開発者向けのセキュリティプラットフォームを提供するSnyk(スニーク)は6月7日、オンラインによるメディア向け事例説明会を開催しました。当日は同社のジャパンカントリーマネージャー、秋山将人氏が登壇。また、導入事例の説明として株式会社セゾン情報システムズの有馬三郎執行役員が進行中のプロジェクト概要やSnyk導入の経緯などを発表しました。
Snykは2015年、アメリカのボストンで創業。Google、Amazon、salesforceなど世界各国で1,500社以上が利用している脆弱性管理ソリューションです。今年度の四半期には3億3,000万回以上が新たにスキャンとして組み込まれており、セキュリティ業界で高い評価を受けているサービスと言えるでしょう。
秋山氏は「デジタルトランスフォーメーションによって開発の仕方に変化が起きている。セキュリティも新しいパラダイムへ適合する必要がある。また、クラウドの変化に伴い、開発者の責任範囲も拡大している」と問題を提起しました。Snykは、アプリケーション開発におけるライフサイクルにセキュリティの内包化を実現させたソリューション。「Code」、「Open Source」、「Container」、「Infrastructure as Code」、「Cloud Sec Posture Management」の5つのコア製品で、緊急度の高いセキュリティニーズに対応します。開発者目線、いわゆるディベロッパーファーストで構築されたソリューションが選ばれている理由です。
HULFT Square開発にSnykを導入
セゾン情報システムズは、同社が開発している次世代クラウド型データ連携プラットフォーム「HULFT Square(ハルフトスクエア)」においてSnykを導入しました。開発責任者である有馬氏は「当社はオンプレミスからクラウドへ移行している段階。2023年3月期末にはクラウド化率100%を目指している。当プロジェクトは日米共同で展開されており、安全に利用できるセキュリティソリューションが必要だった」と話します。
HULFT Squareには「グローバルマーケットに向けた製品であること」、「マルチテナントアーキテクチャの採用」、「インターネット経由でのシステムの利用」、「多用なオープンソースライブラリの活用」、「ユーザーのセンシティブなデータを扱うELT、M F T機能の提供」という特徴があります。
開発時は静的解析(SAST)、動的解析(DAST)、脆弱性ライブラリのチェックのほか、ペネトレーションテストや脅威モデルを利用したデータアクセス保護などを実施。しかし2021年、開発プロセスにおける問題点が顕在化してきました。「SAST、DASTが後ろ回しになってしまい、サイロ化や作業工程数の増加といった悪影響が出ていた。開発者目線でシフトレフトを取り入れているSnykでワンサイクルの流れを構築し、素早く安全にリリースすることを狙った」と有馬氏は語りました。
2022年1月から導入がSnykの導入がスタート。有馬氏は導入後に評価したポイントとして「日々検知される脆弱性において、Snyk scoreは何らかの対応策を示してくれる。また、Open Sourceはライセンス遵守がリアルタイムで実施できる。ゼロデイ攻撃への対応も迅速。今春に公開されたSpringに関する脆弱性については、当日中に影響箇所の特定ができた」と述べました。
HULFT Squareは日米共同開発かつ日本発のグローバルサービスです。一層のセキュリティ強化が求められる中、開発者に寄り添うSnykのソリューションは大きな原動力となるでしょう。