ラック、アプリ開発プロセスにおける脆弱性対策の強化を支援する「セキュリティ脆弱性アドバイスサービス by Snyk」

　株式会社ラックは28日、同社がこれまで蓄積した知見を活用して、顧客のアプリケーション開発プロセスにおけるセキュリティ対策の強化を支援する「セキュリティ脆弱性アドバイスサービス by Snyk」を提供開始した。

　ラックでは、近年のアプリケーション開発は、アジャイル開発のように短期的なサイクルでリリースを繰り返す開発手法に移行しつつあると説明。開発プロセスの初期段階からセキュリティを重視するシフトレフトのアプローチに基づいて、コードを実行せずにアプリケーションの脆弱性を見つける「静的アプリケーションテスト（Static Application Security Testing：SAST）」、ソフトウェアの構成要素を調査する「ソフトウェア・コンポジション解析（Software Composition Analysis：SCA）」、アプリケーション実行中に脆弱性を特定する「動的アプリケーションテスト（Dynamic Application Security Testing：DAST）」などのツールや手法の活用を浸透させる施策が有効だとしている。

　こうしたツールの効果的な活用や、関連する組織のルールや規定などへの改善アドバイスなどのコンサルティングサービスをラックは提供しており、今回、その一環として、開発プロセスの工程で「Snyk」を利用している顧客向けに、「セキュリティ脆弱性アドバイスサービス by Snyk」を提供する。

　Snykは、コードやオープンソースとその依存関係、コンテナやIaC（Infrastructure as Code）における脆弱性を見つけるだけでなく、優先順位を付けて修正するツール。Gitや統合開発環境（IDE）、CI/CDパイプラインに直接組み込めるので、開発者が簡単に使用できる。

　セキュリティ脆弱性アドバイスサービス by Snykは、診断ルールや対策基準の策定支援を行い、開発プロセスにおいてSnykが検出した脆弱性の危険度評価と対応する優先順位をアドバイスする。サービスを通じて、セキュリティのシフトレフトを進める顧客のセキュリティ対策を支援する。

　サービスは、「組織内ルール策定、診断対象選定ソリューション」と「第三者評価ソリューション」の2つのソリューションで構成される。

　組織内ルール策定、診断対象選定ソリューションは、脆弱性に対して優先度の高い対策を行うために、組織のセキュリティポリシーや規定に基づいた診断ルールや対策基準を策定し、診断対象を効果的に選定する。顧客は効率的に診断を実施し、検出された脆弱性に優先順位を付けて対応できる。

　第三者評価ソリューションは、検出された脆弱性に対して、専門家の意見を取り入れながら対応を進めるために、Snyk Code（SAST）、Snyk Open Source（SCA）の活用を支援する。