「デベロッパーファーストセキュリティ」のSnyk(スニーク)、 日本で本格事業展開:「開発プロセスに脆弱性管理を埋め込む」
セキュリティベンダーのSnyk(スニーク)が、日本における本格的なサービスの提供を開始した。同社は、開発者がスピードを犠牲とせずに、自ら脆弱(ぜいじゃく)性に対処できるツールを提供している。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
セキュリティベンダーのSnyk(スニーク)は2022年2月16日、日本における本格的なサービスの提供を開始したと発表した。日本における人員を拡大し、日本語によるテクニカルサポートも開始する。 ラックやクラスメソッドが、同社製品の販売開始を発表した。
Snykの同名製品は、クラウドサービスとして提供される脆弱(ぜいじゃく)性管理ツール。カスタムコード、コンテナ、 インフラ自動化ツール(Terraformなど)の設定ファイルをスキャンし、 脆弱性を発見し、対応を促す。 オープンソースソフトウェア(OSS)については、開発中のソフトウェアと依存関係にあるOSSの脆弱性を可視化する。
ちなみにSnykは2022年2月17日に、Fugueという企業の買収を発表した。これによりパブリッククラウドの設定ミス検知も守備範囲に加えることになる。
脆弱性データベースは、CVEなどの公開データに加えて、独自の機械学習/AIを活用したスキャン、開発者コミュニティー、学術機関からの情報などを利用して、独自に構築している。
このデータベースは、Rapid7、Tenable、Trend Micro、IBM、AWS(Amazon Web Services)、Googleといった企業がライセンスしているという。一方で、脆弱性データベースの充実だけでなく、開発者が現実的な形で対処できるようにすることが重要だとしている。
SnykはDevSecOpsに焦点を当てている。
「アプリケーションとクラウドのセキュリティに新しいモデルを持ち込む。開発者が安全なソフトウェアを開発する責任を担い、セキュリティチームは脆弱性を見つけて修正することから、開発者がこのプロセスを管理し、ガバナンスを確保する支援を行う役割に移行する」(Snyk プロダクト&パートナーマーケティング統括バイスプレジデント、ラヴィ・マイラ氏)
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。