日米共同プロジェクト、日本発のグローバルサービス「HULFT Square」を護る脆弱性管理ソリューション
株式会社セゾン情報システムズはこのほど、次世代クラウド型データ連携プラットフォーム「HULFT Square(ハルフトスクエア)」の開発において、脆弱性管理ソリューション「Snyk(スニーク)」を導入しました。これを受けて同サービスを提供しているSnyk株式会社は6月7日、オンラインでメディア向け事例説明会を開催。当日はHULFT Squareの開発責任者を務めるセゾン情報システムズ執行役員、有馬三郎氏が登壇しました。
【Snyk株式会社についてはこちらの記事】
セゾン情報システムズは「時間、場所、人に依存しない働き方」や「業務の効率化による生産性向上」、「オンラインによるコミュニケーションの拡充」といったDX化を積極的に推進。2023年3期末までに100%クラウド化を目指しています。主な業務の一つであるHULFT Squareは日米共同のプロジェクト。世界中のデータをつなぐ、日本発のグローバルサービスとして日々アップデートされています。
有馬氏は「あらゆる人が関係するサービスだからこそ、安全に利用してもらいたい。Snykは安全なソフトウェアを提供するために、開発や運用チームがセキュリティを共同責任として参加する手法『DevSecOps(デブセクオプ)』を提唱していた。一方、我々は組織内のデータ管理者とデータ利用者におけるコミュニケーションの向上、データフローの統合や自動化に重点を置く『DataOps(データオプス)』を推奨。セキュリティに対する意識がマッチしたこともあり、導入を決めた」と語ります。
“シフトレフト”でセキュリティ担保を優先的に
HULFT Squareは「グローバルマーケットに向けた製品」、「マルチテナントアーキテクチャ採用」、「インターネット経由でのシステム利用」、「多様なオープンソースライブラリの活用」、「ユーザーのセンシティブなデータを扱うETL・MFT機能の提供」という特徴があり、同社は早くからセキュリティ対策に尽力してきました。
「開発時は基本的なSAST(静的解析)やDAST(動的解析)はもちろん、ペネトレーションテストも実践してきた」と有馬氏。一方、「2021年の開発プロセスでSASTやDASTが後ろ回しになり、サイロ化による悪影響が出てきた」と問題点を指摘しました。
この問題点を解決したのが“シフトレフト”。開発のライフサイクルが短期間化する中、リリースのスケジュールを妨げずにセキュリティに関わる工程を前倒しして実施していく考えです。「Snykのサービスはシフトレフトを踏襲しており、かつ開発者目線のソリューションを提供してくれる」と有馬氏は話しました。有馬氏はSnyk導入の決め手を「SASTの充実したラインナップ」と「GitHubとの連動性の高さ」を挙げており、いずれも開発者にとっての使いやすさが考慮されています。
高精度データベースを活用
Snykのジャパンカントリーマネージャー、秋山将人氏は「当社は先進的なセキュリティインテリジェンスを高い精度で提供するために、データベースにかなりの労力を費やしている。他の商用データベースの約3倍となる脆弱性を登録しているほか、コミュニティとの連携や専門チームによる誤検知率の低減、迅速な修正情報の提供などがストロングポイント」としました。
この高精度なデータベースは、HULFT Squareプロジェクトのセキュリティ対策において大きな役割を果たしています。「日々検知される脆弱性の全てに対策するのは非現実的。その中でSnykのソリューションは何から対応すべきか示してくれる。これにより、セキュリティチームの判断が早くなった」と有馬氏。また、ゼロデイ攻撃についても「このほど公開されたSpringに関する脆弱性も、公開当日に影響箇所を特定することができた。セキュリティチームの活動効率化につながっている」と高い評価を下していました。
IT技術の発展からDX推進へと移り、世の中のあらゆるデータがつながり出しています。そこには必ず脆弱性が存在します。開発者にとっては大きな負担となります。開発者に寄り添うディベロッパーファーストの脆弱性管理ソリューションは今後、注目されていくのではないでしょうか。