「デベロッパーファーストセキュリティ」のSnyk(スニーク)、 日本で本格事業展開:「開発プロセスに脆弱性管理を埋め込む」
セキュリティベンダーのSnyk(スニーク)が、日本における本格的なサービスの提供を開始した。同社は、開発者がスピードを犠牲とせずに、自ら脆弱(ぜいじゃく)性に対処できるツールを提供している。
セキュリティベンダーのSnyk(スニーク)は2022年2月16日、日本における本格的なサービスの提供を開始したと発表した。日本における人員を拡大し、日本語によるテクニカルサポートも開始する。 ラックやクラスメソッドが、同社製品の販売開始を発表した。
Snykの同名製品は、クラウドサービスとして提供される脆弱(ぜいじゃく)性管理ツール。カスタムコード、コンテナ、 インフラ自動化ツール(Terraformなど)の設定ファイルをスキャンし、 脆弱性を発見し、対応を促す。 オープンソースソフトウェア(OSS)については、開発中のソフトウェアと依存関係にあるOSSの脆弱性を可視化する。
ちなみにSnykは2022年2月17日に、Fugueという企業の買収を発表した。これによりパブリッククラウドの設定ミス検知も守備範囲に加えることになる。
脆弱性データベースは、CVEなどの公開データに加えて、独自の機械学習/AIを活用したスキャン、開発者コミュニティー、学術機関からの情報などを利用して、独自に構築している。
このデータベースは、Rapid7、Tenable、Trend Micro、IBM、AWS(Amazon Web Services)、Googleといった企業がライセンスしているという。一方で、脆弱性データベースの充実だけでなく、開発者が現実的な形で対処できるようにすることが重要だとしている。
SnykはDevSecOpsに焦点を当てている。
「アプリケーションとクラウドのセキュリティに新しいモデルを持ち込む。開発者が安全なソフトウェアを開発する責任を担い、セキュリティチームは脆弱性を見つけて修正することから、開発者がこのプロセスを管理し、ガバナンスを確保する支援を行う役割に移行する」(Snyk プロダクト&パートナーマーケティング統括バイスプレジデント、ラヴィ・マイラ氏)
だが、セキュリティに関する作業のためにソフトウェア開発のペースが落ちるのでは本末転倒だ。そこで、「セキュリティツールを開発者に合わせて修正するのでなく、たまたまセキュリティをカバーする開発者向けツールを作った」(マイラ氏)のだという。
SnykはIDE(総合開発環境)からGitリポジトリ、コンテナレジストリ、CI/CDツールなどと統合し、開発プロセスの一環として脆弱性への現実的な対処が行えるようにする。
「脆弱性を見出すだけでなく、優先度を付けて迅速に修正できるようアドバイスを与える。修復はワンクリックで行うこともできる」(マイラ氏)
例えば、人気のあるコンテナのベースイメージは多数の脆弱性が見られることがあるが、これは開発者の側でコントロールできない。そこでより良いベースイメージの選択肢を示す。また、開発中のソフトウェアが脆弱性のあるOSSを使っている場合、実際の依存性に応じて対処すべきかどうかをアドバイスする。
セキュリティ教育コンテンツも用意している。開発プロセスで出会ったセキュリティ問題につき、その場で学べるようにしているという。
Copyright © ITmedia, Inc. All Rights Reserved.