その高度なセキュリティカンファレンスのひとつ、昨夏開催された Black Hat USA で、ネットフリックスのシニアアプリケーションセキュリティエンジニア アラジン・アルムベイド氏が、「 astrid 」という脆弱性管理を自動化するツールの発表を行った。ここでいう脆弱性管理は、同社のシステムの多くを構成するオープンソースソフトウェア( OSS )のライブラリやパッケージの依存関係を解析し、最適なパッチを当てる支援をすることだ。
ネットフリックスのシステムは AWS 上に構築されている。1 億 5 千万人以上といわれている会員からのアクセスと動画ストリーミングを処理しているのは、クラウド( Amazon Machine Image )上のマイクロサービス群だ。これらは Linux をベースとした Java、Python プログラムによって開発されている。
巨大サービスプラットフォーマーが、AWS、Azure、GCP と OSS を利用するスタイルは別に珍しいことではないが、 OSS をベースとしたシステムやサービスにとってセキュリティ上の懸念は、ライブラリの依存関係に起因するサプライチェーン攻撃やセキュリティホールの混入だ。この 2 つにはそれぞれ別の対策アプローチが必要になる。本稿ではアルムベイド氏の講演から、そのアプローチのポイントをお伝えしたい。