開発ファーストの動的テストで開発者セキュリティを拡大する

本日、Snyk は API セキュリティテストと動的アプリケーションセキュリティテスト (DAST) の急成長中の先進的プロバイダーである Probely を買収したことを発表しました。この買収により、Snyk はあらゆる種類の開発およびアプリケーションセキュリティのソリューションを提供することが可能になり、お客様は直ちに多様な開発者フレンドリーなテスト手法の恩恵を受けることができます。 

あらゆる種類および規模のビジネスで Web 向けアプリケーションに対する重要性が増すなか、アプリケーションセキュリティプログラムの基本的な側面として API テストと「モダン DAST」の統合がさらに進んでいます。これは「API エコノミー」と生成 AI の時代によりさらに増大しており、大規模言語モデル (LLM) 機能の一部として公開されている API を保護することは、API テストと Web アプリテストに対する需要の成長を引き続き促すものです。 

Snyk のポートフォリオの自然な拡大 . . .開発ファーストを維持

アプリケーションセキュリティにおけるリーダーの地位を確立している Snyk が API セキュリティテストと DAST のマーケットに進出することを決定したことは驚きではないかもしれません。しかし、このステップは Snyk 内で長い時間をかけて検討されてきたものであり、実際には何度も Snyk にとって適切な展開ではないと判断されました。長い間、動的なアプリ/API テストソリューションは「はるか右」に位置づけられてきた一方で、Snyk の哲学は常に「シフトレフト」の考え方とモデルを促進することに重点を置いてきました。開発者セキュリティに対する Snyk のコミットメントによりこの考え方が推進され、SDLC のより早い段階に制御を移すことに集中してきました。その一方で、開発者のフロー状態への乱れを最小限に抑える開発者ファーストのアプローチを採用しています。DAST ソリューションプロバイダーとのパートナーシップおよび統合を通じて、Snyk はこのカテゴリーのテストをアプリケーションセキュリティプログラムに適切に含めたいお客様をサポートしてきましたが、Snyk のミッションおよび DNA とは相容れないものを感じていました。

ところが、その視点を変えることになる 2 つの出来事がありました。1 つは、最新の DAST ソリューションの新しいカテゴリーが登場し、CLI 主導の CI/CD パイプラインとの統合により、開発プロセスのより早い段階にテストを移動させることが可能になりました。2 つ目の要素は、DAST と開発者セキュリティの関連性に関する Snyk 自体の視点です。従来、Snyk では DAST は基本的には「シフトライト」ツールであり、開発者ファーストの要件とは合致しないものと見なしていたため、DAST をこのアプローチの一部とは考えていませんでした。ところが近年、Snyk では開発者セキュリティの立ち位置をより開発者チームとセキュリティチーム間の連携に近づけました。そしてこの視点から見た場合、開発者ファーストの要件に実際には適応できる動的セキュリティテストツールは Snyk のミッションに明確に適合します。

このマーケットへ進出するだけでなく、買収のターゲットとして Probely を優先することにしたもう 1 つの大きな要因が、前述した、この生成 AI 時代に作成される新しい LLM 利用アプリケーションの原動力としての API に関するトレンドです。  AI モデルがより洗練されていき、開発者がより多くの AI モデルをアプリケーションに統合していくなかで、データのアクセスと処理のための API への依存度が増していきます。この連結性により、悪意のあるアクターにとっての新しい攻撃ベクトルが生み出され、潜在的な脅威に対して API を保護することは非常に重要になります。  Snyk のポートフォリオに API セキュリティテストを加えることで、Snyk はお客様がLLM ベースの脅威を検出し、モデルとデータを保護し、自信を持って AI 駆動のアプリケーションを構築できるように支援することができます。

これらの要素が組み合わさることで API と Web アプリケーションの動的テストがより完全な形で開発者セキュリティモデルに統合され、適切なテクノロジーを利用して実行すれば、これまでの導入に関するいくつかの課題を技術的に克服することが可能になります。

真の開発ファースト DAST

当社の製品セキュリティチームのための独自の API とアプリケーションの動的テストソリューションを検討しているときに、Probely チームと出会い、Probely のテクノロジーを詳しく調査しました。FedRAMP 承認を達成するための準備の一環として、動的テストを要求する監査人の具体的なニーズに対応するために、導入前のアプリケーションセキュリティの問題を排除する Snyk の社内利用以上のものを求めていました。従来の DAST ツールを検討していましたが、Probely も評価することに決定したところ、テスト結果の正確さ、ツールの使いやすさ、製品セキュリティチームが対処しなければならない誤検出からのノイズの少なさに即座に感銘を受けました。 

このプロセスを通じて Probely チームについて詳しく知ることができ、この検討結果に加えて、Probely のイノベーションロードマップを推進してきた哲学が真の開発ファーストの API/Web 動的テストプロバイダーを誕生させたことは明確でした。 

導入率の低いソリューションには価値がないことを認識していた Probely チームは、当初からそのテクノロジーが開発者への影響や邪魔を最小限に抑えるように目指してきました。Probely はこれを 3 つの基本的な方法で実現しています。最初に、業界最高レベルの低い誤検出率 (約 0.1%) を提供すること。これにより、開発者は本当のアプリケーションセキュリティリスクを表す問題だけを修正するように指示されることになります。次に、Probely の実装とユーザーエクスペリエンスは非常に簡素化されているため、開発者が新しいツールを学習する認知の負荷や、動的テストへ移行する負荷が軽減されています。最後に、Probely は API ファーストの開発モデルに従い、それを CI/CD パイプラインでの自動 DAST スキャンをサポートする CLI 機能を有効にすることでフォローしています。また、問題追跡ソリューションを含む各種デベロッパーツールへの統合を合理化する非常に堅牢な API も用意されており、既存の開発者ワークフローとより深く結合することができます。

評価プロセスの一環として、信頼できるデザインパートナー、顧客、世界の最大規模の金融機関および小売業者数社を活用しました。Snyk/Probely 共通の顧客と Probely およびその機能について話し合う中で、簡潔だがエンタープライズ向けの成熟度のある必要なアプリケーションセキュリティ機能が提供されているだけでなく、Snyk が誇りに思っている開発ファーストの感性も持ち合わせていることに人々が感銘を受けていることが分かりました。

テクノロジー企業を買収するときは、単にテクノロジーを買っているわけではありません。Probely のテクノロジーの現在の価値および将来の潜在的価値に興奮すると同時に、私たちは同じくらい Probely チームにも興奮しています。Probely チームを Snyk ファミリーに迎え入れることができ、とても嬉しく思っています。Probely の創業者は 2 人ともかつては開発者としてのセキュリティツールの実務者かつユーザーであり、この経験が開発ファーストの動的テストソリューションへの開発へとつながっているというのも注目すべき点です。アプリケーションセキュリティは開発者とセキュリティの間の「チームスポーツ」であることを理解しており、実際に自分でセキュリティチームを率いることになった場合に何を使用したいかということに焦点を置いた製品を構築しています。 

アプリケーションリスク管理の次のステップへと進む

DAST および API のマーケット進出機会を評価するうえで大きなもう 1 つの考慮事項は、Snyk のミッションおよび今後の重点領域と長期的にフィットするかどうかでした。お客様との会話から、SAST/SCA の場合と同様に、DAST で見つかる問題は最終的には開発者が修正することになり、セキュリティチームがポリシーとリスクベースのアプローチを使って管理することになるのは明確でした。さらに、API のセキュリティはそのままアプリケーションセキュリティの担当となります。これらを踏まえたとき、重要性が非常に増しているこれらの領域における可視性とカバレッジを提供することなく、「企業がセキュリティを確保しつつ、すばやく開発できるようにする」という Snyk のミッションを達成できると公言するのは憚られました。 

お気づきの方もいらっしゃると思いますが、Snyk は昨年、アプリケーション固有かつリスクベースの優先順位付けを推進する Snyk AppRisk をリリースしました。アプリケーション資産全体でアセットとセキュリティのカバレッジを統合して可視化できるこの新しいサービスとその機能に対して非常に多くの反応をいただいます。Probely の検出とカバレッジの機能はこの進歩と完璧に調和するものです。アプリケーションセキュリティでは、シングルページアプリ、API、Web ドメインを含む DAST ドメインに関連するアプリケーションアセットを可視化する必要があるためです。アプリケーションセキュリティでは、どのようなアセットが存在するかを把握し、SAST および SCA でのデプロイメント前の場合と同じように、これらのアセットの運用バージョンに存在するリスクを評価して監視します。

今回の買収により、当社のポートフォリオは External Attack Surface Management (EASM) にまで拡張されます。​ご存じのとおり、アプリケーションセキュリティプログラムの基本となるのは、存在する攻撃領域を明確に理解することです。しかし、それは口で言うほど簡単ではありません。今年になって導入された Discovery により、企業は Probely を使用して API と Web アプリのインベントリを検出、管理、優先順位付けすることができ、外部攻撃領域全体を明らかにすることができます。Discovery ではこのために、顧客のインフラストラクチャ全体で実行されているサービスおよびアプリケーションの自動かつ非侵入型の検出を実行します。  

拡大し続けるペインポイントの広大さとその重要性から、Probely のテクノロジーを Snyk プラットフォームへ組み込み、業界最高レベルの優先順位付けを実現し、総合的なアプリケーションリスク管理を可能にするこの進歩的な統合は、当社のお客様にとって非常に大きな付加価値の可能性を秘めています。 

Snyk + Probely = 迅速な価値の実現 & 取り組みの継続

今日はこの新しい一連の機能が Snyk のポートフォリオに組み込まれた記念すべき第一日であり、この計画をみなさんと共有できることを大変うれしく思います。すでに素晴らしい相乗効果が生まれており、これは今後ますます増加していくでしょう。この計画を共有し、みなさんの Snyk での取り組みに DAST を組み込むことでアプリケーションセキュリティプログラムにどのように価値がもたらされ、好ましい影響が出るかを見るのが楽しみです。

このワクワクする Snyk の新しいステップについて詳しく知りたい場合は、12 月 9 日、午前 11:30 (アメリカ東部時間) に開催されるウェビナーに登録することをお勧めします。ホストは私が務め、Probely の前 CEO、Nuno Loureiro 氏をお迎えします。API セキュリティテストの重要性についてのお客様の意見について詳しく見ていきながら、「モダン」かつ真の意味で「開発ファースト」の DAST を構築するというのはどういうことなのかについて、また増え続ける Web アプリケーション/API のセキュリティの課題の調整、リスクベースの優先順位付けの将来性について議論します。