Netflix の OSS マイクロサービス群を守る脆弱性管理自動化ツール「astrid」とは？

　巨大プラットフォーマーのセキュリティ対策の実体は、なかなか表には出てこない。当然だ。対外的な取り組みやコミュニティ活動では、アップル、グーグル、マイクロソフトなどはイニシアティブを発揮しているが、彼らが内製している開発ツール、システムは、一部の高度なセキュリティカンファレンスで発表があるくらいだ。

　その高度なセキュリティカンファレンスのひとつ、昨夏開催された Black Hat USA で、ネットフリックスのシニアアプリケーションセキュリティエンジニア アラジン・アルムベイド氏が、「 astrid 」という脆弱性管理を自動化するツールの発表を行った。ここでいう脆弱性管理は、同社のシステムの多くを構成するオープンソースソフトウェア（ OSS ）のライブラリやパッケージの依存関係を解析し、最適なパッチを当てる支援をすることだ。

　ネットフリックスのシステムは AWS 上に構築されている。1 億 5 千万人以上といわれている会員からのアクセスと動画ストリーミングを処理しているのは、クラウド（ Amazon Machine Image ）上のマイクロサービス群だ。これらは Linux をベースとした Java、Python プログラムによって開発されている。

　巨大サービスプラットフォーマーが、AWS、Azure、GCP と OSS を利用するスタイルは別に珍しいことではないが、 OSS をベースとしたシステムやサービスにとってセキュリティ上の懸念は、ライブラリの依存関係に起因するサプライチェーン攻撃やセキュリティホールの混入だ。この 2 つにはそれぞれ別の対策アプローチが必要になる。本稿ではアルムベイド氏の講演から、そのアプローチのポイントをお伝えしたい。