定です。近く欧州市場への進出も考えており、さらに、日本、オーストラリア、ニュージーランドなどのアジア・太平洋地域にも進出する予定です。

　私たちは、プロダクトをエンドユーザーに提供する際、パートナー企業を通じて行っています。重要なパートナーの一つは付加価値を提供するリセラーです。これらの企業は革新的なセキュリティソリューションを顧客に販売しており、顧客の課題を理解し、開発チームと共に扱っている脆弱性を把握しています。そのため、当社のプロダクトの価値を認識した上で提案することができます。

　もう一つのパートナーの種類は戦略的なコンサルティング型の企業です。これらの企業は、責任を持ってオープンソースを使用するための戦略を支援しています。彼らの作業の一環として、ソフトウェアの評価に私たちの技術を使用し、最終的には顧客に対して私たちの技術を推奨します。

　現在のところ、日本の企業との具体的な対話は始まっていません。しかし、私たちは日本の企業との会話を始めることに対してオープンです。

―これまでの経歴と創業の背景を教えてください。

　私は2006年からサイバーセキュリティの分野で活動しています。2010年には、SaaSアプリケーションのセキュリティに特化した会社CipherCloudを創業し、2015年にはクラウドセキュリティ態勢管理を提供するRedLockを創業しました。RedLockは後にPalo Alto Networksに買収されて、現在はPrisma Cloudというブランド名のクラウドセキュリティプラットフォームになりました。そして2021年にEndor Labsを創業しました。

　私が創業した3社は、すべて技術変革のトレンドに乗っており、CipherCloudでは多くの企業がオンプレミスからSaaSへと移行していたためこれを支援しました。RedLockはではデータセンターからクラウドへの移行をサポートしました。そしてEndor Labsは、変化するソフトウェア開発方法に対応するために創業しました。

―長期ビジョンについて教えてください。また、将来のパートナーや顧客に対してのメッセージをお願いします。

　過去10年間、サイバーセキュリティの攻撃の最前線はネットワークエンドポイントにありましたが、最近はクラウドが攻撃対象になりました。私たちは、今後10年でサイバーセキュリティ攻撃の主要な最前線の一つがソフトウェアサプライチェーンになると考えています。なぜなら、攻撃者は企業への最も簡単な侵入経路を求めており、エンドポイント、ネットワーク、クラウドについてはかなり成熟したプログラムへの投資が行われてきました。しかし、多くの企業が現在、ソフトウェアサプライチェーンをコントロールできておらず、今後もしばらくの間はそうなることはないと予測しているからです。

　ある統計によると、過去12カ月間で米国のビジネスの60%以上がソフトウェアサプライチェーン攻撃の影響を直接受けていることがわかりました。これは非常に重要なことです。実際、米国のビジネスの大半が直接影響を受けており、これらの攻撃は日々増加しています。

　現在、Endor Labsでは、ソフトウェアサプライチェーンセキュリティのほとんど、あるいは全てのニーズに応えるプラットフォームを開発しています。そして、開発者とセキュリティ専門家間のより多くの協力を実現したいと考えています。ソフトウェア開発の現場では、これらのチーム間には敵対関係や多くの緊張がありますが、共通の問題に取り組めるような環境づくりを目指しています。

　私たちの未来の背景はソフトウェア主導、技術主導で進んでいます。現在、食料品店であろうと銀行であろうと、すべての企業がソフトウェア企業となっています。また、AIも進歩しており、次の5年間でオープンソースが10倍に増えると考えられています。

　開発者がソフトウェアをどのように取り入れ、それをどのように安全なものにし、検証するかに注意を払うことが重要です。そしてそれは効率的でなければなりません。開発者時間の大半がオープンソースの検証や脆弱性の管理に費やされることはよくありません。ソフトウェアサプライチェーンの効率性を真剣に考え、適切な可視性を得ることが重要なのです。　