オープンソースセキュリティを管理する
急速に成長している企業において、セキュリティを管理する際の一般的な課題の一つは、人員、予算、時間などのセキュリティリソースを割り当てることです。MongoDB セキュリティチームには多くの優先事項がありますが、時間は重要な資産です。スチュアート氏のチームは、開発者が何時間もかけて、使用しているオープンソースライブラリに既知の脆弱性がないことを確認したり、CVE の長いリストを分析したりしていることを発見したとき、もっとすばやく簡単に問題を解決できる方法があるはずだと感じました。
「Snyk の導入前、オープンソースセキュリティの確保には時間と手間がかかっていました。一部の製品ではリリース前にパッケージを手作業でチェックし (Google 検索やブックマークの調査)、他の製品では小規模なツール群を使うこともありました」
MongoDB が重点目標とするセキュリティ拡張
セキュリティチームは、複数の市販ソリューションを検討しましたが、Snyk の開発者ファーストのアプローチと自動修正機能が重要な差別化要因になると考えました。Snyk の導入のすばやさ、使いやすさ、GitHub のような開発者ワークフローやツールに直接統合できる点は、開発チームがソリューションをすばやく導入する上で役立ちます。MongoDB では、セキュリティソリューションの自社開発も検討されたものの、限られた人員、時間、予算の中では、Snyk のような外部ツールを選択することで、自社開発による「労力や時間の浪費」を回避し、業務を簡素化して、既存の開発優先事項に集中できるようになるとすぐに理解しました。
「社内にセキュリティエンジニアは数名しかいませんが、開発者は数百名います。開発者数を増やすことは考えていないため、開発者を積極的に支援していく必要があります」
Snyk の導入成果: 自動化による処理時間の短縮
オープンソースのセキュリティプロセスを自動化したら、Snyk を導入する前の遅々とした手作業のアプローチには「もう戻れない」とスチュアート氏は述べています。MongoDB セキュリティチームは、パッケージのセキュリティ上の問題を特定してから、問題について理解し、修正するまでのループを短縮できるようになりました。さらに MongoDB チームは、サードパーティの依存関係に関するセキュリティ問題を解決するワークフローを構築して効率化しています。プロセスの自動化により、脆弱性を検出して修正する作業が格段に高速化し、セキュリティチームは他の優先事項に集中することができるようになりました。
チーム全体でセキュリティをモニタリング
MongoDB セキュリティチームが一元化された Snyk ダッシュボードを導入したことで、すべての関係者が最も関心のある Snyk リポジトリを表示できるようになりました。セキュリティから開発まで、チームの全員が、いつでも脆弱性やリスクの状態を把握できるようになっています。Snyk ダッシュボードは、セキュリティの課題や特定のリソースの必要性を社内の他のメンバーに伝える便利なツールにもなっています。
顧客データの保護
サードパーティの脆弱性からデータがどのように保護されているかという情報を、顧客は以前より頻繁に求めるようになっています。MongoDB では、Snyk が SDLC に緊密に統合されていると説明できることを喜んでおり、チームが顧客データや重要な資産を保護するための措置は数多くありますが、その一つとして、サードパーティの依存関係を特定して、問題の解決に努めています。