1 © SMS Co., Ltd. 2024.12.13 株式会社エス・エム・エス 山口隆史 Snykで始めるセキュリティ担当者とSREと開発者が 楽になる脆弱性対応

2 © SMS Co., Ltd. エレベーターピッチ 「Snykで始めるセキュリティ担当者とSREと開発者が 楽になる脆弱性対応」という発表は 「Snykを使用した脆弱性運用の具体的な事例」です これは「組織でのDevSecOps運用を回した事例」で あり、 「運用を回すために必要なこと」を発表します

3 © SMS Co., Ltd. 自己紹介 氏名：山口隆史(やまぐちたかし) 所属：株式会社エス・エム・エス 　　　プロダクト推進本部　技術推進グループ 業務：全社SREとしての活動 略歴：フリーランス、SIer、Web系を渡り歩く→現職（2024/05〜） 自称：Security Hub芸人 好きなAWSサービス：営業、Security Hub、GuardDuty 他：AWS Community Builder(Security & Identity)、 　　JAWS-UG千葉支部運営、Snyk Ambassador 第022587号

4 © SMS Co., Ltd. 会社概要 *1：第1期は含めずカウント　*2：第7期迄は単体数値、第8期より連結数値にて記載 基礎情報 株式会社エス・エム・エス（英語表記）SMS Co., Ltd. 2003年 4月4日 東京証券取引所プライム市場（証券コード:2175） 25億5,172万円（2024年3月31日時点） 連結：4,188人、単体：2,754人（2024年3月31日時点） 国内：3社、海外：アジア・オセアニア等17の国と地域 「高齢社会に適した情報インフラを構築することで人々 の生活の質を向上し、社会に貢献し続ける」 高齢社会に求められる領域を、医療・介護/障害福祉・ヘルス ケア・シニアライフと捉え、価値提供先であるエンドユーザ・ 従事者・事業者をつなぐプラットフォームとしての情報インフ ラを構築し、40以上のサービスを展開 会社名 設立 市場情報 資本金 従業員数 関連会社 ミッション 業績 売上、経常利益推移*2 （売上高・億円） （経常利益・億円） 20期連続*1で増収増益を達成

5 © SMS Co., Ltd. 分野 区分 サービス キャリア 介護キャリア 医療キャリア 介護・障害福祉 事業者 ヘルスケア シニアライフ 海外 ＊1．柔道整復師、あん摩マッサージ師、はり師、きゅう師のこと 
 サービス一覧 看護師向け 人材紹介 介護・医療・福祉の 資格講座情報 PT/OT/ST向け 人材紹介 介護職向け求人情報 ケアマネジャー向け 人材紹介 看護学生向け 就職情報 放射線技師向け 人材紹介 高校生・看護学生 向け奨学金情報 臨床検査技師向け 人材紹介 看護師・看護学生向け コミュニティ 臨床工学技士向け 人材紹介 保育士向け 人材紹介 治療家*1・セラピスト向け 人材紹介 介護事業の 経営者・管理者向け情報 高齢社会の 調査・研究・情報発信 医療従事者向け医薬情報 治療家*1・セラピスト向け 求人情報 柔道整復師・あはき師 向け受験参考書 管理栄養士・栄養士向け 人材紹介 介護職向け人材紹介 介護で働く人の ためのスクール 介護で悩む人向け コミュニティ 高齢者向け食事宅配 紹介サービス 高齢者向け住宅 紹介サービス 遠隔指導特定保健指導 サービス 管理栄養士・栄養士向け コミュニティ 企業の介護離職 防止ソリューション ICTを活用した 禁煙サポート 認知症患者とその家族 向け認知症情報 認知症予防 ソリューション 認知症予防の 習慣化サポート 遠隔指導重症化予防 サービス 女性の健康経営 サポート 産業保健に 関わる人向け情報 企業の健康管理 
 業務サポート 
 住まいにまつわる 総合情報サイト 葬儀社紹介サービス　 ケアマネジャー 向けコミュニティ 医療従事者向け人材紹介 (マレーシア、フィリピン、アイルランド、UK、ドイツ 等) 看護師向け キャリアサービス 行動療法に特化した 禁煙サポート 自治体向け調査・ 計画策定・予防事業 医療介護業界特化型 ストレスチェック 介護/障害福祉 事業者向け経営支援 看護師の職場を 診断するツール 障害のある方向け 就労支援事業所情報 障害のある方向け 人材紹介

6 © SMS Co., Ltd. ここから本題

7 © SMS Co., Ltd. 01 02 03 04 05 脆弱性対応に必要な視点 開発者視点での脆弱性対応 運用者視点での脆弱性対応 セキュリティ担当者視点での脆弱性対応 まとめ 目次

8 © SMS Co., Ltd. 01 02 03 04 05 脆弱性対応に必要な視点 開発者視点での脆弱性対応 運用者視点での脆弱性対応 セキュリティ担当者視点での脆弱性対応 まとめ 目次

9 © SMS Co., Ltd. DevSecOpsの内回りと外回り 開発者視点 開発プロセス初期からセキュリ ティを組み込む「Shift Left」 戦略 運用者視点 デプロイ後の運用環境における セキュリティ対応 内回り 外回り

10 © SMS Co., Ltd. 複眼的な視点 セキュリティ担当者視点 横断的に運用環境のセキュ リティリスクを可視化して リスク判断をする 運行管理

11 © SMS Co., Ltd. 01 02 03 04 05 脆弱性対応に必要な視点 開発者視点での脆弱性対応 運用者視点での脆弱性対応 セキュリティ担当者視点での脆弱性対応 まとめ 目次

12 © SMS Co., Ltd. 開発者視点での脆弱性対応 ホスト・基盤 オーケスト レーター レジストリ CI/CD 開発 デプロイパイプライン

13 © SMS Co., Ltd. 開発者視点で実施する脆弱性対応 ホスト・基盤 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions ECR （Private Registry） Argo CD EKS ECS EC2 Fargate 開発者の手 元でスキャ ン PR作成時に差 分スキャン ビルドした成 果物をスキャ ン 定期的自 動的にス キャン

14 © SMS Co., Ltd. 開発者視点での実施例 ● IDEへのプラグインの組み込み等による脆弱性スキャン ○ 修正サジェストの表示 ● CIでのコード、ライブラリ、IaCのスキャン ○ PRスキャン ○ ビルドしたイメージのスキャン ● ソースコードリポジトリの定期スキャンと脆弱性の自動FixPR ● CIでのGating

15 © SMS Co., Ltd. 運用に落とし込む時に必要なこと • スクラム、カンバン等の現状の開発フローに組み込む ○ 開発チームが自ら運用できるルールを決める ■ 週に何件対応する ■ 対応する曜日を決める ■ 緊急性が高いものは差し込みで対応 • 優先度を決める ○ アタックサーフェスの脆弱性の対応を優先する ○ 重要度の高いシステムの対応を優先する ○ リスクが高い脆弱性の対応を優先する

16 © SMS Co., Ltd. 開発者視点での脆弱性対応をSnykで実施する方法

17 © SMS Co., Ltd. IDE上でのサジェスト　CODE

18 © SMS Co., Ltd. IDE上でのサジェスト　OSS

19 © SMS Co., Ltd. PRチェック

20 © SMS Co., Ltd. PRチェック（Early Access） 出典：https://updates.snyk.io/pr-comments-for-snyk-pr-checks-are-now-in-closed-beta-292934 • PR Commentに表示 する機能はEarly Accessでの提供

21 © SMS Co., Ltd. ダッシュボード ・Project一覧 ・Projectをドリルダウン ・スキャン対象単位

22 © SMS Co., Ltd. リスクスコア表示 ・脆弱性表示

23 © SMS Co., Ltd. 01 02 03 04 05 脆弱性対応に必要な視点 開発者視点での脆弱性対応 運用者視点での脆弱性対応 セキュリティ担当者視点での脆弱性対応 まとめ 目次

24 © SMS Co., Ltd. 運用者視点での脆弱性対応 ホスト・基盤 オーケスト レーター レジストリ CI/CD 開発 デプロイパイプライン

25 © SMS Co., Ltd. 運用者視点で実施する脆弱性対応 ホスト・基盤 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions ECR （Private Registry） Argo CD EKS ECS EC2 Fargate 定期的自動的 にスキャン 実行中のコンテ ナイメージを定期 的自動的にス キャン CVEの調査 ミスコンフィグ の検知、修正

26 © SMS Co., Ltd. 運用者視点での実施例 ● ダッシュボードで定期的にリスクを確認 ○ 即時対応が必要なリスクがあれば緩和策を検討 ○ リスクを判断して適切な温度感で修正依頼 ● メール、Slack通知で新規の脆弱性の通知を受けてリスクを確認 ○ トリガーが違うだけで上と同じ対応が必要

27 © SMS Co., Ltd. 運用に落とし込む時に必要なこと • 運用の定期タスクに組み込む ○ 日次、週次、月次等で実行間隔を決める • リスクに対する修正の温度感の事前の合意 ○ 緊急性の高い脆弱性への対応は差し込み対応が必要なこと をステークホルダー（開発チーム、ビジネス側等）と合意 しておく 影響度\Snykスコア 
 500未満 
 500〜799 
 800〜
 高 次のリリースタ イミング 次のスプリント 即時 中 4半期毎 次のリリースタ イミング 次のスプリント 低 4半期毎 4半期毎 次のリリースタ イミング

28 © SMS Co., Ltd. 運用者視点での脆弱性対応をSnykで実施方法

29 © SMS Co., Ltd. ダッシュボード ・Project一覧 ・Projectをドリルダウン ・スキャン対象単位

30 © SMS Co., Ltd. リスクスコア表示 ・脆弱性表示

31 © SMS Co., Ltd. 01 02 03 04 05 脆弱性対応に必要な視点 開発者視点での脆弱性対応 運用者視点での脆弱性対応 セキュリティ担当者視点での脆弱性対応 まとめ 目次

32 © SMS Co., Ltd. セキュリティ担当者視点での脆弱性対応 ホスト・基盤 オーケスト レーター レジストリ CI/CD 開発 デプロイパイプライン

33 © SMS Co., Ltd. セキュリティ担当者視点で実施する脆弱性対応 ホスト・基盤 オーケスト レーター レジストリ CI/CD 開発 開発者 Gitリポジトリ CircleCI GitHub Actions ECR （Private Registry） Argo CD EKS ECS EC2 Fargate 実行中のコンテ ナイメージに対し てCVEの調査 CVEの調査 ガバナンス観点 でのミスコンフィ グの検知、修正

34 © SMS Co., Ltd. セキュリティ担当者視点での実施例 ● 棚卸し的に、保有しているシステム全体の運用環境のセキュリ ティリスクを確認 ○ セキュリティリスクが高い状態のシステムへの修正指示 ○ 定点観測で脆弱性への対応状況の確認 ● 緊急対応が必要な脆弱性が報告された場合にダッシュボードで 横断的に検索しリスク判断と修正指示

35 © SMS Co., Ltd. 運用に落とし込む時に必要なこと • 横断的にセキュリティリスクを可視化できるダッシュボード • 運用の定期タスクに組み込む ○ 日次、週次、月次等で実行間隔を決める • リスクに対する修正の温度感の事前の合意 ○ 緊急性の高いものは差し込み対応が必要なことを ステークホルダー（開発チーム、ビジネス側等）と 合意しておく 影響度\Snykスコア 
 500未満 
 500〜799 
 800〜
 高 次のリリースタ イミング 次のスプリント 即時 中 4半期毎 次のリリースタ イミング 次のスプリント 低 4半期毎 4半期毎 次のリリースタ イミング

36 © SMS Co., Ltd. セキュリティ担当者視点での脆弱性対応をSnykで 実施する方法

37 © SMS Co., Ltd. Report ・Legacy Report CVEで検索 Projectから対象 システムを取得

38 © SMS Co., Ltd. Report ・Legacy Report Filter条件

39 © SMS Co., Ltd. 01 02 03 04 05 脆弱性対応に必要な視点 開発者視点での脆弱性対応 運用者視点での脆弱性対応 セキュリティ担当者視点での脆弱性対応 まとめ 目次

40 © SMS Co., Ltd. まとめ • 脆弱性対応には開発者視点、運用者視点、セキュリティ担当 者視点の3つの視点が必要です • 3つの視点を1つのツールで可視化できることが理想です • Snykをうまく活用することで脆弱性対応が楽になります ○ Freeプランもあるので試してみてください • 脆弱性対応は、組織・開発体制や対応が必要な脆弱性の量に より最適な運用が変わります ○ 自社にとって最適な運用を構築してください