プロダクトライフサイクルでのシフトレフトを推進―開発者ファーストの思想で一貫したDevSecOps環境を実現するSnyk

はじめに

開発と運用を一体化するDevOpsを採用する企業が増加する一方で、懸念されているのがセキュリティ対策だ。その懸念を払しょくする取り組みとして注目されているのが、DevSecOpsだ。DevSecOpsを実現するための「シフトレフト」を支援するクラウド型のセキュリティプラットフォーム「Snyk」を提供するSnyk社のキーパーソンに、Snykの特徴について聞いた。

シフトレフトに伴う
開発者の新たな役割を支援

デジタルが社会に浸透し、多様なサービス提供が求められるなか、迅速かつ柔軟な開発に対応するDevOpsに取り組む開発現場が増えている。しかし、その障壁となっているのがセキュリティ対策。ウォーターフォール型開発のようにリリース直前にセキュリティスキャンを行ってしまうと、DevOpsのメリットであるスピードが損なわれてしまう。「そこで必要となるのが、セキュリティ工程を前倒しして実施する『シフトレフト』です」と語るのが、Snyk株式会社 シニアソリューションエンジニアの古山早苗氏だ。

Snyk 株式会社 シニアソリューションエンジニア 古山 早苗氏

同社が提供するDevSecOpsのプラットフォーム「Snyk」は大規模な脆弱性のデータベースを基盤とすることで、開発工程で脆弱性をチェックして修正できるようになり、セキュリティ工程の前倒しを可能とした。Snykのプラットフォームでは、開発者が書くコードだけでなく、オープンソースとそのライブラリの依存関係、コンテナやIaC (Infrastructure as Code) における脆弱性も発見し、その修正案を提案できる。開発者が使い慣れた統合開発環境(IDE)やGit、CI/CDパイプラインに組み込むことで、負担をかけずにセキュリティチェックが行えるようにした(図参照)。

プロセスの各場面で利用可能なSnykアプリケーションセキュリティ

これまで世界2500以上の企業が採用しており、日本でも業種を問わず様々な企業が活用している。この背景について古山氏は「本気でDevSecOpsに取り組み、社内に定着させようと努力されている企業が増えています。その中でも最初からセキュアに開発したいという動きが見られます」と述べた。

生成AIによる自動修正と
SBOM対応の新機能

Snykは2023年6月、アプリケーションセキュリティポスチャー管理(ASPM)の先駆者であるEnso Securityを買収し、開発者を支援する機能を強化した。そのひとつである「DeepCode AI」は、検出した脆弱性に対しAIがコードを生成し、自動修正できる機能だ。「生成AIの出力結果にはライセンス違反や脆弱性が含まれている懸念があります。当社の場合は、そういった問題が含まれていないセキュアな学習データを使用していますし、提案前にも再度チェックを行って、安全性が確認されたコードのみを提案します。開発者の方に余計な負担をかけずにセキュアなコードを使って修正していただけます」(古山氏)

もうひとつの機能である「Insights」は、ASPM機能を提供する。ソフトウェアの開発から導入、運用に至るまでの各段階でのセキュリティ問題を様々なツールで分析する。そこで検出した問題を統合・可視化し、解消すべきリスクの優先度を示して安全な状態の維持管理を支援する。

古山氏はSnykの需要について「近年、企業がグローバルにビジネスを展開する上で、SBOM(Software Bill of Materials、ソフトウェア部品表)への対応が強く求められています。日本でも経済産業省が2023年7月28日に手引書を策定しました。SnykはSBOMにも対応できることからお問い合わせが増えており、お客様の関心の高さを感じます。これを機会にDevSecOpsやソフトウェア開発のライフサイクル管理への取り組みをより積極的に進めていただきたいと思います」と語った。

デベロッパーファーストを掲げながら、DevSecOpsに関わる組織全体へと支援の幅を広げるSnykの動向に今後も注目したい。