Skip to main content

Snyk がオープンソースソフトウェアの脆弱性に関する包括的なインサイトで ServiceNow を強化

著者:

Sarah Conway

blog-feature-snyk-servicenow

2023年1月24日

0 分で読めます

Snyk と ServiceNow の新たなパートナーシップにより、セキュリティに関する Snyk のインサイトを ServiceNow のワークフローで利用できるようになりました。世界初の試みである Snyk Open SourceServiceNow Application Vulnerability Response の統合により、アプリケーションセキュリティチームはオープンソースの依存関係における脆弱性を可視化して、組織のアプリケーションセキュリティ態勢を完全に把握できるようになります。 

Log4Shell や SolarWinds などの広範囲に及ぶソフトウェアサプライチェーン攻撃やランサムウェアの脅威を踏まえ、組織は複数のビジネスアプリケーションやサービスにわたってリスクを排除する能力を強化する必要があります。最新のソフトウェアアプリケーションの 70 ~ 90% にオープンソースソフトウェアが含まれており、ソフトウェアサプライチェーンを危険にさらすオープンソースのアーティファクトや DevOps パイプラインは攻撃者の標的となり続けています。 

ServiceNow にとって初のソフトウェアコンポジション解析 (SCA) 統合である Snyk との統合により、開発から本番稼働に至るまで、組織のあらゆるオープンソースの脆弱性を一元的に表示することでこの問題を解決し、修正の迅速化、コラボレーションの向上、リスクの軽減を実現します。 

Snyk が ServiceNow と提携する理由

第一の理由は、「すでに愛用し信頼している Snyk のデータを ServiceNow に導入したい」という声が、非常に多くの Snyk のお客様から寄せられたことです。  

ニュースにも取り上げられる Log4Shell のようなソフトウェアサプライチェーン攻撃が深刻な被害をもたらす中、リスクを適切に管理し、見落とさないようにするには、アプリケーションの脆弱性の可視性と追跡が必要です。オープンソースの脆弱性を開発チームしか認識していないと、セキュリティチームは不意打ちを食らう可能性があります。 

そこで Snyk はこのギャップを解消するために統合を構築しました。これにより開発者とセキュリティチームの両者は、SDLC 全体で見つかったアプリケーションの脆弱性を効率的に追跡できるようになりました。重大度、頻度、範囲を単一のビューで追跡できるため、開発チームとの連携が緊密になり、潜在的なソフトウェア侵害を防ぐことができます。 

主なメリットとして、次のことが可能になります。

  • Snyk の問題から ServiceNow チケットを自動的に作成して同期する

  • 脆弱性の優先度付けと割り当てを自動的に行う 

  • ServiceNow のリスクスコア計算と Snyk の業界最高水準のインテリジェンスを組み合わせて、脆弱性リスクを計算し、優先度を決定する

統合の仕組み

ServiceNow ストアから Snyk Security for Application Vulnerability Response アプリをダウンロードした後、ServiceNow インスタンスで「Snyk」と入力するだけで、新しくインストールされた Snyk 統合が表示されます。Snyk Open Source から脆弱性スキャン結果のスキャンデータを取得する頻度を選択し、組織、プロジェクト、重大度、言語、エクスプロイトの成熟度、優先度スコアの最小および最大範囲に基づいて、どのスキャンデータをインポートするかを設定します。 

Snyk Open Source はソフトウェア設定分析を使用して、プロジェクトとデプロイ済みコードの脆弱性を継続的に監視します。インストール時に設定したインポート条件に一致する問題が見つかった場合は、アプリケーション脆弱性一致アイテム (AVIT) として ServiceNow Application Vulnerability Response に定期的に取り込まれます。AVIT の優先度付けは、カスタムの Snyk 脆弱性計算ツールを使用して自動的に行われます。その際、重大度に加え、ミッションクリティカルなアプリケーションへの影響が考慮されます。  ServiceNow ワークフローでは、修正対象の AVIT を適切なグループに自動的に割り当てることもできます。 

Snyk Open Source は、実行すべき適切なアクションを提示することで修正を迅速化します。脆弱性が修正されたら、開発者は ServiceNow で AVIT に解決済みマークを付けることができます。

ServiceNow のダッシュボードで脆弱性を追跡すると、現在のステータス、割り当て、期日、リスクをすべて 1 か所で確認できます。データをガバナンスリスクチームやコンプライアンスチームなどの他のチームと共有して、組織全体のコラボレーションと透明性を最大化することもできます。

blog-servicenow-announcement-vuln

Snyk Security for Application Vulnerability Response アプリからの脆弱性情報 (修正の推奨事項を含む)。

blog-servicenow-announcement-risk

製品を入手して今すぐ始める 

Snyk アプリは ServiceNow ストアからダウンロードできます。 

Snyk と ServiceNow を使用してアプリケーションの脆弱性を管理する方法の詳細については、統合の相乗効果について説明した短いビデオをご覧ください。Snyk の統合の一覧はこちらでご確認いただけます。

blog-feature-snyk-servicenow

セキュリティチャンピオンプログラムの構築方法

Snykは、セキュリティチャンピオンプログラムを成功させた、または失敗した20人以上のセキュリティリーダーとのインタビューを実施しました。このガイドを参照し、開発者を中心とした効果的なセキュリティチャンピオンプログラムの進め方を学びましょう。