セキュリティの課題の裏側にある「開発スピード」の問題
「デブサミはいつも楽しみ。インスパイアされ、インスパイアしたい」と語り、今年のデブサミカラーであるグラデーションカラーのTシャツ姿で登壇したSnyk株式会社の相澤 俊幸氏。自身がインスパイアされ、入社の決め手となった二人の創業者の共通項として、「デベロッパーファーストであること」をあげた。
そんな相澤氏が現在在籍するのは、デベロッパーセキュリティプラットフォームを提供するSnyk株式会社。相澤氏は長らくAkamaiに在籍し、ユーザーとしてもAkamaiに触れた経験を持つ。英語教員や講師などを経てFastly社、Akamai社とSDNに長らく関わってきた。そして、創業者であるガイ・ポジャーニー(Guy Podjarny:通称Guypo/ガイポ)氏もまた「デベロッパーファースト」を貫き、エンジニアがセキュアなコードを書くことを支援することで、組織にメリットをもたらすという考え方の持ち主だ。
では、エンジニアにとって重要な「アプリケーションセキュリティ」にまつわる悩みとはどのようなものがあるのか。そもそも「脆弱性やセキュリティについてよく知らない」というものから、チームで開発する場合に開発者によって温度差があったり、コードを書いた後に脆弱性が見つかったり、さらには機密データをどう取り扱うべきかが分からないという悩みもあるだろう。
また、セキュリティ担当についても、開発者でないために「自分でコードを修正できない」、「開発者によってセキュリティの知識や意識のレベルが異なる」、「サプライチェーンに由来する脆弱性の大量発生」、そして「部署・プロジェクトにまたがる脆弱性の把握」などに課題感を持っている人が多い。
相澤氏は、「こうしたさまざまな課題の背景には『スピード(ベロシティ)』の問題がある」と語る。たとえば、何か脆弱性が見つかれば早急に対応しなければならないが、DevOpsなどで開発スピードを上げることが求められ、セキュリティ対策にじっくりと時間を掛けにくくなっていることがある。相澤氏は「スピードの改善が図れれば、必然的にセキュリティに向き合う時間が増え、結果として解決に繋がる可能性は高い」と語った。
セキュリティ企業ではなく、開発者が使うツールを提供する企業に
そしてSnykの創設者であるガイポ氏はイスラエル軍そして、SanctumやIBMなどで長らくセキュリティ領域に関わってきた。その後Webパフォーマンスの世界に入り、2015年Snykを創設することとなる。
彼がどんな世界を見てきたのか。まず2002年に入社したWebアプリケーションセキュリティ会社のSanctumでは、AppScan(Vulnerability Scanner)を担当した。当時は、コストや効率性などの観点から、セキュリティに考慮した設計、開発を行う「シフトレフト」の波が来ていた頃だ。
しかしながら、開発しながらセキュリティを担保する方法として顧客がツールを導入したものの、ビルドにかかる時間が約4倍も伸びてしまったという。ビルドが壊れる可能性があるコーディングミスがあるとツールに表示されたので、開発チームが何時間もかけてコードを確認したところ、ようやく見つかったのは、些細なバグだった。そんなことが毎週のように発生した結果、いつしかその監査ツールが使われなくなるという経験をする。こうしたことは今も起きており、検知に時間がかかる、誤検知が多いなどの悩みはよく聞く話だ。
その後、Sanctumの買収先であるWatchfire、IBMを経て、2010年にWebサイト高速化ソリューションを提供するBlaze.ioを起業。FEO(Front End Optimization)技術を開発して提供していた。今では使われなくなったが、当時はSDNのようなWebパフォーマンスを向上させるためによく活用されていた技術だ。そして、VelocityなどDevOpsのカンファレンスに頻繁に顔を出し、その時の高揚感を語っている。
相澤氏は、CTOになりたかったガイポ氏にメンターが「起業してCTOを名乗ればいいよ」といったエピソードを紹介。まさにそのとおりに、ガイポ氏はBlaze.ioでCTOを名乗り、Akamaiに買収されたことで、AkamaiのWebパフォーマンス部門のCTOに就任することとなる。
その頃に、ガイポ氏は「人気を集めてクールな会社にも採用されている」と競合のFastlyに注目していた。当時、SDNの第一人者Akamaiに比べ、Fastlyは新興であり、DevOpsやアジャイルといった新しい開発手法にフィットしていた。
そして、2015年にAkamaiを退職し、Snykを立ち上げた。そして、古巣とも言えるセキュリティ領域の製品開発に取り組むようになる。その頃に口にしていたのが、「Snykは、セキュリティ企業ではなく、開発者が使うツールを提供する企業になるのだ」という言葉だ。それがSnykのアイデンティティとなっていく。
DevSecOpsで継続性・自律性・自動化を実現する
それでは、Snykを用いることで、開発者にどのようなメリットがあるのか。相澤氏は、「DevOpsからDevSecOpsへ」というコンセプトを提示。DevOpsでは、開発者がコードを書き、ビルド、テスト、デプロイまで一気にエンドツーエンドで担い、継続的に改善を行なうことができる。DevSecOpsでは、それがセキュリティにおいても同様に可能となり、スピーディに開発できる。
相澤氏はDevOpsを実現する要素について次のように分解して説明した。まずコード作成からデプロイまで”継続的なプロセス”が可能になること。そして、継続的なプロセスを実現するには、他に依存することなく開発者が自律的に進められる組織であること。その自律性を担保するためには、作業の自動化またはそのためのツールの活用が必須となる。
ここにセキュリティまで組み込んでしまうのが、DevSecOpsの考え方だ。開発やデプロイだけでなく、セキュリティのチェックも組み込まれる。しかも「継続的なプロセス」としてだ。そのためには、セキュリティのプロセスが自律的に行われ、自動化されていることが重要になる。
まさに、これを実現するのがSnykの「Developer Security プラットフォーム」だ。5つの製品によって、さまざまなクラウドネイティブなコードがサポートされる。さらに開発者に向けて開発ツールとして提供されるのも、Snykならではのユニークネスであり、DevSecOps実現への意欲が伺えるところだ。相澤氏は「セキュリティを苦手とする開発者でも、自分でスキャンし、そこで脆弱性が発見されれば自分で修正できるようサポートする」と語った。
