SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

Developers Summit 2023 セッションレポート(AD)

アプリケーションのセキュリティ対策をしよう! DevSecOpsで継続性・自律性・自動化を実現する

【9-D-2】「見えない敵 セキュリティ」と戦う開発者を応援したい。Snyk創業者Guy Podjarnyの目指したDevSecOpsとは?

  • X ポスト
  • このエントリーをはてなブックマークに追加

 2000年代から2010年代前半に、セキュリティやウェブパフォーマンスのスタートアップに携わったSnyk創業者のガイ・ポジャーニー(Guy Podjarny)氏。クラウド普及とDevOpsの出現を目の当たりにし、そのインパクトと開発者の中心的役割に感銘を受けて誕生したのが、Snykのデベロッパーセキュリティプラットフォームだ。その創業ストーリーとDevSecOpsが組織にもたらすメリットについて、同社でシニアソリューションズエンジニアとして活躍する相澤俊幸氏が紹介した。

  • X ポスト
  • このエントリーをはてなブックマークに追加

セキュリティの課題の裏側にある「開発スピード」の問題

 「デブサミはいつも楽しみ。インスパイアされ、インスパイアしたい」と語り、今年のデブサミカラーであるグラデーションカラーのTシャツ姿で登壇したSnyk株式会社の相澤 俊幸氏。自身がインスパイアされ、入社の決め手となった二人の創業者の共通項として、「デベロッパーファーストであること」をあげた。

Snyk株式会社 シニアソリューションズエンジニア 相澤 俊幸氏
Snyk株式会社 シニアソリューションズエンジニア 相澤 俊幸氏

 そんな相澤氏が現在在籍するのは、デベロッパーセキュリティプラットフォームを提供するSnyk株式会社。相澤氏は長らくAkamaiに在籍し、ユーザーとしてもAkamaiに触れた経験を持つ。英語教員や講師などを経てFastly社、Akamai社とSDNに長らく関わってきた。そして、創業者であるガイ・ポジャーニー(Guy Podjarny:通称Guypo/ガイポ)氏もまた「デベロッパーファースト」を貫き、エンジニアがセキュアなコードを書くことを支援することで、組織にメリットをもたらすという考え方の持ち主だ。

 では、エンジニアにとって重要な「アプリケーションセキュリティ」にまつわる悩みとはどのようなものがあるのか。そもそも「脆弱性やセキュリティについてよく知らない」というものから、チームで開発する場合に開発者によって温度差があったり、コードを書いた後に脆弱性が見つかったり、さらには機密データをどう取り扱うべきかが分からないという悩みもあるだろう。

 また、セキュリティ担当についても、開発者でないために「自分でコードを修正できない」、「開発者によってセキュリティの知識や意識のレベルが異なる」、「サプライチェーンに由来する脆弱性の大量発生」、そして「部署・プロジェクトにまたがる脆弱性の把握」などに課題感を持っている人が多い。

 相澤氏は、「こうしたさまざまな課題の背景には『スピード(ベロシティ)』の問題がある」と語る。たとえば、何か脆弱性が見つかれば早急に対応しなければならないが、DevOpsなどで開発スピードを上げることが求められ、セキュリティ対策にじっくりと時間を掛けにくくなっていることがある。相澤氏は「スピードの改善が図れれば、必然的にセキュリティに向き合う時間が増え、結果として解決に繋がる可能性は高い」と語った。

セキュリティ企業ではなく、開発者が使うツールを提供する企業に

 そしてSnykの創設者であるガイポ氏はイスラエル軍そして、SanctumやIBMなどで長らくセキュリティ領域に関わってきた。その後Webパフォーマンスの世界に入り、2015年Snykを創設することとなる。

 彼がどんな世界を見てきたのか。まず2002年に入社したWebアプリケーションセキュリティ会社のSanctumでは、AppScan(Vulnerability Scanner)を担当した。当時は、コストや効率性などの観点から、セキュリティに考慮した設計、開発を行う「シフトレフト」の波が来ていた頃だ。

 しかしながら、開発しながらセキュリティを担保する方法として顧客がツールを導入したものの、ビルドにかかる時間が約4倍も伸びてしまったという。ビルドが壊れる可能性があるコーディングミスがあるとツールに表示されたので、開発チームが何時間もかけてコードを確認したところ、ようやく見つかったのは、些細なバグだった。そんなことが毎週のように発生した結果、いつしかその監査ツールが使われなくなるという経験をする。こうしたことは今も起きており、検知に時間がかかる、誤検知が多いなどの悩みはよく聞く話だ。

 その後、Sanctumの買収先であるWatchfire、IBMを経て、2010年にWebサイト高速化ソリューションを提供するBlaze.ioを起業。FEO(Front End Optimization)技術を開発して提供していた。今では使われなくなったが、当時はSDNのようなWebパフォーマンスを向上させるためによく活用されていた技術だ。そして、VelocityなどDevOpsのカンファレンスに頻繁に顔を出し、その時の高揚感を語っている。

 相澤氏は、CTOになりたかったガイポ氏にメンターが「起業してCTOを名乗ればいいよ」といったエピソードを紹介。まさにそのとおりに、ガイポ氏はBlaze.ioでCTOを名乗り、Akamaiに買収されたことで、AkamaiのWebパフォーマンス部門のCTOに就任することとなる。

 その頃に、ガイポ氏は「人気を集めてクールな会社にも採用されている」と競合のFastlyに注目していた。当時、SDNの第一人者Akamaiに比べ、Fastlyは新興であり、DevOpsやアジャイルといった新しい開発手法にフィットしていた。

 そして、2015年にAkamaiを退職し、Snykを立ち上げた。そして、古巣とも言えるセキュリティ領域の製品開発に取り組むようになる。その頃に口にしていたのが、「Snykは、セキュリティ企業ではなく、開発者が使うツールを提供する企業になるのだ」という言葉だ。それがSnykのアイデンティティとなっていく。

DevSecOpsで継続性・自律性・自動化を実現する

 それでは、Snykを用いることで、開発者にどのようなメリットがあるのか。相澤氏は、「DevOpsからDevSecOpsへ」というコンセプトを提示。DevOpsでは、開発者がコードを書き、ビルド、テスト、デプロイまで一気にエンドツーエンドで担い、継続的に改善を行なうことができる。DevSecOpsでは、それがセキュリティにおいても同様に可能となり、スピーディに開発できる。

 相澤氏はDevOpsを実現する要素について次のように分解して説明した。まずコード作成からデプロイまで”継続的なプロセス”が可能になること。そして、継続的なプロセスを実現するには、他に依存することなく開発者が自律的に進められる組織であること。その自律性を担保するためには、作業の自動化またはそのためのツールの活用が必須となる。

DevOpsを実現する要素
DevOpsを実現する要素

 ここにセキュリティまで組み込んでしまうのが、DevSecOpsの考え方だ。開発やデプロイだけでなく、セキュリティのチェックも組み込まれる。しかも「継続的なプロセス」としてだ。そのためには、セキュリティのプロセスが自律的に行われ、自動化されていることが重要になる。

DevSecOpsを実現させるための要素
DevSecOpsを実現させるための要素

 まさに、これを実現するのがSnykの「Developer Security プラットフォーム」だ。5つの製品によって、さまざまなクラウドネイティブなコードがサポートされる。さらに開発者に向けて開発ツールとして提供されるのも、Snykならではのユニークネスであり、DevSecOps実現への意欲が伺えるところだ。相澤氏は「セキュリティを苦手とする開発者でも、自分でスキャンし、そこで脆弱性が発見されれば自分で修正できるようサポートする」と語った。

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加

提供:Snyk株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/17424 2023/04/06 12:00

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング