ソフトウェア開発者向けに脆弱性管理ツールを提供するSnykは2月16日、日本でのサービス提供を開始したと発表した。迅速で安全なソフトウェア開発を支援する「デベロッパーセキュリティ」を掲げ、アプリケーション構築環境に対応したオールインワンのセキュリティ管理環境を提供する。
同社は2015年に創業の米国企業。Asurion、Google、Intuit、MongoDB、New Relic、Revolut、Salesforceなど、1550社以上の企業がサービスを利用し、過去3カ月間で修正した脆弱性は3000万件に及ぶという。
Snykの最高マーケティング責任者(CMO)で最高顧客体験責任者のJeff Yoshimura氏は記者会見で、「オープンソースソフトウェアはあらゆるところで使われるようになり、クラウドがソフトウェア開発の在り方を大きく変えた。Snykのミッションは迅速で安全な開発を支援すること。デジタルイノベーションの未来を担保する新しいカテゴリーとして“デベロッパーセキュリティ”を確立し、開発ライフサイクル全体にセキュリティを組み込む」と説明した。
デベロッパーセキュリティとは、開発者の生産性を高め、安全な開発を可能にし、イノベーションを加速させる一方で、最先端のセキュリティインテリジェンスを提供し、クラウドネイティブ時代のテクノロジー全体を一元的に可視化するものという。
「デジタルトランスフォーメーション(DX)が開発者の働き方を大きく変える機運になった。時間単位の継続的なデプロイメントや開発と運用が密接に連携するDevOps、アジャイル開発モデルなど、開発ライフサイクルの短期間化にセキュリティも対応する必要がある」とYoshimura氏は指摘する。
従来のようにセキュリティ担当者が開発プロセスの後に安全性を確認する方法から、開発者が最初から最後までプロセス全体にわたって安全性を担保し、開発する方法への変革が求められている。
同社のサービスは、コードやオープンソースとその依存関係、コンテナーやInfrastructure as Code(IaC)に潜む脆弱性や設定ミスを検出するほか、それらの脆弱性に優先順位をつけて修正するためのツールになる。Gitや統合開発環境(IDE)、継続的統合/展開(CI/CD)パイプラインに直接組み込むことができる。これにより、開発全体のセキュリティを担保しながら、迅速な開発を可能にする。
Snyk プロダクト&パートナーマーケティング統括バイスプレジデントのRavi Maira氏は同社製品について説明。「ユーザーである開発者の使いやすさに主眼をおいた、デベロッパーファーストのセキュリティプラットフォーム」であると強調した。
その一方で、脆弱性の検出にはセキュリティインテリジェンスが重要であるとし、Snykでは、社内の専門チームだけなく、外部の学術団体や研究機関との連携、コミュニティーからの報告も含め、多角的に最新の脆弱性をデータベース化していると話す。公開されている商用の他データベースと比較すると、同社のデータベースは441%も多くの脆弱性をカバーしているという。
Snyk アジア太平洋地域統括 バイスプレジデントのShaun McLagan氏は、日本市場への本格展開について、デジタル庁の発足と日本企業のDX推進が大きな後押しになったと説明。セキュリティ人材の不足が深刻な状態にあるとする総務省の見通しにも触れながら、DevSecOpsを実現する同社のデベロッパーセキュリティに商機があると語った。当面はクラスメソッド、ラックのパートナー2社とともに日本市場での事業拡大を狙っていく。
最後に、Snyk シニアセールスディレクターの金承顕氏は、日本のDXに立ちはだかる課題として「クラウドへのパラダイムシフト」と「サイバーセキュリティ」を挙げ、その解決策としてアジャイル開発、DevOps、CI/CDといったソフトウェア開発の近代化と、ソフトウェアの開発プロセスにセキュリティを組み込むシフトレフトの脆弱性対策などが求められる現状を指摘。そして、その両者を兼ね備えたものが同社のデベロッパーセキュリティになると話した。