日立システムズエンジニアリングサービスは2024年2月6日、開発者向け脆弱性管理クラウドサービス「Snyk」(開発元:英Snyk)を販売すると発表した。ライセンス販売に加えて、Snykによるサイバー攻撃リスク低減を適用した開発プロセスを定着させるためのSI/運用支援サービスを提供する。
日立システムズエンジニアリングサービスの「Snyk(スニーク)」は、英Snykが開発・提供するソフトウェア開発者向けの脆弱性管理クラウドサービスである。
バージョン管理ツール「Git」、統合開発環境(IDE)、各種CI/CDツールなどに組み込んで使う。ソフトウェアのソースコードやオープンソースライブラリ、コンテナイメージ、IaC(Infrastructure as Code)コードなどに含まれる脆弱性を検出・修正する。以下の4つのツールで構成する。
- Snyk Opensource:利用中のオープンソースライブラリの脆弱性を検出し、優先順位を付けて自動的に修正する。
- Snyk Container:コンテナイメージに含まれる脆弱性を検出する。OSのベースイメージから混入する脆弱性への対処として、安全なベースイメージを使うためのアドバイスを提供する。
- Snyk IaC:サーバーなどの構成管理をコード化/自動化するTerraformの設定ファイルとKubernetesの設定ファイルを検査し、安全でない設定を検出・修正する。
- Snyk Code:開発者自身が記述したソースコードの脆弱性を検出する。ソースコードの開発作業中に、リアルタイムにコードの脆弱性を検出・修正する。
日立システムズエンジニアリングサービスは、Snykのライセンス販売に加えて、Snykによるサイバー攻撃リスク低減を適用した開発プロセスを定着させるためのSI/運用支援サービスを提供する。バージョン管理ツール/IDEとの連携、周辺ツールの設定など、DevSecOps(開発・セキュリティ・運用)環境の構築を支援する。
画面1:Snykの脆弱性データベースサイト拡大画像表示
合わせてセキュリティ診断サービスを提供する。Snykが提供する静的解析点検と、アプリケーション診断、サーバー/ネットワークのインフラ診断などの動的解析点検を合わせて複合的に解析する(画面1)。
「ソフトウェア脆弱性への対策が急務である。経済産業省は2023年7月に『ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引』を公開している。同省はさらに、ECサイトの脆弱性対策と本人認証の仕組みの導入を義務化する方針を固め、2024年3月末までに全ECサイトが脆弱性対策と本人認証を導入することを検討会の報告書案に盛り込んでいる」(同社)
