CLOSE

Keynote(全2記事)

2022.02.28

Brand Topics

PR

日々忙しい開発者、毎日出てくる脆弱性…… 迅速なセキュリティホールの優先順位づけを実現するSnykの「セキュリティ・インテリジェンス」

提供:Snyk株式会社

「SnykCon 2021」は、開発チームとセキュリティチームが協力してソフトウェアを安全に構築するためのカンファレンスです。全2記事。後半は、それぞれの新機能と、Snyk社の今後の展望について。前回はこちらから。

「Snyk Open Source」のC++サポートデモ

ガレス・ラッシュグローブ氏(以下、ガレス):皆さん、こんにちは。ガレス・ラッシュグローブと申します。Snyk社の製品開発バイスプレジデントを務めています。今回は「Snyk Open Source」の新しいC++サポートのデモをお見せします。それでは早速やってみましょう。

私が作っている小さなC++アプリケーションがあります。ここには、最終的に私が入れたソフトウェアの依存関係がいくつかあります。オープンSSL。IPテーブル。私はこれを小さなネットワークツールで作っています。

しかし、C++はすべてのプロジェクトの一部として、強力なパッケージ管理のような哲学を持っているわけではありません。だからこそ、新しい「Snyk unmanaged」コマンドを導入したのです。これにより、このようなプロジェクトを分析することができます。依存関係を見つけ、そのバージョンを知ることができます。

これには、最近買収しSnykにジョインしたFossIDが開発した強力な多くの技術が使われています。そのため、ボンネットの中で、すべてのコードを照合すると、これは間違いなくオープンSSLであることがわかります。これは間違いなくIPに対応しています。このバージョンです。

そのコードを、私たちの脆弱性データベースと照合します。ここでは、いくつかの依存関係が見つかっています。多くの脆弱性があることがわかります。そして、どのファイルがその照合に使われているのか、どのように修正すればよいのかを特定する手助けをしています。

「Snyk Test」は、ローカルで使用できるツールです。素早くフィードバックを得たり、CI/CDシステムに統合したりするのに適しています。

「Snyk Unmanaged Monitor」を使用して、その情報をSnykに送信することもできます。これによって、集約されたレポートへのアクセスが可能になり、それに基づいて構築された多くのポリシー機能が利用できるようになります。

また、チーム内の他の開発者と、情報を簡単に共有できる便利で素敵なダッシュボードも用意しています。ここでは、すべての脆弱性がキレイに優先順位づけされて表示されています。「Snyk Open Source」の他のところと同様に、多くのリッチなデータを追加しています。

もしあなたがC++の開発者であれば、この良さがわかると思います。試してみたいと思いませんか。もし試してみたいと思ったら、ぜひSnykの無料トライアルをお試しください。

ありがとうございました。

「Snyk Code」はサポートする言語を毎月追加している

アネル・マズル氏(以下、アネル):「Snyk Code」は私たちの最新製品です。2020年に発売されたこの製品は、あなたが書いたコードのセキュリティ問題を発見し、修正するのに役立ちます。

最初はJavaとJavaScriptをサポートしていましたが、急速に拡大して、より多くの言語をカバーするようになりました。現在では、Python、C#、Ruby、PHPをサポートしており、Goのサポートのベータ版を開始したばかりです。まだまだこれからですが、毎月新しい言語を追加しています。

また、Snyk Containerのエコシステムのサポートも強化しています。コンテナレジストリの統合を拡張し、Quay、GitHub Container Registry、DigitalOcean、GitLab、Google Artifact Registry、Harborなどのさまざまなレジストリサービスをサポートしています。

ほかにも、Docker社と独占的に提携し、「Docker Scan Command」を開始しました。これにより、Dockerデスクトップをお使いの皆様に、Snykを直接お使いいただけるようになりました。

また、オープンソースのコンテナスキャンツールであるTrivyで、リッチなコンテナの脆弱性データベースを使用するためのサポートをリリースしました。

SnykConでは、Kubernetesアプリケーションセキュリティのトークトラックで、Snyk Containerと、さまざまなコンテナエコシステムのツールを使ったデモを見ることができます。

最後になりますが、Snyk Infrastructure as Codeのサポートも強化しています。

Kubernetesのマニフェスト、Terraformのコード、AWS、Azure、GCPのどれを使っていても、AWS CloudFormationで技術的な設定の問題をサポートするようになりました。

また、CISのような公表されたベンチマーク、公式のベストプラクティス・ガイダンス、独自のセキュリティ調査から発見された問題などをカバーするものを大幅に拡充しました。また、Terraform Cloud自体への統合も新たに行いました。

すべてを紹介することはできませんが、HashiCorp社と一緒に構築したデモをロン・タル氏に見せてもらいましょう。

SnykとTerraform Cloudの新しい統合

ロン・タル氏(以下、ロン): SnykとTerraform Cloudの新しい統合により、Terraformを使用しているチームは、ソフトウェア開発ライフサイクルの一環として、これらの問題が本番環境に到達する前に、セキュリティの誤設定を追跡、管理、修正できるようになりました。

統合されたTerraform Cloudの各ワークスペースでは、各実行時にセキュリティスキャンが行われます。つまり、Terraformプランファイルに加えられたすべての変更が、セキュリティの誤設定ではないか、スキャンされるのです。

統合のスキャンは、勧告的に設定もできますし、スキャン結果に基づいてデプロイを行うことができるように必須に設定することもできます。

SnykのUIでは、監視しているワークスペースの詳細を確認できます。発見された各セキュリティ問題には、潜在的な影響、重大度、および修復のアドバイスが提供されます。

また、問題が発見されたTerraformのリソースパスについても推奨しているので、Terraformのソースコードで修正ができます。

この統合は完全にカスタマイズ可能で、特定の問題を無視したり、深刻度を上書きしたり、失敗の閾値を設定したりできます。AWS、GCP、Azureなどの主要なクラウドプロバイダーとの統合を使用でき、各スキャンを最新のセキュリティポリシーの増え続けるライブラリに対して実行させることができます。

「セキュリティ・インテリジェンス」の強化部分

アネル:次に、脆弱性の特定と、優先順位づけを支援するプラットフォームの「セキュリティ・インテリジェンス」の強化点に注目してみましょう。脆弱性管理プログラムでは、豊富で正確、かつタイムリーな脆弱性情報が不可欠です。

しかし、少なくともいくつかの追加情報がなければ、それらの脆弱性に優先順位をつけることは難しいでしょう。多忙な開発者やセキュリティアナリストの1日。別の日に、別の脆弱性。CVSSスコアは中程度です。あまり見るべきものはないでしょう?いいえ、そうではありません。

これは「Heartbleed」というものです。インターネットを破壊する恐ろしいバグです。しかし、インターネットが爆発的に普及し、このバグが独自の派手な名前、ロゴ、ウェブサイトを持つようになるまで、あなたはそのことを知らなかったかもしれません。

何かが自分にとって本当に重要なのかを知るためには、静的な脆弱性情報だけでは不十分であることがよくあります。そのため、Snyk SecurityのR&Dチームは、私たちが提供する高品質な脆弱性情報を補強するために、多くの作業を行っています。エクスプロイトの詳細は、公開された時点で記載しています。

2020年、何度か起こった、パッケージ改ざんなど、悪意があった問題には、フラグを立てています。これは、Snykがお客さまの環境で、脆弱性を悪用するために必要な具体的な設定やコードの流れを調査する機能で、脆弱性の条件を開始したばかりです。

その環境では、脆弱ではない脆弱性の優先順位を下げる手助けをします。リリースしたばかりの機能の中でも特に注目を集めているのが、「ソーシャルトレンド」です。脆弱性に関するソーシャルメディアの話題を追跡し、それを分析コンテキストの中でハイライトして、優先順位をつけることができます。セキュリティ研究開発部門のディレクターであるベンジ・カルマンが、この機能をデモしてくれます。

「ソーシャルメディア・インテリジェンス」のデモ

ベンジ・カルマン氏(以下、ベンジ):ありがとう、アネル。

これは、開発者が脆弱性をトリアージして、修正すべきかどうかを判断する時に役立つように作られた「ソーシャルメディア・インテリジェンス」(SOCMINT)の機能です。

ここにあるように、これは小さなテストプロジェクトで、その中には複数の異なる脆弱性があります。これらの脆弱性をトリアージして、どれを最初に修正するか選択する必要があります。

私たちが追加したのは、ソーシャルトレンドにフラグを立てた便利なバッジです。(スライドを示して)ここに表示されているのはトレンドです。このバッジにカーソルを合わせると、この脆弱性がTwitterでトレンドになっていることがわかり、これは脅威の拡大を表している可能性があります。理由はいくつかあります。

まず、脆弱性が初めて公表される前の3ヶ月間、Twitterなどでソーシャルな議論が行われていたことがわかりました。さらに、Twitterでの議論と、ある脆弱性に対するエクスプロイトの公開、およびその脆弱性を利用した不正侵入の発生に、非常に高い相関関係があることがわかりました。私たちのアルゴリズムでは、80パーセントの確率で、脆弱性が公表される前に、その脆弱性に対する悪用が公表されていることを特定できるのがわかりました。

情報の提供により、ユーザーにとって危険な状態になる前に、この脆弱性をトリアージして調べることを選択できるようになりました。また、単にバッジを付けるのではなく、ツイートにアクセスして、何について話しているのかを確認できるようにURLを追加しています。この脆弱性については、多くの出版物が発行され、Twitter上でもさまざまな議論が起こっており、この脆弱性を閲覧し、それについて考え、悪用を公表したり、侵害に利用しようと考える人々を手助けする可能性があることがわかります。

これらのことを総合すると、これは調べる価値のある機能であり、それに基づいて脆弱性の優先順位をつける価値があることをお知らせするべきだと考えます。

真のプラットフォームであるために重要な「拡張性」

アネル:次は、開発者が開発者のために設計したプラットフォームの、最も重要な側面の1つである「拡張性」について説明します。

真のプラットフォームであるためには、その上に人々が構築し、他のツールに統合して、より便利で価値のあるものにすることが重要です。Snykの製品は、ソフトウェア開発のライフサイクル全体にわたって、クラウドネイティブアプリケーションのセキュリティを確保できるように設計されています。

Snykは、開発者であるあなたに、脆弱性の発見、解決、防止を支援する強力なツール群を提供することが重要だと考えています。Snykの製品を支えるプラットフォームコンポーネントを開発者向けのAPIで公開することで、Snykの開発に使用しているのと同じツール群をお客さまに提供します。

プロジェクトのインポート、脆弱性のテスト、脆弱性の状態の追跡。これらすべてを、あなたの好きな言語とフレームワークで行えます。SnykのAPIは、Snykの開発者体験をカスタマイズ、自動化、拡張するために、お客さま、パートナー、そしてオープンソースコミュニティによって幅広く利用されています。

Atlassian、AWS、DigitalOcean、HashiCorpなどのすばらしいパートナーと協力し、あなたが毎日使っているツールのネイティブな延長のように感じられる開発者のセキュリティ体験を提供しています。

また、Snykは成長を続けています。

SnykのAPIは、2020年の同時期と比べて、1日あたり400万件のリクエストを処理しています。Snykで管理されているプロジェクトの数も指数関数的に増加しています。言うまでもなく、私たちはお客さまがどのように仕事をしたいか、Snykで何を作りたいかについて、これまでに多くのことを学んできました。

本日(※発表当時)、最新のオープンAPI仕様に基づいたSnyk APIのバージョン3を発表することができました。V3は、一貫したバージョン管理、ページネーション、キャッシングを備えた、一貫性があり、親しみやすく、使いやすいガイド原則のセットです。パフォーマンスも飛躍的に向上し、95パーセンタイルで20倍の向上を実現しています。そして何よりも、今すぐ使い始めることができます。レガシーAPIに加えて、課題、プロジェクト、ターゲットのエンドポイントも利用可能です。

「Snyk Code」はバージョン3までしか利用できません。今後数ヶ月の間に、Snykのすべてのプラットフォームプリミティブにアクセスできるように努力していきます。

さて、皆さんがインテグレーションの構築を始める前にお伝えしたいことがあります。アクセスタイプの制限を受けないシームレスな統合を実現するために、私たちは「Snyk Apps」を立ち上げて、統合をSnyk プラットフォームのファーストクラスシチズンにしています。ファーストクラスアクターとしてSnykのアプリはAPIを通じて自らアクションを起こします。

ユーザーが個人のAPIキーを誤って削除してしまっても、統合が壊れることはありません。アプリには細かいパーミッションが設定されているので、必要なものだけにアクセスすることができます。アプリを使えば、ワークフローのシームレスな拡張機能として、ワンクリックでSnykをインストールできるようになります。

新しい統合機能をお使いの方は、すでに「Snyk Apps」をお使いだと思います。Snykプラットフォームの製品開発バイスプレジデント マット・クリーガー氏が、Snykアプリをいかに簡単に作成できるかご紹介します。

Snykアプリ作成のデモ

マット・クリーガー氏(以下、マット):ありがとうございます、アネルさん。

皆さん、こんにちは。私はマット・クリーガーです。Snykのプラットフォームチームを率いていますが、これからSnykアプリを作る方法をお見せします。

その前に、いくつかの例を見てみましょう。私たちが使っているツールや、それらを拡張したり接続したりする統合ですね。「Snyk Apps」がデザインされた「体験」について話しましょう。

このダッシュボードは、Bitbucketをお使いの方にはお馴染みのものだと思います。これは、Atlassianのチームと一緒に取り組んだ統合です。

認証されていない場合や接続されていない場合は、左側に新しいセキュリティタブがあり、接続されている場合はSnykタブがあります。私が気に入っているのは、脆弱性をBitbucketのワークフローにそのまま取り込むことができる点です。

これは、最高の特徴だと思いますが、コンテキストの変更をしなくて済みます。もちろん、Snykのダッシュボードでも同じ情報を得ることができます。

重要なのは、このプロジェクトの安全性を知るためにBitbucketを離れる必要がないということです。とはいえ、いずれはBitbucketを離れることになるでしょう。このプロジェクトがAWS CodePipelineを通じてEC2インスタンスか何かにデプロイされていると仮定してみましょう。

さて、私たちはAWSのチームとの統合に取り組んできました。この統合で私が気に入っているのは、コンテキストを考慮していることです。Bitbucketの中でやろうとしていることは、問題を見つけて修正することです。問題を理解し、解決したいと思っています。

しかし、デプロイメントパイプラインで達成しようとしている目的は、ここではまったく異なります。脆弱性が本番環境に侵入するのを阻止したいのです。それを実現するのが、この統合です。

そこで、パイプラインにスキャン用の新しいステージを追加しましょう。

これを「Snyk Scan」と呼ぶことにしましょう。Snykには、新しいAWSアクションプロバイダがあるのがおわかりかと思います。クレデンシャルをコピー&ペーストする必要はありません。Snyk Appsでは、OAuthフローへのキックオフが可能です。

私はすでに認証されています。Snykアカウントにもログインしています。だから、それをスキップできます。

私に求められているのは、統合自体の設定です。脆弱性が重要であれば、ここで展開をブロックしたいと言えます。この設定が終わったら、AWSに戻って、アクションプロバイダーの設定が完了したことを確認します。こうした体験をSnyk Appsで実現してみませんか。

では、早速使ってみましょう。

AnerがすでにAPIの新バージョンについて少し説明していますね。Snyk Appsを管理することができます。新しいAPIを使ってSnyk Appsを管理、作成することができます。しかし、最初の一歩を踏み出すために、私たちはこのリファレンスアーキテクチャを作成しました。これは GitHubのsnyk/snyk-apps-demoにあります。このリポジトリを勝手にクローンして、ローカルに起動して実行しています。

それでは、ターミナルにアクセスして、使い方を説明します。実行する必要のあるコマンドは2つだけですが、NPMのインストールを含めると3つになります。

まず、アプリの作成です。これはフードの下にあるだけです。v3 APIを呼び出しているだけです。アプリに名前を付け、アプリが必要とするスコープやパーミッション、組織の識別情報を与えます。実行してみましょう。アプリが作成されます。

アプリが作成されると、クライアントIDとシークレットを取得し、それを.env環境に入れてくれます。これで、このリファレンス・アーキテクチャをローカルで稼働させることができます。難しいOAuthのフローや、その他のものを処理してくれます。

2つの側面があることがわかります。アプリの管理者用ダッシュボードと、ユーザーが利用するダッシュボードですね。

この管理者用ダッシュボードを開いてみましょう。これが画面です。ここでアプリの管理ができるのがわかりますね。最終的にSnykのダッシュボードに格納されますが、リファレンス・アーキテクチャにもあると便利ですね。

誰も私たちのアプリをインストールしていません。これを何とかしましょう。これで、ユーザーに見せるページができました。このインストールボタンは、先ほどのAWSインテグレーションでの接続ボタンと同じように動作します。これをクリックしてみましょう。

ダッシュボードに戻り、アプリをインストールすることができるようになります。まず最初にわかるのは、アプリにアクセス権限を与えているものは何かということです。アプリをインストールする組織を選択することができます。

それではアプリを作成してください。

ダッシュボードに戻りました。

アプリがユーザーの代わりに、新規および既存のAPIにアクセスできるようになっています。管理画面に戻ると、アプリがインストールされているのがわかります。

新バージョンの API や Snyk Apps についてもっと知りたい方は、明日開催されるプラットフォーム進化セッションに、Garyと私と一緒に参加してください。

どうもありがとうございました。それでは、Anerに戻ります。

セキュリティを開発者のスキルにするための「Snyk Learn」

アネル:ありがとう、マット。

これまで、プラットフォームのさまざまな側面についてお話ししてきました。

アプリケーションのさまざまな部分を保護するためのもの。開発プロセスのさまざまな段階で、セキュリティを確保してくれるもの。そして、最も重要な脆弱性を確実に保護するものです。

しかし、開発者が安全に構築できるようになるというビジョンを実現するためには、もう1つ重要なステップがあります。それは、セキュリティを開発者のスキルにすることです。

開発者は、セキュリティの専門家になる必要はありませんし、なるべきでもありません。とはいえ、セキュリティについて、特に一般的な脆弱性や重大な脆弱性、それらがどのように機能するのか、そしてそれらをどのように回避するのかについては、より深く理解する必要があります。

そのために、今日私たちは「Snyk Learn」を発表します。無料で利用できる高品質なセキュリティ教育ソリューションです。開発者の皆さまが、ご自身のセキュリティ教育の旅をコントロールできるようにします。これは開発ワークフローにネイティブに統合され、開発者のために特別に作られたコンテンツです。セキュリティ教育を関連性のある、実用的で魅力的なものにします。

Snyk Learn」では、自分のスケジュールに合わせた学習が可能です。仕事をしていて、今直面している問題について学ぶ必要がある場面があります。これは、そのような場合に役立ちます。「Snyk Learn」は、Snykのセキュリティソリューションに統合されており、必要なものを必要な時に学ぶことができます。また、モジュール化された一口サイズの学習コンテンツを提供しています。

その上、30分ほど時間を区切って、いくつかのレッスンを受講することもできます。レッスンは短時間で終わるため、15分、1分、1時間など、空いている時間をセキュリティ教育に充てることができます。

また、「Snyk Learn」は、学習プロセスを自分に合ったものにしてくれます。コーディング言語を選択できます。つまり、あなたがJavaの開発者であれば、Javaを学ぶことができます。PHPや他の言語ではありません。

ほかにも、自分のコードに関連する問題からレッスンのリンクを辿ると、それが関連性のあるものになります。自分が今直面している問題を、自分のコードで学べるので、将来的に同じ問題を修正、回避できます。

開発者向けのセキュリティ学習ツールはそれなりの品質のものもありますが、高価になりがちです。一方、無料のオンラインソース、長いブログ記事、技術文書、ビデオなどは、品質がまちまちで、何千もの情報を自分で収集しなければなりません。「Snyk Learn」は、洗練された開発者向けの学習ツールを無料で提供することで、両方の長所を兼ね備えています。また、好きな時に好きな方法でセキュリティを学ぶことができます。

「Snyk Learn」をお見せできることを楽しみにしています。それでは、もう一回ベンに登場してもらいましょう。

必要な時に必要な場所で、状況に応じた学習の機会を提供

ベン・ウィリアム氏(以下、ベン):「Snyk Learn」は、セキュリティ教育を開発者の手に届けます。学習は楽しいものであるべきです。私たちは、開発者が好むセキュリティ教育を提供しています。

Snykプラットフォームで監視している何百万ものプロジェクトから、最も一般的である脆弱性をカバーする、一口サイズのレッスンコンテンツのセットを本日発売します。

それでは早速、レッスンの内容を見ていきましょう。

各レッスンでは、脆弱性の基本を紹介しています。この例はディレクトリトラバーサルです。

各レッスンでは、ステップ・バイ・ステップの実例を用いて、実践的に学ぶことができます。「under the hood」セクションは、脆弱性の内部構造を理解するのに役立ちます。「緩和策」セクションでは、脆弱性を回避または修正するための一般的な戦略を学びます。

さらに詳しく知りたい方のために、ホワイトペーパー、ビデオ、ブログ、チートシートへのリンクを用意していますので、スポンジのように吸収することができます。

すべてのレッスンコンテンツは、learn.snyk.ioで今日から100パーセント無料で公開されています。私たちは、セキュリティ教育はあなたが最も必要とする瞬間に提供されることが最も効果的であると信じています。「Snyk Learn」を、Snykの他のプラットフォームと密接に統合したのはそのためです。

Snykがお客さまのコード、オープンソースコンテナ、インフラストラクチャの構成から発見した問題をレビューする際には、「Snyk Learn」のレッスンコンテンツへのリンクを必要な時に必要な場所で提供しています。あなたの状況に応じた、学習の機会を提供しています。

アネル:ありがとう、ベン。

さて、私たちは、皆さまに完璧なセキュリティ教育を提供するために、皆さまにご協力をお願いしたいと思っています。learn.snyk.ioにアクセスして、そこにあるレッスンを受けると、その体験についてフィードバックができます。

繰り返しになりますが、これらは無料です。Snyk製品のユーザーである必要はありませんが、Snykを統合することで、より良いプロセスを実現できます。ぜひ試してみてください。

また、今扱っている脆弱性に対応したレッスンがある場合は、Snyk製品の中にリンクが表示されます。そのリンクを使って、関連するレッスンにすぐにジャンプできます。今後も継続的に言語やレッスンを追加していく予定です。

それでは、最後に重要な話をSnyk 創業者 兼 社長のガイに戻します。

各コンポーネントは、一緒になって1つの大きな絵を作っている

ガイ・ポジャーニー氏(以下、ガイ):ありがとう、アネル。

私たちが作ってきた、エキサイティングな追加機能をすべて見ることができ、また、開発中の機能についても言及してもらえるというのは、すばらしいことだと思います。

皆さんもご存じのとおり、Snykのプラットフォームはすでに強力です。そして、チームは日々それをよりすばらしくするために努力しています。私たちは、開発者が作業全体を安全に行えるようにすることを目指しています。

すべてをレポに取り込み、1つの場所に集めています。そのため、開発者とセキュリティ担当者の両方が、日常的に使用し、信頼し、構築できる1つのプラットフォームを持つことができるのです。

しかし、もう1つ足りないものがあります。

今日は、アプリケーションのさまざまな部分を取り上げました。コード、コンテナ、オープンソース・ライブラリ、Infrastructure as Code、これらすべてを1つの場所に集め、自分が何を使っているか、それが安全かどうかを理解できるようにしています。もちろん、発見された問題の修正もサポートします。

しかし実際のところ、開発者は、自分のアプリをそのようには考えていません。アプリはあくまでもアプリとして考えます。1つのアプリとして考えるのです。そして、これらすべてのコンポーネントは、一緒になって1つの大きな絵を作ります。アプリケーションのさまざまな側面は、サービスにまとめられるかもしれません。

これらの複数のサービスは、ビジネス機能を持つ中央のアプリケーションにまとめられます。さらに、コンポーネントやサービスのそれぞれには、一定の寿命があります。

まだコード化されていないかもしれません。構築されたばかりのものもあるでしょう。デプロイされているかもしれませんし、ステージングかもしれませんし、ブルー・グリーン・トレインやカナリア・リリースかもしれません。アプリケーションには人間が関わっています。アプリケーションに適用されるビジネス要件があります。開発者は、これらのパラメーターを考慮するかどうかに関わらず、あるオープンソース・ライブラリに脆弱性があると言われた場合には、これらすべての考慮事項を頭に入れておく必要があります。

このアプリケーションはどの程度リスクを嫌うのでしょうか。保護しているデータの機密性はどの程度でしょうか。そして、それはどの段階にあるのでしょうか。先ほど学んだこの脆弱なコード、脆弱なライブラリは、ステージングにデプロイされているのでしょうか。実際に本番環境に配備されているのでしょうか。顧客に納品されているのでしょうか。

ここで対処しなければならないコンプライアンスの要素は何でしょうか。そして、脆弱なライブラリが実際に攻撃者にアクセスできるかどうかを知るために、私のシステムの他の部分とどのように相互作用するのでしょうか。誰かが、実際にすべてのインフラやコードを介して侵入し、この脆弱性を悪用することができるのでしょうか。

現在、このプラットフォームでは、これらの情報を一箇所に集め、当社が構築したさまざまな特定のコネクターを使用することで、情報をまとめることができます。

例えば、コンテナの脆弱性については、お客さまの本番クラスタで実際に使用されているKubernetesの設定に基づいて、正しく優先順位をつけることができます。ご存じのように、私たちは到達可能性と、お客さまのコードが脆弱なライブラリとどのように相互作用するかを理解することに、投資をしています。

アプリケーションの全体像を把握して完全なホリスティックモデルを構築したい

しかし実際には、もっと大きな視点で考えるべきだということがよくわかりました。第一原理に立ち返ると、小さなコネクターではなく、意図的に全体像を理解したいと考えています。2022年以降は、アプリケーションの全体像を把握し、アプリケーションのさまざまなコンポーネントがどのように動作するのか、インフラや本番環境でどのように関連しているのか、時間の経過とともにどのように変化するのかなど、完全なホリスティックモデルを構築していきたいと考えています。

このホリスティックなグラフ、中心となるモデルは、アプリケーションの中核をなすものです。これにより、コンポーネントの脆弱性、脆弱なライブラリ、脆弱なコード、Infrastructure as Codeスクリプトのミスなどを、アプリケーションの脆弱性へと昇華させることができるようになります。「アプリケーション・インテリジェンス」を充実させ、アプリケーション全体を1つの包括的なモデルとして具現化します。

また、セキュリティ・インテリジェンスを充実させ、アプリのすべての可動部分について問い合わせできるようにします。そして、デベロッパー・エクスペリエンスを向上させるため、お客さまのアプリケーションをよりよく理解し、適切なタイミングで、セキュリティに関する洞察を提供できるようにします。

本日はご聴講いただきありがとうございました。

私たちは、開発者のセキュリティにおいて、本当に大きなことを成し遂げようとしています。そして、それにはコミュニティが必要なのです。皆さんと私たちと共に歩み、開発者のセキュリティを真に実現するために協力してくれることを心から願っています。これからも暖かいご支援をよろしくお願いします。

続きを読むには会員登録
(無料)が必要です。

会員登録していただくと、すべての記事が制限なく閲覧でき、
著者フォローや記事の保存機能など、便利な機能がご利用いただけます。

無料会員登録

会員の方はこちら

Snyk株式会社

関連タグ:

この記事のスピーカー

同じログの記事

コミュニティ情報

Brand Topics

Brand Topics

  • サイバー攻撃者は海外拠点を“踏み台”にして本社に侵入する 「EDR」+「SOC」はセキュリティ対策の決定打

人気の記事

新着イベント

ログミーBusinessに
記事掲載しませんか?

イベント・インタビュー・対談 etc.

“編集しない編集”で、
スピーカーの「意図をそのまま」お届け!