この記事は 「Snykを使って開発者セキュリティにまつわる記事を投稿しよう! by Snyk Advent Calendar 2022」の4日目です。ぜひカレンダーにご参加ください!
本記事は2022年11月8日に公開した英語ブログ SnykLaunch recap: Snyk Cloud, SBOM & reporting capabilities, and customer solutions resources を日本語化した内容です。
11 月 8 日の SnykLaunch (注記:日本では12月1日にSnyk Launch 2022イベントを開催) では、開発者ファーストの Snyk 製品スイートへの最新の追加機能が、プロダクトリーダーから発表されました。また、ライブデモで、視聴者を対象に新機能のプレビューをご紹介しています。特に、Snyk Cloud を発表できることを嬉しく思います。これはクラウドの脆弱性を発見し、修正するために状況に応じたアプローチを採用するクラウドセキュリティツールです。私たちがリリースしたすべての製品には、究極の目標があります。それはチームが開発者ファーストのツールを使い、セキュリティ脆弱性を発見し、優先順位を設定して修正できるようにするというものです。
2022 年末を迎えようとする現在、アプリケーションリスクの特定と対応は、過去数年間とは様相が異なっているようです。まず、開発スピードが速くなっています。開発者の数は年々、セキュリティ部門よりも早いペースで増加しています。その結果、セキュリティについて責任を分担する必要性がますます高まっています。
さらに、ソフトウェアのサプライチェーンも複雑化しています。この業界はサードパーティコード、IaC (Infrastructure as Code)、およびクラウドサービスに大きく依存しています。そこでエンドツーエンドのセキュリティというアプローチに注目すると、アプリケーションのコードだけでなく、そのアプリケーションを支えるインフラ、クラウド、コンテナ、オープンソースコンポーネントについての取り組みが必要となります。
最近では、Cloud as Code への移行が進んでいます。インフラのプロビジョニングや維持管理は、もはや IT 部門だけの責任ではありません。今後は、開発者がクラウドインフラの維持管理の責任の多くを担うことになります。そのため、開発者は作成したアプリケーションの全容を理解し、SDLC に包括的なクラウドセキュリティツールを組み込む必要があります。
このような変化を念頭に置き、Snyk は開発、セキュリティ、エンジニアリングのチームの環境を向上させる方法を常に探しています。最新の追加機能は、ソフトウェア部品表 (SBOM) の管理、IaC のコンテキストでのクラウド脆弱性の修正、より詳細なレポートの作成、そしてセキュリティジャーニー全体でのチームのサポートに重点を置いています。
SBOMツール
最近のアプリケーションはゼロから開発するのではなく、「組み立て」をするようになっています。開発チームも多くの場合、アプリケーションをすべてゼロから開発する代わりに、オープンソースコンポーネントを活用しています。このオープンソースの利用の増加に伴い、サードパーティリスクが大幅に高まっています。そのため、ソフトウェア部品表 (SBOM) を維持してサードパーティコンポーネントを慎重に管理することは、もはや単なる「やっておきたい対策」ではありません。現在、SBOM を用意することは必要不可欠です。そして、SBOM なら何でも良いというわけではなく、適切なチームが見ることができ、相互運用性があり、正しいコンテキストに統合されたものである必要があります。
このため、私たちは SBOM のサポートを強化し、チームによる SBOM の作成と脆弱性スキャンを数分で完了するようにしています。今回、SBOM に関する新しいソリューションを 3 つ、発表しています。
● SBOM API および CLI - Snyk の開発者ファーストの API および CLI ツールで SBOM を生成し、直接的な依存関係や推移的な依存関係を文書化できます。
● SBOM チェッカー - SBOM の脆弱性をチェックする無料の Web ツール。Snyk のアカウントは必要ありません。
● Bomber 0.3.4 - SBOM の脆弱性をスキャンするオープンソースプロジェクト。Snyk はプロバイダーとしてサポートされているため、Bomber は Snyk 脆弱性データベースより直接、脆弱性情報を検索することができます。
IaC のコンテキストを活用したクラウドセキュリティツール
Snyk Cloud も発表され、製品スイートに新たに加わりました。従来、クラウドセキュリティツールはリリース後に脆弱性を検出することを目的としていたため、開発者はわざわざコードにさかのぼって、脆弱性を修正しなければなりませんでした。一方で Snyk は、ソフトウェア開発ライフサイクルのできるだけ早い段階で脆弱性を検出し修正する、クラウドセキュリティにおけるプロアクティブなアプローチをサポートしています。
通常、開発プロセスの早い段階でクラウドセキュリティの脆弱性を正確に特定することは困難です。IaC スキャンとクラウド環境のスキャンでは、それぞれ独自のツールが必要になり、ルールセットや検出結果も異なるからです。別々のクラウドセキュリティツールを使い分けるのはチームにとって大きな負担となります。設定ミスが稼働中の環境に当てはまるか判断できず、ノイズが多数発生してしまうのです。
この「ノイズ」の問題に対応するため、Snyk では IaC と、コンテキスト提供のためのクラウド環境のインサイトを組み合わせています。Snyk Cloud は統合ポリシーエンジンにより、クラウドの本番環境の状態を考慮して IaC を分析します。重要な修正の優先的対応を可能にしながら、意味のないアラートを排除できます。クラウドチームは、クラウドと IaC の両面からセキュリティの問題を確認し、それを修正するためのガイダンスを参照できます。また、クラウドセキュリティの担当者は、ポリシーエンジンを一元管理できるため、セキュリティ部門と開発者の情報共有が促進され、混乱や作業の重複を防ぐことができます。
Snyk Cloud の追加により、Snyk 製品スイートでアプリケーションが完全にカバーされるようになりました。Snyk はユーザーのコード、コンテナ、サードパーティライブラリ、クラウドインフラをスキャンし、ダッシュボードから詳細なレポートを提供して修正手順を提案します。加えて、Policy as Code を実現する統合ポリシーエンジンにより、クラウドポリシーの一元管理を確立します。その結果、クラウドチームは自動化を強化し、ノイズを削減できます。
新しいレポート機能
製品チームは、SnykLaunch で新しいレポート機能のデモも行いました。これらの新機能を開発したのは、セキュリティに高い可視性と管理性を求める業界全体のニーズに応え、重要なデータを見逃すことがないようにするためです。TopCoat の買収により、既存のレポーティング機能が向上しました。脆弱性データのドリルダウン機能と全体像の表示で幅と深さが向上しています。データレポートの範囲が新たに拡大したことで、お客様は以下のようなレポートを作成できるようになりました。
● チーム/事業部門ごとにフィルタリングした問題の詳細レポート
● 指定時間範囲でトレンドを調べた問題のサマリーレポート
● リスクの詳細レポート。脆弱性の増加や MTTR が高い値を示す傾向など、リスクが潜む組織内のグループを強調します。
また、パッケージ名などのメタデータ他、エクスポート可能なフィールドを追加しました。これらのレポート機能強化により、Snyk ユーザーは柔軟かつあらゆる粒度において、Snyk データを活用することができます。修正作業の優先度設定、適切な脆弱性管理の実施、コンプライアンスの達成と証明、関係者向けレポート作成が、すべて改善できるようになりました。
Snyk が提供するカスタマーソリューション
さらに、お客様の成功を継続的にサポートするための新サービスを発表しました。新しくリリースされたセルフサービスリソースには、製品の導入、管理/設定、および使用して問題を検出して修正するためのセルフサービスコースが含まれています。また、ユーザー向けリソースすべてが、便利な1か所のユーザーハブにまとめられているため、情報を簡単にすばやく見つけることができます。
また、Snyk ユーザーに実践的な専門ノウハウを提供するサービスも追加されています。新規ユーザーや既存ユーザーに対する一般的なサポートとして、キックオフセッションとオフィスアワーをご利用いただけます。また、きめ細かなサポートを提供する 2 段階のサービスを提供開始しました。導入ガイダンスのための Snyk Accelerate および継続的なコンサルティングを提供する Premium Care です。
SnykLaunch をオンデマンドで見る
私たちは Snyk のイノベーションを多数発表できることを嬉しく思っています。また、ソフトウェアエコシステム全体でのリスクのプロアクティブな修正において、先駆者であることを誇りに思います。私たちは、Snyk ユーザーの皆様が新機能を活用し、安全なアプリケーションを開発されることを願っています。
SnykLaunch のオンデマンド視聴用録画を再生して、新機能のプレビューをご覧いただき、開発者ファーストのセキュリティである Snyk のアプローチの詳細をご確認ください。なお、動画は英語のみとなります。日本語はイベントでのみ視聴可能で、日本語の動画は公開しておりません。ご意見やご質問がございましたら、製品チームまでお気軽にお問い合わせください。