Snyk（スニーク）

安心な開発を、迅速に

迅速なソフトウェアリリースで、開発コストの削減にも貢献

ソフトウェア開発手法がウォーターフォール型からアジャイル開発型に移る中で、開発の上流フェーズからセキュリティを浸透させる施策「シフトレフト」が注目を集めています。Snykは、脆弱性データベースに基づき、アプリケーションのソースコードやオープンソースなどの脆弱性を速やかに検知・修正します。また、シフトレフトの実行により開発コストの削減にも貢献します。

安心で迅速なソフトウェア開発をサポート

厳格なセキュリティ: 世界最高レベルの脆弱性データベースに基づき、オープンソースなどの脆弱性を速やかに検知します。優先順位をつけて自動修正します。

開発スピードの向上: 開発中でも脆弱性を随時検知することが可能です。自動で修正対応するので、開発エンジニアの負担を軽減しながらセキュリティレベルを高められます。

開発者ファーストのサービス設計: Gitや統合開発環境（IDE）、CI/CDパイプラインにシームレスに組み込めます。

従来のシステム開発手法における課題

多くのプロジェクトにおいて、システム開発の手法が、かつてのような用件定義、設計、開発、実装、テスト、リリース、運用のサイクルを順番に実施するウォーターフォール型から、そのサイクルを機能ごとに進めるアジャイル型へと変化しました。

また、ソフトウェアに共通する基本的な機能としてオープンソースライブラリを活用することで、開発・運用にかかるコストや手間を軽減しています。

一方で、開発手法の変化による課題も顕在化しています。多くの開発では、本番環境を構築する前にセキュリティゲートがあり、脆弱性チェックが行われますが、ここで脆弱性が発見されると、手戻りが発生し、開発者の生産性低下やリリーススケジュールに遅延が起きてしまいます。

またアジャイル開発でも、迅速なリリースを重視するためにセキュリティ対策が後回しになりがちです。オープンソースライブラリに脆弱性が含まれるケースもあり、開発者が意図せずに脆弱性を作り込んでしまう事例もあります。

世界最高レベルの脆弱性データベース

Snykの中核は、世界最高レベルともいえる脆弱性データベースです。複数のデータソースと独自のリサーチを活用し、専任のリサーチチームによって分類・整理された品質の高い脆弱性データベースを提供します。NVD（アメリカ国立標準技術研究所）などの脆弱性データベース内の既知脆弱性や修正を検証することや、脆弱性発見の懸賞金制度などによる新しい脆弱性の発見も行っています。

また、脆弱性データベースの情報は、主要なITベンダーが提供するセキュリティサービスへOEMとして供給しています。

開発者ファーストのサービス設計

様々な開発ツールと連携し、開発者が望むタイミングで、検査、自動修正をいたします。

クラウドネイティブアプリケーションを構成する、4種類のコードベースへ対応

Snyk Open Source

高度なソフトウェアコンポジション解析（SCA）、SBOM機能を提供。オープンソースソフトウェアの脆弱性を自動で検出。

ソフトウェアライフサイクルの初期段階やライフサイクル全体にわたって、プロジェクトと依存関係のあるオープンソースの既知の脆弱性やライセンス問題を自動的に発見し、優先順位をつけて修正します。開発者のワークフローにシームレスに統合できます。

Snyk Open SourceでSBOM生成

Snyk Open SourceでSBOM生成機能が利用できます（Enterprise Editionのみ）。

※ SBOMとは：
Software Bill of Materialsの略で「ソフトウェア部品表」と訳され、製品やソフトウェアに含まれるライブラリやモジュールをデータベース化したリストを指します。クラウド時代のアプリケーション開発においてSBOMを導入しセキュリティスキャンを行うことで、よりセキュアにアプリケーション開発が可能になります。

Snyk Open Sourceでは以下の機能によりSBOM生成をサポートします。

SBOM APIおよびCLI
Snykの開発者ファーストのAPIおよびCLIツールでSBOMを生成（SPDX V2.3、CycloneDX v1.4に対応）し、直接的な依存関係や推移的な依存関係を文書化することが可能です。
SBOMチェッカー
SBOMの脆弱性をチェックする無料のWebツールです。Snykのアカウントは必要ありませんがSnykの脆弱性データベースで脆弱性情報を検索することが可能です。ただしスキャンの回数に制限があり、スキャン結果をダウンロードすることはできません。
Bomber Integration
BomberはSBOMの脆弱性をスキャンするオープンソースのSCAツールです。Snykはプロバイダーとしてサポートされており、Bomberを使用しながらSnyk脆弱性データベースより直接、脆弱性情報を検索することおよびスキャン結果をファイル出力することが可能です。

Snyk Code

ソフトウェア開発者に負荷をかけることなくシフトレフトを実現。ソフトウェア開発プロセスの上流工程で、開発中のアプリケーションコードに存在する脆弱性をリアルタイムで発見、修正する静的アプリケーションセキュリティテスト（SAST）ツール。

IDEやGit、CI/CDパイプラインと連携し、開発ワークフローの変更を最小限に抑えた導入が可能です。
脆弱性発見時にはコード例を用いた修正アドバイス。
開発時にスキャンすることで、シフトレフトが可能となります。
対応言語はPython、Java、JavaScript、TypeScript、C++/C#、PHPなど。

Snyk Codeの特長・他のSAST製品との違い

他のSASTツールより10～50倍も速くセキュリティ脆弱性をスキャン。
セマンティック解析を活用したコードのパフォーマンスとセキュリティバグ調査。
他のSASTツールより極めて少ない誤検知で開発者が作業しやすく、効率的に修正可能。
スキャンの結果、検知した脆弱性にスコアを付け、深刻度が高い順に一覧表示し、それらに対する修正方法を提供。
パイプラインに統合することで、パイプラインにセキュリティを組み込み、本番環境に入り込むことの多い脆弱性や問題から保護。
課金はユーザ数（リポジトリにソースコードをコミットするユーザ数）のみに依存。ソースコードの量やセキュリティテスト回数を気にせず利用可能。

Snyk Infrastructure as Code（IaC）

導入前の開発ワークフローでIaCのセキュリティとコンプライアンスを自動化し、デプロイ後のドリフトやリソース不足を検出することでリスクを低減。

開発者やアプリケーションチームが、デプロイする前にコード内の設定上のセキュリティ問題を特定できるようにします。開発中にTerraformやKubernetesのIaC問題を発見し、修正するための開発者に特化したアドバイスを提供します。

開発しながらセキュリティ強化。Terraform、CloudFormation、ARM、Kubernetesに対応。

デベロッパーフレンドリー修正のための情報を含めてスキャン結果を提示。即修正できる。

Snyk IaCと代表的なIaCツールであるHashiCorp Terraformを組み合わせて利用するには、以下2パターンがあります。

パターン1：GitHub Actionsに組み込む

パターン2：Terraform Run Tasksに組み込む

Snyk Container

コンテナとKubernetesセキュリティにより、開発者とDevOpsはソフトウェア開発プロセス全体でワークロードが本番環境に到達する前に脆弱性を発見して修正可能。

※ Snyk ContainerはSnyk Open Sourceとのセット購入が必要です

Dockerfile中のベースイメージをプルリクエストを通じて簡単にアップグレード — Dockerfile中のベースイメージをプルリクエストを通じて
簡単にアップグレード。

コンテナのベースイメージについて推奨アップグレードを提示。
脆弱性を大幅に減らすことが可能。

よくあるご質問

Snykを導入するには専用サーバを用意する必要がありますか？: SnykはSaaS型のサービスになります。お客様にて専用サーバを用意する必要はありません。
オンプレミスのGit環境とSaaSであるSnykを接続する際に必要なものはありますか？: Snyk Brokerを設置します。Snyk BrokerはSnykとGitリポジトリ間のアクセスをプロキシするためのツールです。
Snykの料金体系を教えてください: Snykはユーザ数（リポジトリにソースコードをコミットするユーザ数）のみで費用が決まります。価格の詳細は弊社営業担当までお問い合わせください。

価格

個別にお見積りいたしますので、お気軽にお問い合わせください。

関連記事: Snykの新しいSBOM機能で、ソフトウェアサプライチェーンのセキュリティリスクに対処する; Snykのポイントを解説。どんな機能があるのか調べてみた; Terraform＋Snykで、セキュアなクラウドインフラ構築＆運用自動化を実現しよう！

シフトレフトとSBOMによりセキュアなソフトウェア開発を実現