「デベロッパーファースト」のコードセキュリティツールはどう使える？ ユーザーの感想は：Snykの導入経緯や効果を語る

「デベロッパーファーストのセキュリティツール」をうたうSnyk。実際にはどう使えるのか。グローバルなSaaSを開発しているユーザーが、導入の経緯や使い方、感想を語った。

[三木泉，＠IT]

　開発者向けコードセキュリティツールのベンダー、Snykが2022年6月7日に説明会を行った。この中で、セゾン情報システムズのグローバルSaaS開発責任者である有馬三郎氏が、Snyk採用の経緯と評価について語った。

　Snykは「デベロッパーファースト」のセキュリティをうたっている。 IDE（総合開発環境）からGitリポジトリ、CI/CDツールなどと統合することで、開発者が自らの開発作業の一環として脆弱性を管理できるようにしている。

　特徴的なのは「Snyk Score」と呼ばれる機能。見出した脆弱性を重大性に応じ、スコア付けして表示するため、対応の優先度を判断できる。

開発とセキュリティがサイロ化、リリースに時間がかかる

　セゾン情報システムズは、データ連携ツールHULFTやData Spiderを提供してきた企業。現在はこうしたツールをサービス化したiPaaSの「HULFT Square」を開発している。グローバルに展開するサービスとして、日米で開発作業を行っているという。顧客のセンシティブな データを扱うSaaSであるため、セキュリティには特別な注意を払う必要がある。

　セゾン情報システムズでは以前より、SAST（静的解析）、DAST（動的解析）、脆弱性ライブラリチェックなどを行ってきたが、リリースまでに時間がかかっていた。

　「QAを終えたらリリースしたいが、そこで脆弱性検査のプロセスが入ってしまう」（有馬氏）。他にも、開発とセキュリティのサイロ化の問題などがあった。

　そこで2022年1月にSnykを導入した。これにより、開発者自身がセキュリティチェックを行い、CI（Continuous Integration）プロセスでも検出する、並行してセキュリティチームがSAST、DASTなどを実行して、結果を開発チームに戻す、といった対応を行うようにしたという。

　有馬氏は、Snykを採用してよかった点として、次を挙げた。

• Snyk Scoreで開発者自身が対応の優先度を判断できるので、大きなコードベースを持つHULFTSquareのプロジェクトにおける対応の迅速化とスケーリングができた
• SnykのOSS脆弱性検知ツールは、ライセンス関連情報も示すため、利用リスクのあるライセンスを確認できる
• ゼロデイ対応では、Springの脆弱性の公開当日に影響箇所が特定され、修正ができた
• カスタマーサクセス担当者とSlackでコミュニケーションを取り、不具合確認やセキュリティに関する相談ができる

見出された脆弱性、全てに対応しなくていい？

　Snyk Scoreで対応の優先度が示されるのはいいが、脆弱性が検知されている以上、全てに対応したくなるのではないか。これについて、有馬氏は次のように答えた。

セゾン情報システムズの有馬氏

　「管理者目線からすると、脆弱性は全て直して欲しい。 しかし多くのライブラリを使っているので 、脆弱性は日々検知される。それをゼロにしようとすると、脆弱性修正だけのために開発をしていかなければならない。 『ゼロでなければ何がいいか』を考えるうえで、Snyk Scoreは参考になる。一定の基準を決めて、それ以上の脆弱性は潰す。それ以外はファイアウォールなどの多層防御でサービスを守るようにしている。対策をやりすぎないためにも、Snyk Scoreは役立つ」

　新たにSnykの日本カントリーマネジャーに就任した秋山将人氏は、「アジャイルな開発とデリバリが日本で広がる際に、エンジニアが足りない状況では、開発者側でできるセキュリティ対応をしていかなければならない。Synkでは開発プロセスの中にコードセキュリティを組み込んでいることが強み。セキュリティツールでなく開発者用ツールという考え方で、DevSecOpsを推進していきたい」と話している。