オープンソースソフトウェア(OSS)は、第三者の手によるソースコードを自分が開発したソフトウェアに取り込むことを可能にする、効率的かつ生産的なソフトウェア開発手法だ。Linux、Android、macOSやiOSのXNUカーネル(OSコア部分)をはじめ広く用いられており、すでに世界に影響を与えている。開発者には常識といえる一方で、それらソースコードが内包する脆弱性を取り込んでしまうリスクもあり、開発したソフトウェアが悪意のある者によって不正な操作や攻撃を受けやすくなる恐れが懸念されているという。
この様な課題の解決を目指すのが、4月にデンマークのセキュリティ企業Coana(コアナ)の買収を発表したSocket(ソケット)だ。同社はカリフォルニア州のスタートアップで、ソースコードに潜むリスクを特定する「ソフトウェアコンポジション分析(SCA)」と呼ばれるソリューションに特化している。開発者は、ソケットのツールを用いて、OSSを含め開発したソフトウェアの全ソースコードをスキャンすることで脆弱性を特定し、被害が生じる前に対策を講じることを可能にする。
ソケットは昨年10月に発表したシリーズBラウンドで、アンドリーセン・ホロウィッツ(a16z)やアブストラクト・ベンチャーズなどの投資家から4000万ドル(約58億円。1ドル=143円換算)を調達していた。
膨大な数の脆弱性警告が担当チームを疲弊させる「アラート疲れ」
同社創業者兼CEOのフェロス・アブーカディジェによると、「我々のツールは、OSSのソースコードに含まれる脆弱性の検出に優れているものの、その影響で顧客企業内のサイバーセキュリティ担当チームが対応作業をこなすのに苦労している」と述べている。「現在のサイバーセキュリティにおける最大の課題のひとつは『アラート疲労』だ。つまり、セキュリティ担当者チームは、検出した脆弱性の数に対応しきれてない」。
アブーカディジェは、Socketをはじめ既存SCAソリューションの課題は、セキュリティ担当チームに対して膨大な件数の脆弱性を提示する可能性があることで、どの脆弱性が最も深刻なのかなど、チームが優先的に対処すべき問題が明確ではないと指摘した。緊急性の低い脆弱性を処理している間に、本当に危険な脆弱性を放置してしまう可能性だけでなく、過労状態に陥ったチームが、作業量が多過ぎるためにアラートの一部を無視してしまうリスクもある。
