Upgrade to Pro — share decks privately, control downloads, hide ads and more …

デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 (Security-JAWS 第25回)

デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 (Security-JAWS 第25回)

Toshi Aizawa

May 30, 2022
Tweet

More Decks by Toshi Aizawa

Other Decks in Technology

Transcript

  1. With Snyk, Organizations Can Develop Fast and Stay Secure Snyk

    を使え 迅速な開発とセキュリティが両立できる
  2. セキュアな DX (デジタルトランスフォーメーション ) 推進に必須 コンセプト Developer Security 開発 効率化、セキュリティ

    強化、 そしてイノベーション 促進に貢献 最先端 セキュリティノウハウと、 クラウドアプリケーション全体へ セキュリティ可視性を提供
  3. イノベーション 足かせとなる従来型セキュリティ対策 脆弱性 増加と、 企業・顧客へ リスク増大 イノベーション実現に Developer Security 取り組みが必須

    イノベーション 遅れ、 競争力 低下 シナリオ 1 開発 スローダウン シナリオ 2 セキュリティ 対策がおろそかに 従 来 型 セ キ ュ リ テ ィ 対 策
  4. 検知 修正 予防 監視 管理 セキュリティ担当 開発者 使いやすさ 最先端 セキュリティノウハウ

    ツールによる自動化 Snyk による SDLC 全体で セキュリティ対策
  5. Snyk によるコーディングから本番環境に至るセキュリティ対策 コーディング SCM (ソースコード管理 ) CI / CD 本番環境

    / クラウド 検出 / 修正 検出 / 修正 / 監視 検出 / 修正 / 監視 監視 (IDE) (Git Repos) (CLI) (Kubernetes, Registry, etc.) スキャン → 自動修正 チェックイン・マージ時 スキャン実行 ビルド時 スキャン実行 脆弱性検出 → アラート発出 開発しながらスキャン → 脆弱性あれ 即修正 監視ルール 設定 ビルド連携した検出・修正
  6. 20 Log4Shell 対策でも活躍した Snyk 修正 検出 素早く正確に検出 重大性 理解 自動修正

    プライオリティ付け 予防 早期発見 セキュアな開発 監視 可視性 確保 現状把握・進捗管理 管理 自社ポリシーに応じた管理 的確な対応
  7. Open Source 90% 以上 企業がオープン ソースパッケージを活用 90%+ Code テストフェーズにおける脆弱性修正 設計時に比べると

    15 倍 コスト増 15x Container 75% 企業が 2022 年に コンテナを利用 75% Infrastructure as Code クラウド脆弱性 原因 ナンバーワン 設定ミス #1 Source: Gartner, NSA, IBM 重要セキュリティ要件を満たす 4 つ 製品群 Snyk アプリケーション 脆弱性について、コードからクラウドまで 全体像を、開発者とセキュリティ担当に提供
  8. • コードベース うち 80-90%がオープンソース • 脆弱性 80% 間接的な依存関係で見つかる • 数百

    Linux パッケージが含まれる • 秒単位 短時間でビルド、デプロイ、スケール可能 • クラウドで 脆弱性発生原因 第1位 設定ミス [米国 NSA] • ネットワーク、ストレージ、サーバー - コードを通じて素早く設定 • 頻繁にデプロイされるソフトウェア - ウォーターフォールで 追い つけない。スキャンに何時間もかけられない • カスタムコードが全体 10-20% - DX 推進で、もっと多く 機能 を、より短い時間で開発することが求められる Code Open Source Containers Infrastructure as Code クラウド時代 アプリケーション リスク 潜む場所
  9. CI/CD Git repository Traditional/PaaS Serverless Production DevSecOps: DevOps ワークフローへ 組み込まれたセキュリティ

    Registry deploy Security gate Code Test & fix Test, fix, monitor Kubernetes Monitor & more... build submit Test, fix, monitor
  10. Vulnerability Database Snyk Developer Community Public Sources Proprietary Research Machine

    Learning より多く >3x 他 商用データベースに比べて 多く 脆弱性を登録 より早く >90% NVD JavaScript 脆弱性 うち Snyk DB に最初に登録された割合 速やかに修正 修正情報 提供 優先度や修正方法 判断に役立つ メタデータ・情報を研究者が追加 Trusted by 正確に検知 低い誤検知率 継続的に詳細な 品質を守る Snyk Intel Vulnerability DB (脆弱性DB)
  11. Snyk Developer Security を実現 • 開発者用 セキュリティツール • 開発 各フェーズで実行できる

    • 既存 開発ツールと連携して実行できる • 自動修正機能 • Snyk 脆弱性データベース • Snyk Open Source (オープンソースライブラリ 脆弱性) や、 Code / Container / IaC もカバー
  12. 参考情報 • Snyk サインアップページ • AWS クイックスタート Snyk Security •

    Snyk でデプロイ済み AWS Lambda 脆弱性診断をしてみた (DevelopersIO)
  13. じめよう!AWSとSnykで安全で迅速な開発を! 【AWS登壇】シリーズ3回ウェビナー+ハンズオン ご参加(無料) こちら :https://snyk.zoom.us/webinar/register/6116538759778/WN_PQJRafNMSW2JDXeGMHox6g Day 1) 6月9日(木)11:00-12:00 【ウェビナー】 DevOpsからDevSecOpsへ、さらに堅牢な開発環境を実現するために

    スピーカー: アマゾン ウェブ サービス ジャパン 合同会社 技術統括本部パートナー技術本部 シニアパートナーソリューションアーキテクト 山口 弘樹氏、 Snyk株式会社 シニアソリューションエンジニア 相澤 俊幸氏 Day 2) 6月16日(木)11:00-12:00 【ウェビナー】AWS EKSで 開発を、Snykを使って堅牢に スピーカー: アマゾン ウェブ サービス ジャパン 合同会社 パブリックセクター ソリューションアーキテクト 東 健一氏 、 Snyk株式会社 シニアソリューションエンジニア 相澤 俊幸氏 Day 3) 6月30日(木)11:00-12:00 【ハンズオン】やってみよう! AWS CodePipelineとSnyk ハンズオンワークショップ ▼詳細お申し込み こちら