【QA回答】ウェビナー「Snykを用いたDevSecOpsで現場はこう変わった!」

ウェビナーを開催したエンジニア大島拓人です。
先日2023/3/2に、「シフトレフトの効果とは?Snykを用いたDevSecOpsで現場はこう変わった!」というテーマでウェビナーを開催しました。
現場エンジニアから管理職まで、多くの方にご参加いただきました。ありがとうございました。
当初の想定よりも多くの方にご参加いただき、QAも17件と、多くいただきました。
本来であれば参加者宛てにシステムからの一斉メールで回答することを想定していましたが、入り切らない量になってしまったのでこちらのブログで回答させていただきます!
ウェビナーのおさらい
セキュリティに関する様々な悩みを抱えているエンジニアに向けて、DevSecOpsやシフトレフトと言ったモダンなアプローチ方法を紹介します。セキュリティのプロフェッショナルであるSnyk社の製品を、DevOpsに強みを持つDWSがどのように活用しているのかを通じて説明することで、セキュリティの悩みから抜け出す方法を示します。
導入部分では当社よりシフトレフトやDecSecOpsの概要を紹介しました。
その後、前半のパートとしてSnyk社のスペシャリスト秋山氏より、Snykの製品概要についてご説明いただきました。Snykの製品概要からDevSecOpsへの利用方法までを専門的な観点でご紹介しました。
続いて後半のパートとして当社DWSでの運用について説明しました。どんな体制でどんな運用をしているか、どんな効果があったかを、現場エンジニアの目線からご紹介しました。
最後のQAのパートでは、17件の質問をいただきました!ウェビナー内で回答したものも含め、以下にて回答いたします。
以下回答は全て、2023年3月3日時点での解答となります。将来変更になる可能性がございますことをご留意ください。
QA回答
Snykより回答
Synkのソリューションは、オンプレミスのシステムもサポートしているのでしょうか?
A. Snyk Brokerという機能を活用いただくことで、対応が可能です。
オンプレミス対応しているとのことですが、オンプレミス外に情報を出さない構成は取れますか?
A. 現時点では、オンプレミスのみで構成することはできないです。
Snyk社にて、SaaSに上げる情報については、必要最小限の情報を暗号化等の処置をして管理をしており、SOC2やGDPR等のセキュリティコンプライアンスにも対応をしております。
また、金融系や政府系のお客様にもご安心してお使いを頂いております。
詳細については、ぜひ、ご相談させていただければ幸いです。
閉域網(プライベートクラウドなど脆弱性スキャンについてはどうなりますでしょうか?また、Snykの仕組み自体をオンプレミスに導入するといったことは可能でしょうか?
A. オンプレミスの環境にあるSCM(Git等)やContainer Registries等との連携をする場合には、Snyk Brokerをオンプレミス内に設置していただき、プロキシーの役割を担って、SnykのSaaSと接続をいたします。
また、現時点では、オンプレミスのみで構成することはできないです。
弊社 SaaSに上げる情報については、必要最小限の情報を暗号化等の処置をして管理をしており、SOC2やGDPR等のセキュリティコンプライアンスにも対応をしております。また、金融系や政府系のお客様にもご安心してお使いを頂いております。
詳細については、ぜひ、ご相談させていただければ幸いです。
Snyk自体のバージョンアップ頻度はどれくらいでしょうか?
A. Snyk社のサービスはSaaSでのご提供になるため、随時機能拡張が実施されています。
また、ローカルにインストールしていただく、IDE向けPlug-inやCLIについても、随時アップデートを実施しております
Update情報については、こちらのサイト にて確認が可能です
CVSSスコアに基づく Severity Level などの基準は知っているのですが、Priority Score は何を基準に作成されるのでしょうか?
A. Priority Scoreは、下記の情報を利用して算出されています。
重大度 (CVSSのスコア)、エクスプロイトの成熟度(脆弱性の悪用可能性)、到達可能性、修正の有無、脆弱性の新しさ、ソーシャルトレンド、悪意のあるパッケージかどうか。
詳細については、英語になりますがこちらのリンクに記載されています。
現在のプロジェクトでは、要件定義→設計→コード開発→テストという工程を踏襲しております。このうち、要件定義や設計については、Snykではサポートしない範囲と理解したのですが、合っていますでしょうか?
A. ご認識いただいている通りとなります。サポート範囲ではございません。
DWSより回答
IaCでの脆弱性作り込みのイメージがあまり湧かないのですが、具体例をいくつかご教示いただけないでしょうか?
A. 主にパブリッククラウドにおける脆弱な設定の検知を行うようなイメージです。例えば、AWSの場合、S3バケットがパブリックになっていないか、などの検知が可能です。一覧はこちらになります。
Snykのバージョンアップによる、プロジェクトへの影響という点で、懸念を感じたことはありますでしょうか?
A. 特段バージョンアップによる懸念を感じたことはございません。
Synkを利用するにあたって、現時点で不満を感じる点はありますでしょうか?
A. プルリクエストの修正対応となるファイル名が、固定されているため、イレギュラーなファイル名がついている場合、認識ができないケースがあるなどといった点がございます。
DevSecOps導入により、具体的に全体でどのくらいの工数が削減されましたか?
Snykによるスキャンや修正リクエストの自動化によって、年間約130時間ほど時間を削減・月あたり20件ほどレビューを削減することが出来ています。
詳細は当社コーポレートサイトのDevSecOpsサービスページをご覧ください。
DevSecOps導入に向いている企業の規模の大きさはどれくらいでしょうか?
A. 企業規模による向き不向きは無いと考えています。
たとえば、大企業であれば、セキュリティに対してガバナンスを効かせられますし、またガバナンスを効かせているということを担保できるので、企業の信頼性・ブランドの維持に繋がります。
スタートアップ企業などでは、とりわけ、いち早く新しい製品や機能の開発・マーケット投入が求められますので、 DevSecOpsの実現でセキュリティを担保したスピード感のある開発が可能になります。
ですので、どちらの企業においても、DecSecOspはメリットになりうるかと思います。
DevOpsを導入していないのですが、DevSecOpsの導入は可能なのでしょうか?
A. もちろん可能です。チーム内のカルチャー作りや、ツール導入など当社DWSでトータル支援します。
ですので段階的にDevOpsのステップを踏まず、DevSecOpsを導入することも可能です。ただし、お客さまの状況によっては、当社での対応が難しい場合もございますので、個別にご相談いただけますと幸いです。
Severity LevelやPriority Scoreなどの社内での優先度の脆弱性対応基準スコアはどうやって決めたのでしょうか?
A. Severity Levelについては、IT業界全体としてデファクトスタンダードとなっている、CVSSスコア7.0以上のものを対応すべきという、基準をそのまま採用しています。Priority Scoreについては、社内でSnykを運用していく中での経験則によるものとなります。業界によっても基準は変わってきますので、ぜひ当社までご相談いただければと思います。
開発をしていく上で、Snykを導入したことによる開発のやりづらさはなかったのでしょうか?
A. やりづらさのようなものは発生は現場としては認識しておりません。Snyk による脆弱性対応は、開発の流れの中で自然に対応できるように工夫がされており、開発スタイルを大きく変えることなく、セキュリティ・スピードの向上が可能です。
Mediumなどの社内で定めた基準より下の脆弱性などについては対応はされるのでしょうか?
A. 対応しております。Snykでは、そのような脆弱性に対しても自動でプルリクエストを作成してくれます。ですので、開発のスプリントの最後に対応したり、運用チームで対応をしたり、と優先度を下げての対応といった形です。
DevSecOpsやシフトレフトの支援をお願いする場合、貴社のサポート金額とは別に、Snykのライセンス費用は別途必要となるのでしょうか?
A. はい、サポート金額にプラスで、Snykを含む導入ツールのライセンス費用が必要となります。金額につきましては、当社にご連絡いただいた後にお見積りをさせていただく形になります。
DevSecOpsやシフトレフトの支援を御社にお願いする場合、どのように見積もりを依頼するのでしょうか?
A. 見積もりに関しては、当社HPのお問い合わせページにご連絡を頂ければと思います。
補足
本ウェビナーの一部は、後日youtubeにアップロードいたします。当社ブログでもアナウンスしますので、続報をお待ち下さい。
また、今後もDWSではウェビナーの開催を予定しております。デロイト トーマツ グループからの案内やConnpass等でアナウンスいたしますので、その際はぜひご参加いただけますと幸いです。
関連ページ
- DWSのDevSecOps支援サービスページ - DWSコーポレートサイト
- OWASP ZAPとSnykを利用したDevSecOps CI/CD パイプラインの構築 - DWSブログ
- Snyk IaCとcfn-nagを比較する - DWSブログ
- 登壇した大島夕貴のインタビュー記事 - DWSブログ