Yahoo! JAPAN

ソフトウエア開発において「オープンソース」の存在はなくてはならないもので、大手企業が開発するソフトウエアも、オープンソースを基盤に構築していることが多い。一方で、オープンソースは、セキュリティに脆弱性を抱えていることも多く、企業は思わぬリスクに直面することもある。そうした課題を解決するべく、「ソフトウエアのサプライチェーン」を守るプラットフォームを開発するのがSocket（本社：米カリフォルニア州）だ。Socketは事前にコードを解析することで、安全にソフトウエアを開発できる環境をつくっている。同社の創業者でCEOのFeross Aboukhadijeh氏に話を聞いた。

<font size=5>目次
・優秀なオープンソースに思わぬ落とし穴
・競合他社にはないSocket独自の強みとは
・デジタル化遅れる日本に大きな商機も

優秀なオープンソースに思わぬ落とし穴

―Socketはソフトウエアの開発者のためのセキュリティ・プラットフォームを提供しています。なぜ、Socketのようなサービスが必要とされているのですか?

　大企業が開発する優れたソフトウエアも、自社のコードで全て完結しているわけではなく、元を辿れば何万もの「オープンソース」（自由に使用できる）を基盤に構築しています。これは開発スピードやカスタマイズの自由度という理由が大きいのですが、もしオープンソースに脆弱性があれば、サイバー犯罪を許してしまうリスクもあります。Socketは、大企業のソフトウエア・サプライチェーンを守るサービスを開発しているのです。

　そもそも、Socketは、私自身がオープンソースの開発者であったことが創業のきっかけになっています。私が2020年にSocketを創業する前、8年ほど様々な企業でオープンソースを開発していました。特にWebTorrentやStandard JSといったプロジェクトは、ブロックチェーン技術を活用した分散型システム、Pier to Peerであり、未来を感じさせるものでした。

　オープンソースを開発し始めた私は、最初は良いものではなかったのですが、時間が経つにつれ上達し、数年経つと、とても人気のあるオープンソースソフトウエアが私のコードを使うようになりました。そのうち、段々世界の名だたる企業も私のコードをダウンロードするようになりました。今ではそのコードの月間ダウンロード数は10億を超えるほどです。

　もちろん、私にとっては喜ばしいことだったのですが、同時に恐怖も感じました。というのは、もし私がミスを犯したり、セキュリティ上問題があるコードを書いたりしたら、世界中の多くの企業に悪影響を及ぼすことになるからです。オープンソースは蔦のように絡まり合っており、ひとつに侵入されると、被害はそこでとどまらず、それを使った多数のプレイヤーにまで広がります。

　基本的に、サイバー犯罪者は、脆弱性の高いシステムを優先的に狙います。実際、私の親友はオープンソースライブラリにバックドアを仕掛けられ、ユーザーのお金を盗む仕組みを作られたこともあります。私自身、オープンソースに由来するインシデントを数ヶ月に1回は聞いていました。

　私自身が開発者であったこともあり、オープンソースを含めた、ソフトウエア・サプライチェーンをいかにして守れるかを考え、Socketを立ち上げたのです。

―オープンソースにはそれだけ脆弱な部分があるのですね。

　はい。実際、2024年初頭に発見された「XZ Utils」によるバックドア事件*からわかるよう、今やオープンソースの脆弱性は国家安全保障の問題にまでつながってきています。

　今日ではありとあらゆる業界がSocketの利用者であり、AnthropicといったAI企業をはじめ、暗号資産やWeb3を扱う企業、米国の4大銀行のうちの一行、Fortune 100にランクインするような企業も顧客です。

*XZ UtilsはLinuxシステムで広く使われるオープンソースの圧縮ツールで、多くの企業や政府機関が利用している。同事件では中国・ロシアの関与が疑われており、XZ Utilsに意図的なバックドアが仕掛けられていて、リモートからLinuxサーバーに接続し、制御権を奪う可能性があった。

Feross AboukhadijehSocketFounder & CEO米・スタンフォード大学でComputer Scienceの学士号、修士号を取得。Yahoo（現：Altaba）に買収されたPeeerCDNや、Study Notesなどのスタートアップを創業。2016年以降はBitMidiやBrave Software、WebTorrentなどの企業のOpen Source Developerとして活動する。2020年6月にSocketを創業、CEOに就任。

競合他社にはないSocket独自の強みとは

―具体的に、Socketはどのようにソフトウエア・サプライチェーンを守っているのですか?

　私たちのアプローチは、使用するコードが安全なものか「事前に」確認できるものになっています。従来のソリューションは米国政府が提供するNational Vulnerability Databaseに基づき、既知の脆弱性（すでに問題を検知したコード）を発見するものでしたが、Socketは一歩踏み込んで、未知の脆弱性に対する攻撃も防ぐことができます。

　具体的には、「静的コード解析」と呼ばれる、ソフトウエアを実行することなくコードの動作を仮想的に再現し、リスクを分析する手法を採用しています。マルウェアは挿入されていないか、不審な権限が要求されていないか、ライブラリの脆弱性はないかを解析するのです。

　その上で、LLM（大規模言語モデル）を使い、コードの品質やゼロデイ攻撃への対応を強化します。SocketのLLMは、「このコードが実行された場合、どのようなリスクが発生するか」というシナリオを提示し、リスクを潰していくのです。

　最後に、Socketが抱える専門家集団がこれらの解析結果をチェックします。AIが特定したリスクが妥当であるかや、コードの文脈に応じたリスク評価など、人間ならではの包括的リスク対応策を提言できるのです。

image : Socket HP

デジタル化遅れる日本に大きな商機も

　私たちは急成長を遂げています。Socketは現在、7,500もの組織で活用されていますし、GitHub上の30万以上のコードリポジトリを保護しています。2024年は400％の収益成長を記録しましたし、従業員も3倍ほど増えました。

―日本市場に参入する可能性はありますか?

　もちろんです。すでにアジアではシンガポールの顧客がいますし、日本の顧客がいればぜひ参入したいと考えています。

　日本はハイテク国家で、サプライチェーンにおいて、リスクもその分大きいでしょう。日本市場は他国に比べると、クラウドやAIといった分野で少し遅れていると感じます。今後、こうした分野に各業界が移行するにつれて、リスクも増えていくでしょう。Socketが求められる余地も大きいと考えています。

―日本市場への進出を考えた時、どのようなパートナーを求めていますか?

　代理店やチャネルパートナーといった形態がベターでしょうか。セキュリティの分野においては、基本的に顧客企業は代理店を通してソリューションを選びます。日本市場を知り尽くした代理店と話がしてみたいですね。

　他には、金融やAIといった分野の企業との提携にも関心があります。特にAIは単なるデータの集積ではなく、実際にコードを実行していますから、常にセキュリティリスクが発生します。Socketが未然に防げるリスクは多数あるでしょう。

従業員数なし