課題: 開発スピードの低下を招くことなく脆弱性を発見し、修正
DFDS には、150 年前の貨物輸送から今日の世界的なロジスティクス事業に至るまで、豊かな実績があります。DFDS は、欧州のフェリー航路で貨物と旅客を輸送するフェリー部門と、輸送とロジスティクスのソリューションを提供するロジスティクス部門の 2 つの主な部門から構成されています。
DFDS のロジスティクス部門では、リアルタイムでの貨物の追跡やトレース、通関手続きの簡素化、積載予約など、各種デジタルツールを顧客に提案しています。その一方で、DFDS チームは 200 人以上の開発者を雇用し、この一連の製品の維持とイノベーションの創出に努めています。
DFDS チームがアプリケーションやクラウド環境を含む開発パイプラインの全面的な監査を行ったところ、セキュリティの可視性に大きな格差があることが判明しました。さらに、セキュリティの成熟度には、組織全体でばらつきがあることも判明しました。脆弱性数のオブザーバビリティが高く、アプリケーションセキュリティについて理解度が高いチームもあれば、低いチームもありました。また、どのチームもセキュリティに対して標準的な対策を講じるのではなく、オープンソースと商用ツールを独自の組み合わせで利用していました。
DFDS チームは、全社的に一貫してセキュリティ対策を促進できる新しいソリューションを必要としていました。しかし同時に、こうした対策が開発者に制約を与えたり、開発スピードを低下させたりしないことも重要でした。
SecOps ドメインアーキテクトであるジョン・スミス氏 (John Smith) は、「最大のリスクは、サプライチェーンにおけるオブザーバビリティの欠如であると判明しました。チームや部門によって成熟度が違うとわかったのです」と話しています。
ソリューション: Snyk Open Source (SCA) と Snyk Code
DFDS チームは、開発グループ全体で Snyk Open Source と Snyk Code を導入し、ファーストパーティコードもサードパーティコードも保護できるようにしました。同社が Snyk を選択した理由は、導入が簡単で、堅牢なレポート機能を備えていたことです。
スミス氏は、「弊社で検討した多数の代替案では、各リポジトリに YAML ファイルやコンフリクトファイルを置く必要がありました。最大の問題は、私がプロダクトオーナーに『リポジトリごとにイシューや PBI を記述してほしい』と伝えると、『そんな時間はない』という返答が返ってきます。Snyk にはこうした問題がなく、プロダクトオーナーの手を必要としないロールアウトプロセスを構築できました」と話しています。
また DFDS チームは、Snyk が専門知識のレベルに関係なく、各開発者の「セキュリティコンパニオン」として機能することも高く評価しています。セキュリティ意識向上を促進するため、プラットフォーム内から SnykLearn の活用を開始しました。
スミス氏は、「重要なメッセージは、スプリントにおいて、セキュリティ意識の向上を理解してもらう、あるいは少なくとも考え始めてもらうことでした。また、各自でも『現在保有しているデータを確認し、最悪の犯罪が起きないようにしよう』という意識を持ってもらうことでした」と話しています。
セキュリティの確保に適切なツールとトレーニング
Snyk のファーストパーティおよびサードパーティコードソリューションを導入し、開発者教育に SnykLearn を使用した後では、開発者が脆弱性の発見と修正に熱心になったことから、DFDS チームは、セキュリティ修正に対して全般的に関心が高まっていると実感しました。アプリケーションセキュリティは、手の着けようがない未解決の問題であったものが、開発チーム全体で達成できる刺激的な取り組みになりました。
スミス氏は、「Snyk を導入してから、『これは何?CVE って何?MITRE とは?』などの質問が増えました。それ以降、Snyk Learn で脆弱性の詳細を確認する人が増えてきました。たとえば、SQL インジェクションとは何かを理解しようというわけです。つまり、Snyk を導入したことで、間接的に好奇心を持つ文化が芽生えてきたのです。セキュリティに好奇心を持つ文化は歓迎すべきものです。好奇心を持った人がセキュリティの勝者になれば、チームの中にもその気風が生まれるからです」と話しています。
導入効果: 脆弱性の減少と興味関心の向上
Snyk の導入後、DFDS チームは現在までに脆弱性全体の 50% を削減しました。数週間前の時点で、成熟した重大度の非常に高い脆弱性はゼロと報告されています。次に、開発チームのネイティブ IDE に Snyk をさらに深く組み込み、ツールの継続的な導入を促進する計画です。
「\[開発者は] 品質ゲートを確保し、セキュリティスプリントを行ったため、日常業務で重大度の非常に高い脆弱性に意識を集中しなくても済むようになります」
Snyk のおかげで、DFDS はセキュリティに対してプロアクティブな対策を講じることができ、開発者は将来の製品やアップデートを速やかかつ安全にリリースできます。