デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 (Security-JAWS 第25回)

Develop fast. Stay secure.

デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 Lambda、CodePipeline、ECR とも連携可！ Snyk ソリューションエンジニア相澤俊幸

@ToshiAizawa • Security 関連業務に従事 (2012-) • Fastly Sales Engineer (2015-2021)
• Snyk Solutions Engineer (2021-)

アジェンダ Snyk! Snyk? Q & A

Snyk? (Snyk 紹介)

so now you know

Snyk ご存知でしたか？

Snyk 使ったことありますか？

$ docker scan [OPTIONS] IMAGE

Snyk Vuln DB built into Amazon Inspector

Develop fast. Stay secure.

With Snyk, Organizations Can Develop Fast and Stay Secure Snyk
を使え迅速な開発とセキュリティが両立できる

セキュアな DX (デジタルトランスフォーメーション ) 推進に必須コンセプト Developer Security 開発効率化、セキュリティ
強化、そしてイノベーション促進に貢献最先端セキュリティノウハウと、クラウドアプリケーション全体へセキュリティ可視性を提供

長期的に計画されたデプロイ (年に数回) これまでサイロ化した Dev と Ops カッチリとした反復開発独自開発中心これから
DX により変化する開発手法

これまでこれから後工程で修正 ↓ セキュリティ対策コスト増大最新式「継続的」開発モデル ↓ 「継続的」セキュリティ対策モデルが必要
本番 STOP セキュリティチェック修正セキュリティに対して要求されている変化

イノベーション足かせとなる従来型セキュリティ対策脆弱性増加と、企業・顧客へリスク増大イノベーション実現に Developer Security 取り組みが必須
イノベーション遅れ、競争力低下シナリオ 1 開発スローダウンシナリオ 2 セキュリティ対策がおろそかに従来型セキュリティ対策

検知修正予防監視管理セキュリティ担当開発者使いやすさ最先端セキュリティノウハウ
ツールによる自動化 Snyk による SDLC 全体でセキュリティ対策

Snyk によるコーディングから本番環境に至るセキュリティ対策コーディング SCM (ソースコード管理 ) CI / CD 本番環境
/ クラウド検出 / 修正検出 / 修正 / 監視検出 / 修正 / 監視監視 (IDE) (Git Repos) (CLI) (Kubernetes, Registry, etc.) スキャン → 自動修正チェックイン・マージ時スキャン実行ビルド時スキャン実行脆弱性検出 → アラート発出開発しながらスキャン → 脆弱性あれ即修正監視ルール設定ビルド連携した検出・修正

かんたんに使える連携機能さまざまな開発フェーズで利用可能アプリによる拡張ワークフロー統合やカスタマイズを可能にする拡張性、自社開発／パートナーによるアプリケーション機能を提供ツール連携と拡張性 Registries Issue Management
Coding Source Control CI/CD Runtime

20 Log4Shell 対策でも活躍した Snyk 修正検出素早く正確に検出重大性理解自動修正
プライオリティ付け予防早期発見セキュアな開発監視可視性確保現状把握・進捗管理管理自社ポリシーに応じた管理的確な対応

Open Source 90% 以上企業がオープンソースパッケージを活用 90%+ Code テストフェーズにおける脆弱性修正設計時に比べると
15 倍コスト増 15x Container 75% 企業が 2022 年にコンテナを利用 75% Infrastructure as Code クラウド脆弱性原因ナンバーワン設定ミス #1 Source: Gartner, NSA, IBM 重要セキュリティ要件を満たす 4 つ製品群 Snyk アプリケーション脆弱性について、コードからクラウドまで全体像を、開発者とセキュリティ担当に提供

Snyk! (Snyk デモ)

Code Open Source Container Infrastructure as Code Snyk products

• コードベースうち 80-90%がオープンソース • 脆弱性 80% 間接的な依存関係で見つかる • 数百
Linux パッケージが含まれる • 秒単位短時間でビルド、デプロイ、スケール可能 • クラウドで脆弱性発生原因第1位設定ミス [米国 NSA] • ネットワーク、ストレージ、サーバー - コードを通じて素早く設定 • 頻繁にデプロイされるソフトウェア - ウォーターフォールで追いつけない。スキャンに何時間もかけられない • カスタムコードが全体 10-20% - DX 推進で、もっと多く機能を、より短い時間で開発することが求められる Code Open Source Containers Infrastructure as Code クラウド時代アプリケーションリスク潜む場所

CI/CD Git repository Traditional/PaaS Serverless Production DevSecOps: DevOps ワークフローへ組み込まれたセキュリティ
Registry deploy Security gate Code Test & fix Test, fix, monitor Kubernetes Monitor & more... build submit Test, fix, monitor

Snyk Open Source: 自動修正により複雑な修正作業を容易にクリックひとつで修正用プルリクエストを作成 Vulnerable package Fix
[email protected] Fix Vulnerable package

Snyk 脆弱性データベース

Vulnerability Database Snyk Developer Community Public Sources Proprietary Research Machine
Learning より多く >3x 他商用データベースに比べて多く脆弱性を登録より早く >90% NVD JavaScript 脆弱性うち Snyk DB に最初に登録された割合速やかに修正修正情報提供優先度や修正方法判断に役立つメタデータ・情報を研究者が追加 Trusted by 正確に検知低い誤検知率継続的に詳細な品質を守る Snyk Intel Vulnerability DB (脆弱性DB)

まとめ

Snyk Developer Security を実現 • 開発者用セキュリティツール • 開発各フェーズで実行できる
• 既存開発ツールと連携して実行できる • 自動修正機能 • Snyk 脆弱性データベース • Snyk Open Source (オープンソースライブラリ脆弱性) や、 Code / Container / IaC もカバー

参考情報 • Snyk サインアップページ • AWS クイックスタート Snyk Security •
Snyk でデプロイ済み AWS Lambda 脆弱性診断をしてみた (DevelopersIO)

Thank you! snyk.io よりフリープランにサインアップできます。ぜひSnykをお試しください！

じめよう！AWSとSnykで安全で迅速な開発を！【AWS登壇】シリーズ3回ウェビナー＋ハンズオンご参加（無料）こちら：https://snyk.zoom.us/webinar/register/6116538759778/WN_PQJRafNMSW2JDXeGMHox6g Day 1) 6月9日（木）11:00-12:00 【ウェビナー】 DevOpsからDevSecOpsへ、さらに堅牢な開発環境を実現するために
スピーカー：アマゾンウェブサービスジャパン合同会社　技術統括本部パートナー技術本部　シニアパートナーソリューションアーキテクト　山口弘樹氏、 Snyk株式会社　シニアソリューションエンジニア　相澤俊幸氏 Day 2) 6月16日（木）11:00-12:00 【ウェビナー】AWS EKSで開発を、Snykを使って堅牢にスピーカー：アマゾンウェブサービスジャパン合同会社　パブリックセクターソリューションアーキテクト　東健一氏、 Snyk株式会社　シニアソリューションエンジニア　相澤俊幸氏 Day 3) 6月30日（木）11:00-12:00 【ハンズオン】やってみよう！ AWS CodePipelineとSnyk ハンズオンワークショップ ▼詳細お申し込みこちら

デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 (Security-JA...

デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 (Security-JAWS 第25回)

Toshi Aizawa

More Decks by Toshi Aizawa

Other Decks in Technology

Featured

Transcript

Develop fast. Stay secure.

デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 Lambda、CodePipeline、ECR とも連携可！ Snyk ソリューションエンジニア相澤俊幸

@ToshiAizawa • Security 関連業務に従事 (2012-) • Fastly Sales Engineer (2015-2021)

アジェンダ Snyk! Snyk? Q & A

Snyk? (Snyk 紹介)

so now you know

Snyk ご存知でしたか？

Snyk 使ったことありますか？

$ docker scan [OPTIONS] IMAGE

Snyk Vuln DB built into Amazon Inspector

Develop fast. Stay secure.

With Snyk, Organizations Can Develop Fast and Stay Secure Snyk

セキュアな DX (デジタルトランスフォーメーション ) 推進に必須コンセプト Developer Security 開発効率化、セキュリティ

長期的に計画されたデプロイ (年に数回) これまでサイロ化した Dev と Ops カッチリとした反復開発独自開発中心これから

これまでこれから後工程で修正 ↓ セキュリティ対策コスト増大最新式「継続的」開発モデル ↓ 「継続的」セキュリティ対策モデルが必要

イノベーション足かせとなる従来型セキュリティ対策脆弱性増加と、企業・顧客へリスク増大イノベーション実現に Developer Security 取り組みが必須

検知修正予防監視管理セキュリティ担当開発者使いやすさ最先端セキュリティノウハウ

Snyk によるコーディングから本番環境に至るセキュリティ対策コーディング SCM (ソースコード管理 ) CI / CD 本番環境

20 Log4Shell 対策でも活躍した Snyk 修正検出素早く正確に検出重大性理解自動修正

Open Source 90% 以上企業がオープンソースパッケージを活用 90%+ Code テストフェーズにおける脆弱性修正設計時に比べると

Snyk! (Snyk デモ)

Code Open Source Container Infrastructure as Code Snyk products

• コードベースうち 80-90%がオープンソース • 脆弱性 80% 間接的な依存関係で見つかる • 数百

CI/CD Git repository Traditional/PaaS Serverless Production DevSecOps: DevOps ワークフローへ組み込まれたセキュリティ

Snyk Open Source: 自動修正により複雑な修正作業を容易にクリックひとつで修正用プルリクエストを作成 Vulnerable package Fix

Snyk 脆弱性データベース

Vulnerability Database Snyk Developer Community Public Sources Proprietary Research Machine

まとめ

Snyk Developer Security を実現 • 開発者用セキュリティツール • 開発各フェーズで実行できる

参考情報 • Snyk サインアップページ • AWS クイックスタート Snyk Security •

Thank you! snyk.io よりフリープランにサインアップできます。ぜひSnykをお試しください！

Q & A