HookでSAST、CIでSAST、SCAでどうにかしている話 / layered-security-for-ai-written-code-with-sast-and-sca

Transcript

1. 1 © SMS Co., Ltd. 2026.6.29 株式会社エス・エム・エス 山口隆史 HookでSAST、CIでSAST、SCAでどうにかしている話 1

2. 2 © SMS Co., Ltd. ⾃⼰紹介 ⽒名：⼭⼝隆史(やまぐちたかし) 所属：株式会社エス・エム・エス    プロダクト推進本部 技術推進グループ 業務：全社SREとしての活動

   略歴：フリーランス、SIer、Web系を渡り歩く→現職（2024/05〜） ⾃称：Security Hub芸⼈ 通称：千葉⽀部公式AWS BuilderCards審判員 好きなAWSサービス：営業、Security Hub、GuardDuty 他：AWS Community Builder(Security & Identity)、JAWS-UG千葉⽀部運営   Snyk Ambassador、SRE NEXTコアスタッフ 第022587号

3. 3 © SMS Co., Ltd.

4. 4 © SMS Co., Ltd. 会社概要 *1：第7期迄は単体数値、第8期より連結数値にて記載 基礎情報 株式会社エス・エム・エス（英語表記）SMS Co.,

   Ltd. 2003年 4月4日 東京証券取引所プライム市場（証券コード:2175） 25億5,172万円（2026年3月31日時点） 連結：4,660人、単体：3,214人（2026年3月31日時点） 国内：4社、海外：アジア・オセアニア等16の国と地域 「高齢社会に適した情報インフラを構築することで人々の 生活の質を向上し、社会に貢献し続ける」 高齢社会に求められる領域を、医療・介護/障害福祉・ヘルスケア ・シニアライフと捉え、価値提供先であるエンドユーザ・従事者・事 業者をつなぐプラットフォームとしての情報インフラを構築し、40以 上のサービスを展開 会社名 設立 市場情報 資本金 従業員数 関連会社 ミッション 業績 売上推移 *1 （売上高・億円） 社会課題の解決につながる事業を 創造・拡大し、継続的に成長

5. 5 © SMS Co., Ltd. 分野 区分 サービス キャリア 人材紹介サー

   ビス DR・その他 介護・障害福祉 経営支援 ヘルスケア シニアライフ 海外 ＊1．柔道整復師、あん摩マッサージ師、はり師、きゅう師のこと サービス⼀覧（⼀部抜粋） 看護師向け 人材紹介 PT/OT/ST向け 人材紹介 職種横断ダイレクト リクルーティング ケアマネジャー・相談員 ・障がい福祉の人材紹介 看護学生向け 就職情報 放射線技師向け 人材紹介 臨床検査技師向け 人材紹介 看護師・看護学生向け コミュニティ 臨床工学技士向け 人材紹介 保育士向け 人材紹介 治療家*1・セラピスト向け 人材紹介 介護/障害福祉 事業者向け経営支援 介護事業の 経営者・管理者向け情報 高齢社会の 調査・研究・情報発信 医療従事者向け医薬情報 柔道整復師・あはき師 向け受験参考書 管理栄養士・栄養士向け 人材紹介 介護職向け人材紹介 介護で悩む人向け コミュニティ 高齢者向け 食事宅配紹介 高齢者向け 住宅紹介 遠隔指導特定保健指導 サービス 管理栄養士・栄養士 向けコミュニティ ICTを活用した 禁煙サポート 認知症患者とその家族 向け認知症情報 遠隔指導重症化 予防サービス 女性の健康経営 サポート 産業保健に 関わる人向け情報 企業の健康管理 業務サポート リフォーム会社 紹介 葬儀社紹介　 介護で働く人の ためのスクール 介護・医療・福祉の 資格講座情報 行動療法に特化した 禁煙サポート 医療介護業界特化型 ストレスチェック 認知症予防 ソリューション 看護師向け キャリアサービス 看護師の職場を 診断するツール 障害のある方向け 就労支援事業所情報 障害のある方向け 人材紹介 建設・不動産 業界向け人材紹介 障害福祉事業者向け 業務支援 仕事と介護の 両立支援ソリューション 医療従事者向け人材紹介 (マレーシア、フィリピン、アイルランド、UK、ドイツ等)

6. 6 © SMS Co., Ltd. Snykとは 開発者の手元で脆弱性チェックができて、 GitHub上でPR作成するとでPRチェックができて、 ビルドしたイメージの脆弱性スキャンができて、 イメージをリポジトリにPUSHしたら定期的な脆弱性スキャン

   ができて、 修正のサジェストをしてくれ、 それらをダッシュボードでまとめて確認できるSaaSです ちょっと使うだけだったら無料で行けます

7. 7 © SMS Co., Ltd. 01 02 03 04 現状の課題

   多層防御 まとめ おまけ 目次

8. 8 © SMS Co., Ltd. 01 現状の課題

9. 9 © SMS Co., Ltd. AIが書いたコードは安全か？ https://snyk.io/jp/blog/security-risks-coding-with-ai/

10. 10 © SMS Co., Ltd. 安全とは⾔い切れないが⽣成されにくくはなってそう • 最近のモデルの場合はそこまであからさまな脆弱性のあるコー ドを⽣成しにくくなっている感じはあります ◦

    SASTのチェックであんまり引っかからなくなっている

11. 11 © SMS Co., Ltd. 1つのツールだけでは守り切れない • LLMのスキャンはライブラリの脆弱性を⾒逃しがち ◦ モデルの性能に依存する側⾯もある

    ◦ 従量課⾦なのが⼀番痛い • SASTは複雑な条件で発動する様な脆弱性を検知できない ◦ ⽂脈依存の脆弱性は検知できない ◦ 設定周りも弱い • ツールスキャンは設計レベルの問題を検知できない ◦ 認証認可まわり ◦ PIIへの経路 ◦ 等々

12. 12 © SMS Co., Ltd. 02 多層防御

13. 13 © SMS Co., Ltd. 基本は3層＋3 • Layer1：ローカル ◦ PUSHする前にスキャン

    • Layer2：PR / CI ◦ マージする前にスキャン • Layer3：定期スキャン ◦ ダッシュボードで確認 • 追加1：脆弱性診断 • 追加2：脅威モデリング • 追加3：LLM・MCP Proxyでの監査

14. 14 © SMS Co., Ltd. 実際にやっていること：Layer1（ローカル） • Claude CodeのStop HookでSnyk

    SASTスキャン ◦ 検知するとClaude Code側に通知 ◦ 強制書き換えまではやってない • TDDで実装している前提で、テストが通ればOKの割り切り

15. 15 © SMS Co., Ltd. 実際にやっていること：Layer2（PR / CI） • PR

    Open時にSnyk SASTとSCAスキャン ◦ DIFFだけを対象にスキャン • AIによるセキュリティレビュー ◦ 差分に対して依存関係＋設計観点を補完

16. 16 © SMS Co., Ltd. 実際にやっていること：Layer3（定期スキャン） • スプリントプランニング等でSnykのダッシュボードを確認 ◦ リスクの⾼い物を計画に⼊れる等

    ◦ 取りこぼしを定期的に拾う

17. 17 © SMS Co., Ltd. ⼀部実施 • 脆弱性診断 ◦ リスクの⾼いサービスに対して実施

    • 脅威モデリング ◦ 問い合わせがあったら⼀緒に実施 • LLM・MCP Proxyでの監査 ◦ 検討を始めたところ

18. 18 © SMS Co., Ltd. やってることは昔とあんまり変わらない https://speakerdeck.com/yamaguchitk333/considering-sustainable-security-measures-in-devsecops-left -loop-and-right-loop-perspectives?slide=14

19. 19 © SMS Co., Ltd. 03 まとめ

20. 20 © SMS Co., Ltd. まとめ • どのツール・⽅式もそれぞれ守れる範囲、得意なことが違う • AIが書いても⼈が書いてもセキュリティの基本は同じ

    • コードも多層防御で守りましょう

21. 21 © SMS Co., Ltd. おまけ（OWASP Benchmark Java 1.2 での評価）

    • OWASP Benchmarkから脆弱性あり55件、安全55件を抽出して⾃前で検証 記事を参考にして⾃前で検証 参考記事：https://zenn.dev/yukkie1114/articles/3d927e8c28e085 現地でのみ公開