課題: 製造業におけるセキュリティのシフトレフト
同社は、事業部門やベンダー全体でアプリケーションセキュリティの向上を目指していたため、2022 年に向けた戦略的な取り組みとして、アプリケーションセキュリティの移行を決定しました。さらにチームは、シームレスな経験を実現できるツールの統合にも関心を持っていました。 Snyk の協力のもと、Komatsu はより広範な製造業におけるシフトレフトセキュリティのパイオニアとなっています。
デジタルソリューションアーキテクトのエリック・チェン氏 (Eric Cheng) は、「弊社は現在、OWASP DevSecOps 成熟度モデルを弊社の DevOps 戦略に取り入れているところです。成熟度モデルをレベルアップし、現状と将来の状態との差異を解消するために、Snyk とその他のプラクティスを活用することにしました」と話しています。
ソリューション: オープンソースの依存性スキャンに Snyk を採用
Komatsu がセキュリティスキャンツールの検討を始めたとき、あるベンダーに Snyk を紹介されたことから、ソフトウェアコンポジション解析 (SCA) に Snyk Open Source を採用することが決定しました。これにより、Komatsu の開発チームは、使用しているオープンソースパッケージ内の潜在的な脆弱性を発見し、修正できるようになりました。
Snyk を採用する決め手となったのは、使いやすさでした。Komatsu にとって、Visual Studio と Azure DevOps の統合機能を使用して Snyk を既存の開発者ワークフローと CI/CD プロセスに組み込むことは、非常に簡単でした。将来的には、Snyk の新しい Jira 統合を導入し、セキュリティ問題のチケットを自動作成できるようにする予定です。
「事業開発チームの文化は、変えようとしても難しいものです。あちらの優先課題は新機能の構築ですが、こちらはそれを支持しつつ、同時に脆弱性の修正も優先しなければなりません。Snyk は開発者フレンドリーですから、開発チームの賛同を得やすく、 開発者からのフィードバックは非常に好意的です。さらに、セキュリティチームからのフィードバックも肯定的です。Snyk を使用することで、問題の監視と解決に予防的に取り組み、リスクの低減につながっているという安心感が得られるからです」とチェン氏は話しています。
もう 1 つの決め手は、スキャン時間でした。開発者たちは、スキャンを待機することでコードのプッシュが滞ることがないようにしたいと考えていました。Snyk のスキャン速度は、Komatsu が以前に使っていたソリューションより 100% 高速だったため、同社の開発者はこのプラットフォームをすぐに導入できました。
チェン氏は、「以前の製品に比べて、Snyk のスキャンは 2 倍も速く、製品やプロセスとの統合もさらに進んでいます。また、開発者は、操作性が大きく向上したことにも満足しています」と話しています。
Snyk と競合製品を比較評価した結果、Komatsu は Snyk の製品イノベーションに対する明確なコミットメントから、今後の Komatsu のセキュリティ戦略において Snyk が重要な役割を果たすと判断し、Snyk を導入することにしました。
シングルペインオブグラスとして Snyk を活用
Snyk Open Source の導入後、Komatsu は静的アプリケーションセキュリティテスト (SAST) も SonarCloud から Snyk Code に切り替えることにしました。これにより、Komatsu の開発者とセキュリティチームは、アプリケーションコードとオープンソースの依存関係が安全であることをシングルペインオブグラスで確認できるようになりました。
チェン氏は、「Snyk は非常に使い勝手が良く、Visual Studio にすべてが揃っていることで、コード品質、コードの脆弱性、依存関係の脆弱性を一か所で確認できます。これは弊社にとって大きな変革でした。2 つの異なるツールに入る必要があったのが、今ではシングルペインオブグラスになりました」と話しています。
導入効果: アプリケーションリスク対応体制の改善
Snyk を導入したことで、ソフトウェア開発ライフサイクル全体を通じて、セキュリティの可視性が大幅に向上しました。Komatsu の成功を測る主な指標は、重大度が高い/非常に高い脆弱性をいかに迅速に特定し、それらの脆弱性を修正するのに要する時間です。開発プロセスで Snyk のインサイトを利用することにより、Komatsu は導入後 3 か月間で平均修正時間を 62% 短縮できました。さらに、Snyk の導入で発見された新しい脆弱性を常に把握できるようになり、同社は 6 か月間でリスク対応体制を 28% 改善できました。
チェン氏は、「Snyk のおかげで、開発者はコードの開発と同時にセキュリティについても考えることが可能になりました。これにより、開発者は脆弱性の修正にも積極的に取り組めるようになりました。新しい脆弱性が特定されるたびにアラートが届くので、作業に優先順位を設定できるようになります」と話しています。
Snyk のもう 1 つの強みは、その広範なデータベースを通じて、脆弱性をいち早く発見できることでした。Komatsu が修正した重大度が中程度または高い脆弱性の 19% は、発見時に Snyk を通じてのみ発見可能でした。最近の例としては、よく使われるビジネスアプリケーションで API を使用した際に発見された脆弱性が挙げられます。エンジニアリングチームは脆弱性を修正し、アップデートを発行できました。
「弊社では、ビジネスのさまざまな分野で Snyk を多用するようになり、以前なら特定できなかったような脆弱性を数多く発見できるようになりました。また、Snyk のおかげで、開発サイクルの早い段階でこうした脆弱性を速やかに緩和し、解決できるようになりました」
Komatsu は昨年、アプリケーションセキュリティ態勢の可視性を向上するため、Snyk 導入と運用に力を入れました。チェン氏のチームは今後、脅威のモデル化、脆弱性管理プロセスの標準化、セキュリティレポーティングの強化、その他のベストプラクティスによって、アプリケーションセキュリティプログラムの成熟度を向上させたいと考えています。
チェン氏は最後に、「Snyk には非常に満足しています。他のベンダーとの間でセキュリティが話題に上るときは、いつも Snyk を勧めています。このため、弊社のセキュリティ対策がこれらのベンダーに引き継がれることになり、その結果、ベンダーはセキュリティを高めた製品を顧客に提供できるようになっています」と話してくれました。
