Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 (Security-JA...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Toshi Aizawa
May 30, 2022
Technology
2.5k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 (Security-JAWS 第25回)
Toshi Aizawa
May 30, 2022
More Decks by Toshi Aizawa
See All by Toshi Aizawa
Snyk の紹介 〜セキュリティの Shift Left を目指す〜
toshiaizawa
0
270
Kubernetes ワークロードのセキュアな実行と開発者向けセキュリティツール Snyk の活用
toshiaizawa
0
140
「開発者とセキュリティのお付き合い」5パターン
toshiaizawa
0
200
Snyk - デベロッパーファーストで実現する DevSecOps
toshiaizawa
1
140
Other Decks in Technology
See All in Technology
Agent Skills設計で柔軟性と硬さのバランスが難しい話
nassy20
0
140
LayerX コーポレートエンジニアリング室におけるサプライチェーンセキュリティへの取り組み / Supply Chain Security at LayerX Corporate Engineering
yuyatakeyama
2
680
Bucharest Tech Week 2026 - Guardians of the Cloud-Native Galaxy
edeandrea
PRO
0
120
2026TECHFRESH畢業分享會 - 原生還是跨平台? App 開發踩坑實錄
line_developers_tw
PRO
0
1.3k
2026TECHFRESH畢業分享會 - Lightning Talk - 打造精準高效的 MCP 設計模式與測試實務
line_developers_tw
PRO
0
1.3k
アジャイルな経理と Claude Code と 経営の未来
kawaguti
PRO
3
160
秘密度ラベル初心者が第1歩でつまづかないための「設計・運用」ポイント
seafay
PRO
0
170
SONiCの統計情報を取得したい
sonic
0
230
10年間のブログ発信を振り返って見えたWebアプリケーションエンジニアとしての軌跡
stefafafan
0
160
マルチアカウント環境での コーディングエージェントを使った障害調査が大変なので AIエージェントにReadOnly権限を付与してみた / ReadOnly AI Agents for Multi-Account AWS Incident Response
yamaguchitk333
2
110
AIAU_UMEMOGU_ninomiya_slide
ninomiya_ii
0
240
スタートアップにAmazon EKSは早すぎる? マルチプロダクト戦略を加速する Platform Engineeringの実践 / Is Amazon EKS Too Soon for Startups? Practical Platform Engineering to Accelerate a Multi-Product Strategy
elmodev09
0
350
Featured
See All Featured
AI: The stuff that nobody shows you
jnunemaker
PRO
8
720
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
Claude Code のすすめ
schroneko
67
230k
Navigating Weather and Climate Data
rabernat
0
220
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
The Cost Of JavaScript in 2023
addyosmani
55
10k
Design in an AI World
tapps
1
250
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
akashhashmi
0
370
Discover your Explorer Soul
emna__ayadi
2
1.1k
First, design no harm
axbom
PRO
2
1.2k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
420
Transcript
Develop fast. Stay secure.
デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 Lambda、CodePipeline、ECR とも連携可! Snyk ソリューションエンジニア 相澤俊幸
@ToshiAizawa • Security 関連業務に従事 (2012-) • Fastly Sales Engineer (2015-2021)
• Snyk Solutions Engineer (2021-)
アジェンダ Snyk! Snyk? Q & A
Snyk? (Snyk 紹介)
so now you know
Snyk ご存知でしたか?
Snyk 使ったことありますか?
$ docker scan [OPTIONS] IMAGE
Snyk Vuln DB built into Amazon Inspector
Develop fast. Stay secure.
With Snyk, Organizations Can Develop Fast and Stay Secure Snyk
を使え 迅速な開発とセキュリティが両立できる
セキュアな DX (デジタルトランスフォーメーション ) 推進に必須 コンセプト Developer Security 開発 効率化、セキュリティ
強化、 そしてイノベーション 促進に貢献 最先端 セキュリティノウハウと、 クラウドアプリケーション全体へ セキュリティ可視性を提供
長期的に計画されたデプロイ (年に数回) これまで サイロ化した Dev と Ops カッチリとした反復開発 独自開発中心 これから
DX により変化する開発手法
これまで これから 後工程で 修正 ↓ セキュリティ対策コスト増大 最新式 「継続的」開発モデル ↓ 「継続的」セキュリティ対策モデルが必要
本番 STOP セキュリティチェッ ク 修正 セキュリティに対して要求されている変化
イノベーション 足かせとなる従来型セキュリティ対策 脆弱性 増加と、 企業・顧客へ リスク増大 イノベーション実現に Developer Security 取り組みが必須
イノベーション 遅れ、 競争力 低下 シナリオ 1 開発 スローダウン シナリオ 2 セキュリティ 対策がおろそかに 従 来 型 セ キ ュ リ テ ィ 対 策
検知 修正 予防 監視 管理 セキュリティ担当 開発者 使いやすさ 最先端 セキュリティノウハウ
ツールによる自動化 Snyk による SDLC 全体で セキュリティ対策
Snyk によるコーディングから本番環境に至るセキュリティ対策 コーディング SCM (ソースコード管理 ) CI / CD 本番環境
/ クラウド 検出 / 修正 検出 / 修正 / 監視 検出 / 修正 / 監視 監視 (IDE) (Git Repos) (CLI) (Kubernetes, Registry, etc.) スキャン → 自動修正 チェックイン・マージ時 スキャン実行 ビルド時 スキャン実行 脆弱性検出 → アラート発出 開発しながらスキャン → 脆弱性あれ 即修正 監視ルール 設定 ビルド連携した検出・修正
かんたんに使える連携機能 さまざまな開発フェーズで利用可能 アプリによる拡張 ワークフロー 統合やカスタマイズを可能にする拡張性、 自社開発/パートナーによるアプリケーション機能を提供 ツール連携と拡張性 Registries Issue Management
Coding Source Control CI/CD Runtime
20 Log4Shell 対策でも活躍した Snyk 修正 検出 素早く正確に検出 重大性 理解 自動修正
プライオリティ付け 予防 早期発見 セキュアな開発 監視 可視性 確保 現状把握・進捗管理 管理 自社ポリシーに応じた管理 的確な対応
Open Source 90% 以上 企業がオープン ソースパッケージを活用 90%+ Code テストフェーズにおける脆弱性修正 設計時に比べると
15 倍 コスト増 15x Container 75% 企業が 2022 年に コンテナを利用 75% Infrastructure as Code クラウド脆弱性 原因 ナンバーワン 設定ミス #1 Source: Gartner, NSA, IBM 重要セキュリティ要件を満たす 4 つ 製品群 Snyk アプリケーション 脆弱性について、コードからクラウドまで 全体像を、開発者とセキュリティ担当に提供
Snyk! (Snyk デモ)
Code Open Source Container Infrastructure as Code Snyk products
• コードベース うち 80-90%がオープンソース • 脆弱性 80% 間接的な依存関係で見つかる • 数百
Linux パッケージが含まれる • 秒単位 短時間でビルド、デプロイ、スケール可能 • クラウドで 脆弱性発生原因 第1位 設定ミス [米国 NSA] • ネットワーク、ストレージ、サーバー - コードを通じて素早く設定 • 頻繁にデプロイされるソフトウェア - ウォーターフォールで 追い つけない。スキャンに何時間もかけられない • カスタムコードが全体 10-20% - DX 推進で、もっと多く 機能 を、より短い時間で開発することが求められる Code Open Source Containers Infrastructure as Code クラウド時代 アプリケーション リスク 潜む場所
CI/CD Git repository Traditional/PaaS Serverless Production DevSecOps: DevOps ワークフローへ 組み込まれたセキュリティ
Registry deploy Security gate Code Test & fix Test, fix, monitor Kubernetes Monitor & more... build submit Test, fix, monitor
Snyk Open Source: 自動修正により 複雑な修正作業を容易に クリックひとつで 修正用プルリクエストを作成 Vulnerable package Fix
[email protected]
Fix Vulnerable package
Snyk 脆弱性データベース
Vulnerability Database Snyk Developer Community Public Sources Proprietary Research Machine
Learning より多く >3x 他 商用データベースに比べて 多く 脆弱性を登録 より早く >90% NVD JavaScript 脆弱性 うち Snyk DB に最初に登録された割合 速やかに修正 修正情報 提供 優先度や修正方法 判断に役立つ メタデータ・情報を研究者が追加 Trusted by 正確に検知 低い誤検知率 継続的に詳細な 品質を守る Snyk Intel Vulnerability DB (脆弱性DB)
まとめ
Snyk Developer Security を実現 • 開発者用 セキュリティツール • 開発 各フェーズで実行できる
• 既存 開発ツールと連携して実行できる • 自動修正機能 • Snyk 脆弱性データベース • Snyk Open Source (オープンソースライブラリ 脆弱性) や、 Code / Container / IaC もカバー
参考情報 • Snyk サインアップページ • AWS クイックスタート Snyk Security •
Snyk でデプロイ済み AWS Lambda 脆弱性診断をしてみた (DevelopersIO)
Thank you! snyk.io よりフリープランにサインアップ できます。ぜひSnykをお試しください!
じめよう!AWSとSnykで安全で迅速な開発を! 【AWS登壇】シリーズ3回ウェビナー+ハンズオン ご参加(無料) こちら :https://snyk.zoom.us/webinar/register/6116538759778/WN_PQJRafNMSW2JDXeGMHox6g Day 1) 6月9日(木)11:00-12:00 【ウェビナー】 DevOpsからDevSecOpsへ、さらに堅牢な開発環境を実現するために
スピーカー: アマゾン ウェブ サービス ジャパン 合同会社 技術統括本部パートナー技術本部 シニアパートナーソリューションアーキテクト 山口 弘樹氏、 Snyk株式会社 シニアソリューションエンジニア 相澤 俊幸氏 Day 2) 6月16日(木)11:00-12:00 【ウェビナー】AWS EKSで 開発を、Snykを使って堅牢に スピーカー: アマゾン ウェブ サービス ジャパン 合同会社 パブリックセクター ソリューションアーキテクト 東 健一氏 、 Snyk株式会社 シニアソリューションエンジニア 相澤 俊幸氏 Day 3) 6月30日(木)11:00-12:00 【ハンズオン】やってみよう! AWS CodePipelineとSnyk ハンズオンワークショップ ▼詳細お申し込み こちら
Q & A
toshiaizawa
nassy20
yuyatakeyama
edeandrea
line_developers_tw
kawaguti
seafay
sonic
stefafafan
yamaguchitk333
ninomiya_ii
elmodev09
jnunemaker
cassininazir
schroneko
rabernat
eileencodes
irinanazarova
addyosmani
tapps
akashhashmi
emna__ayadi
axbom
baasie
![$ docker scan [OPTIONS] IMAGE](https://files.speakerdeck.com/presentations/3a53f6dadadd47fc8256c2b7115c5b88/slide_8.jpg){kind=link}
