story_bnr

OSSの情熱から、エンタープライズの信頼へ

私たちFutureVulsチームは『サイバー攻撃の脅威から、社会の「安心」を技術で守り抜く』 ため、世界的に評価されているOSSの脆弱性スキャナ「Vuls」と商用版である「FutureVuls」を提供しています。
OSSの「Vuls」が公開される前から、現在に至るまで様々なストーリーをご紹介します。

01

kanbe_background kanbe_background

01

「週末も不安で気が抜けない」
精神をすり減らしていた日々

「Vuls」の生みの親である神戸(かんべ)は、弊社のエンジニアとして100台以上の自社サーバーを運用する業務を担っていました。

毎日発表されるCVE(脆弱性情報)を追いかけ、CVSSスコアを読み解き、自社環境への影響度を考えた後にOSとミドルウェアのバージョンを手作業で確認、脆弱性情報と照合するという運用に限界を感じていました。

また、SNSの動向も見逃さずチェックし、悪意のある攻撃や検知された脆弱性に気を配っていたことで、週末も気が抜けない状況が続きました。

神戸は当時についてを「エンジニアとしての創造性を発揮する業務はゼロ。単純作業を毎日繰り返し、心身ともに完全に疲労していた」と振り返っています。

  • ~2016年1月

02

kanbe_nepal kanbe_nepal

02

技術を世の中のために使いたい―
ネパールでの修行僧との出会い

精神的に限界を迎えたタイミングで長期休暇を取得し、向かった先はネパールでした。旅の途中、ガンジス川のほとりで、ひとりの修行僧と出会います。

その修行僧は、ただひたすらに「世界平和」だけを願い、60年以上もの歳月を修行に捧げているというのです。

その事実に、神戸は『自分の悩みは、なんてちっぽけなんだ』と衝撃を受けました。そして、自分は世の中のために何を貢献できるのかを考え『彼が祈りで世界を救うなら、自分はコードでエンジニアを救おう』と閃きました。

帰国してすぐに脆弱性スキャナーのOSSを探したところ世の中に存在せず、自分で開発しようと決意を固めました。当時の上司に『3か月だけ時間をください』と直談判をし、自宅に引きこもりOSSの「Vuls」を開発しました。

「ビジネスではない。同じ苦しみを持つシステム管理者を救いたい、という執念だけでコードを書いていた。3か月も自宅に籠って、泣かず飛ばずのものを作ったら会社には戻れないという覚悟だった」

  • 2016年1月~

03

vuls vuls

03

GithubでOSSの「Vuls」を公開

開発後、GitHubに「Vuls」を公開したところ、セキュリティ業界に大きな衝撃を与えました。

当時の脆弱性対応は、ニュースや注意喚起を待つ「受け身」の姿勢が主流でしたが、「Vuls」の登場により自社システムの脆弱性をエンジニア自らが「能動的」に、そして「圧倒的な精度」で把握することが可能となりました。

公開後、「Vuls」は口コミで多くの方へ拡散され、立ち上げたSlackコミュニティでは日本人のみでなく、海外からも多くの議論が行われるようになりました。

  • 2016年4月

04

vuls_usersesstion vuls_usersesstion

04

Vuls祭りの開催と
オープンなユーザー交流

思いがけない拡散と好反応をきっかけに2016年9月、第一回Vuls祭りを開催しました。参加者はトータル100名を超え、JPCERT/CC様も参加して「Vuls」をどのように活用するか、という議論が活発に行われたイベントとなりました。

また、2016年10月1日には3,000万を超えるプロジェクトの中で「GitHub Trending」で第1位を獲得し、より注目度を集めています。

以降、活発にユーザーとの交流を重ねて頻繁に アップデートを行っています。この頃には、OSのパッケージだけでなくアプリケーションライブラリの検査や、多様な脆弱性情報を取得できるようになりました。

  • 2016年9月~

05

hitcon_OSSsumit hitcon_OSSsumit

05

グローバルでも認められ
国際イベントに参加

Githubで公開された「Vuls」は、度重なるアップデートやユーザー交流を行い、グローバルに広まりました。


2017年はHITCON Pacific 2017(台湾) と、Open Source Summit 2017 North America(ロサンゼルス)の2つの大規模な国際カンファレンスに招待・登壇を行っています。

 

  • 2017年8月~

06

FutureVuls_改_background_white FutureVuls_改_background_white

06

商用版の「FutureVuls」提供開始

OSSの「Vuls」が普及する一方、私たちは新たな課題に直面しました。それは「見つかりすぎる脆弱性をどのように管理するか」という運用の壁です。

脆弱性を検知したあと、数千台規模のサーバーにおける「誰が」「いつまでに」「どの状態で」対応するのかというタスク管理は、OSSの範疇を超えていました。

そこで誕生したのが、商用版の「FutureVuls」です。

「FutureVuls」は「Vuls」で搭載している脆弱性スキャン機能に加え、脆弱性管理に関するプロセスの自動化やリアルタイム監視、タスク管理機能などを実装し、2018年1月15日に提供をスタートしました。

また、この頃は「Vuls」の多くの導入実績から脆弱性スキャンの対象も広がり、GitHub Security Alerts連携のスキャン、WordPressスキャン、そして独自のポートスキャン機能も搭載しています。

  • 2018年1月~

07

blackhut blackhut

07

SSVCによる自動トリアージ機能の搭載

2020年から「FutureVuls」をご活用いただいていた、株式会社マイナビ様をきっかけにSSVC(Stakeholder-Specific Vulnerability Categorization)による自動トリアージ機能を実装しました。

マイナビ様は数十種類のサービスを展開している中で数百種類以上のシステムが稼働しています。

大規模かつ限られたリソースで脆弱性管理をより効率的に行う必要があり、ビジネスインパクトに基づいたSSVC搭載の提案から議論をスタートしました。

 その後、 マイナビ様との試行錯誤を重ねてSSVCの実装を行うことができました。実装後、マイナビ様への環境に提供を行い脆弱性検知後の対応判断が大幅に自動化されたことで、全社で導入をいただいています。

また、2022年11月にはBlack Hat Middle East and Africa(中東)にも参加しています。

  • 2022年9月~

08

int_bottom_pic int_bottom_pic

08

製品のSBOM・脆弱性管理に特化した
PSIRTプランの提供開始

エンタープライズの法人向けに「FutureVuls」を提案していた際、株式会社東芝様との出会いから「FutureVuls」のPSIRTプランが生まれました。

製品を利用するユーザー企業は「公開済みの脆弱性情報」を管理する必要がある一方、東芝様のような製品を提供するメーカー企業は製品リリース後も脆弱性を修正するため「非公開の脆弱性情報」も管理する必要があります。

PSIRTプランでは、公開されている脆弱性情報だけでなく、開発過程で発生した製品独自の脆弱性情報の追加も可能となり一元管理を実現しました。

それに加えて、自社製品のソフトウェアや製品単位での構成情報の登録も可能となり、必要に応じてSBOMとして提供することも可能となりました。

  • 2024年11月~

09

top top

09

脆弱性管理から領域拡大へ―
ソフトウェアサプライチェーン管理

OSS内に潜むEOLの管理機能を大幅にアップデートし、ソフトウェアサプライチェーンリスクの可視化と一元管理が可能となりました。

国内企業が利用し本番稼働しているOSSを分析したところ、約50%がリスクに晒されていることが判明しました。インシデントのリスクのみだけでなく、EU CRA(サイバーレジリエンス法)や金融庁のガイドラインなどの法規制の強化も鑑みて、迅速にEOL検知の機能をリリースしています。

OSSに潜むEOLの分析と検知機能を実装した取り組みから、脆弱性管理のトップカンファレンス「VulnCon 2026」への登壇が決定し世界的に評価されることとなりました。

  • 2026年1月~