「デベロッパーファースト」のコードセキュリティツールはどう使える？ ユーザーの感想は：Snykの導入経緯や効果を語る

「デベロッパーファーストのセキュリティツール」をうたうSnyk。実際にはどう使えるのか。グローバルなSaaSを開発しているユーザーが、導入の経緯や使い方、感想を語った。

[三木泉，＠IT]

　開発者向けコードセキュリティツールのベンダー、Snykが2022年6月7日に説明会を行った。この中で、セゾン情報システムズのグローバルSaaS開発責任者である有馬三郎氏が、Snyk採用の経緯と評価について語った。

　Snykは「デベロッパーファースト」のセキュリティをうたっている。 IDE（総合開発環境）からGitリポジトリ、CI/CDツールなどと統合することで、開発者が自らの開発作業の一環として脆弱性を管理できるようにしている。

　特徴的なのは「Snyk Score」と呼ばれる機能。見出した脆弱性を重大性に応じ、スコア付けして表示するため、対応の優先度を判断できる。

開発とセキュリティがサイロ化、リリースに時間がかかる

　セゾン情報システムズは、データ連携ツールHULFTやData Spiderを提供してきた企業。現在はこうしたツールをサービス化したiPaaSの「HULFT Square」を開発している。グローバルに展開するサービスとして、日米で開発作業を行っているという。顧客のセンシティブな データを扱うSaaSであるため、セキュリティには特別な注意を払う必要がある。

　セゾン情報システムズでは以前より、SAST（静的解析）、DAST（動的解析）、脆弱性ライブラリチェックなどを行ってきたが、リリースまでに時間がかかっていた。

　「QAを終えたらリリースしたいが、そこで脆弱性検査のプロセスが入ってしまう」（有馬氏）。他にも、開発とセキュリティのサイロ化の問題などがあった。

　そこで2022年1月にSnykを導入した。これにより、開発者自身がセキュリティチェックを行い、CI（Continuous Integration）プロセスでも検出する、並行してセキュリティチームがSAST、DASTなどを実行して、結果を開発チームに戻す、といった対応を行うようにしたという。