Paidyは、2021年の夏に開発者全員のワークフローに脆弱性管理ツール「Snyk」を導入した。Snykが発表した。
導入製品は、主なインフラ構築の安全性確保のための「Snyk Infrastructure as Code(IaC)」だけでなく、オープンソースに依存する既知の脆弱性やライセンス問題を自動的に発見して修正する「Snyk Open Source」、コンテナイメージの安全性確保のための「Snyk Container」となっている。
Paidyは、クレジットカードなしで利用できるあと払い(BNPL)サービス「ペイディ」を提供している。同サービスは日本で780万人が利用している。
Snykは、2021年12月に公表された「Log4j」脆弱性に対して、Paidyが使っていた多くの脆弱性検知ツールのうち最も迅速かつ正確に、隠れていた同脆弱性を検知し、4日間で問題を修正できた。
Snykは開発者向けのセキュリティプラットフォームで、コードやオープンソースとその依存関係、コンテナやIaCにおける脆弱性を見つけることができ、優先順位をつけて修正することが可能。Gitや統合開発環境(IDE)、CI/CDパイプラインに直接組み込むことができるので、開発者が簡単に使うことができる。
導入後、Paidyの開発チームとセキュリティチームは、コードの脆弱性をより深く知ることができ、全体的な誤検出を減少させることができた。また過去90日間で、脆弱性の修理に費やす平均時間が73%削減でき、同90日間の管理プロジェクト数が265%増加した。なお開発者のSnyk利用率100%を達成できたという。
Paidyは、Snykを導入することとなった理由として、誤検知を防ぎ、より早く正確に脆弱性を検査できることや、すべての検査ツールを1つにまとめることができることなどを挙げている。また、50人を超える開発者が日々の業務に支障をきたさず検査することができることも採用ポイントになった。
Snyk導入以前、Paidyでは、誤検知に関する課題が存在していた。例えば、従来活用していた別の検査ツールでは、日々の脆弱性検査で多くの誤検知結果が返ってきたため、セキュリティチームはテストの結果が正しいものか判断するのに必要以上に工数がかかっていたという。