課題: オープンソースの脆弱性が手作業によるセキュリティのボトルネックに
Natera では多くのセキュリティ対策を実施してきましたが、開発者は何ページにもわたる偽陽性を手作業で選別する必要がありました。データ活用型のインサイトを短期間で開発することがビジネスの成功に不可欠な要素となるため、同社は、ソフトウェア開発ライフサイクル (SDLC) の中でアプリケーションセキュリティと品質保証の自動化を支援する新しいセキュリティ対策の導入を検討していました。このため、オープンソースコード、カスタムコード、インフラ、コンテナ内で脆弱性を発見および管理する新しいツールが必要になりました。複数のプロジェクトに取り組む 200 人以上の開発者チームを抱える Natera では、チーム全体で手軽に導入できる包括的な DevSecOps アプローチが必要でした。
「私たちはレビューを手作業で行っていました。プルリクエストを受け取ると、その課題に担当者を割り当てますが、セキュリティがボトルネックになっていました」と話してくれたのは、Natera のセキュリティエンジニアリング担当ディレクター、シャーロット・タウンズリー氏 (Charlotte Townsley) です。「そこで私は、セキュリティに対する備えを確立し、常態化したいと考えました。弊社には、SDLC 全体を通じて、設計によるセキュリティとフルエンジニアリングの導入が必要でした。そのため、連携、意識、スキルを高め、ツールを増やす必要がありました。それは組織にとって大きな価値に転換されることになります」
ソリューション: アプリケーション開発プロセス全体のセキュリティを確保
ソリューションを探すにあたり、Natera は Snyk、SonarQube、Blackduck、Veracode など複数の製品を検討しました。比較の結果、Snyk クラウドネイティブアプリケーションセキュリティプラットフォームが最も開発者の視点に立った有用かつ実用的なものと評価され、シームレスな導入とすばやい統合が実現しました。このプラットフォームにより、開発者はコードやオープンソースからコンテナ、クラウドインフラに至るまで、アプリケーション全体のセキュリティを管理できるようになりました。
タウンズリー氏は、「Snyk を選択したのは、それが組織と目標に適していたからです。適切に設計され、使いやすく、エンジニアリングチームにもわかりやすいものでした。スイートは、依存関係、カスタムコード、コンテナ、IaC を確認するために最適な設計でした。すべて揃っていたのです」と話しています。
Snyk Code で開発初期の脆弱性修正を実現
Natera では、開発チーム全体がセキュリティに対して当事者意識を持てるようにしたいと考えていました。このビジョンを実現するには、ワークフローのできるだけ早い段階で脆弱性を認識できるようにする静的アプリケーションセキュリティテスト (SAST) が必要でした。他の SAST ツールにはスキャン時間が長く、精度が低いという制約があることがわかりましたが、Snyk Code は、導入前に開発者がネイティブインタフェースでコードを記述する際に、効率的で実用的な脆弱性修正を提案するよう設計されていました。
「決めるのは簡単でした。他のツールもいくつか検討しましたが、導入済みか導入前でない限り、同じようにスキャンできるツールは見当たりませんでした。比較できるツールがまったくなかったのです」
IDE との統合によるカスタムコードとオープンソースコードのセキュリティの確保
Natera のセキュリティチームは、Snyk のプラグインと JetBrains IntelliJ IDE を使用することで、セキュリティをエンジニアリングワークフローにシームレスに統合できました。Snyk は、開発者が希望する環境内で、エンジニアリングチームのリポジトリをネイティブにスキャンし、アプリケーションのソースコードと Java オープンソースの依存関係の脆弱性を検出します。コードを記述しながら分析・検証することで、開発者はビルドの早い段階で問題を発見し、すばやく効率的に修正できます。
タウンズリー氏は、「誰もが、セキュリティを自らのパートナーとし、実行力をもたらすものだと捉えてほしいですね。それを可能にするには、ライフサイクルの早い段階からセキュリティを導入することです。そのため、まずは IDE を実装し、リポジトリと統合します。これにより、依存関係にあるセキュリティ脆弱性のコンテキストを理解でき、十分な情報に基づいた意思決定を行うことができます」と話しています。
Snyk Container により、開発者は重要な脆弱性の即時修正が可能に
Natera はコンテナ化されたアプリケーションエレメントを利用しているため、エンジニアリングチームは本番環境で多数のコンテナイメージを使用しています。コンテナの脆弱性は医療規制への準拠を妨げるおそれがあるため、セキュリティチームは開発者がレジストリの一部として特定のイメージを使用しないよう制限しようとしました。チームは Snyk Container を使用することで不要なイメージを除外し、承認されたコンテナ内の脆弱性を修正しました。
タウンズリー氏は、「ランタイムの本番稼働前にコンテナをスキャンできて良かったと思っています。コンテナの脆弱性はあまり注意していなかったため、会社として目を見張るような経験になりました。脆弱性に対する意識が高まり、自動化が進みました。これはエンジニアリングチームが CI/CD を実践する際の品質改善の考え方に合致しています」と話しています。
Snyk IaC がリポジトリの可視性を強化
IaC は、Natera の DevSecOps 戦略を完成させる最後の一手でした。Natera は、DNA 分析結果のデータインサイトの提供と保護を行っており、複数のインフラ構成を利用してそのアプリケーションをサポートしています。Snyk IaC は、開発者が設定を保護し、ワークフローにベストプラクティスを組み込めるようにします。Snyk 製品を展開するこのアプローチは、開発ライフサイクル全体でセキュリティ基盤を統合するという Natera の目標に沿ったものです。
タウンズリー氏は、「ランタイム環境のインフラ脆弱性につながる可能性のある問題を発見できるよう、包括的なカバレッジが必要でした。こうした問題は手作業でレビューされることすらありませんでしたので、Snyk は、各種の IaC リポジトリをすべて可視化できる非常に優れたツールでした」と話しています。
導入効果: セキュリティの脆弱性を全面的に調査
Natera は、開発者の作業中断を最小限に抑えるセキュリティプロセスとポリシーを導入できました。Snyk は同社のビルドプロセスに統合されており、脆弱性の優先順位付けを支援することで修正を高速化しています。これにより、Natera は、顧客が求める革新的な機能の市場投入を遅らせずに、完全な可視化とソフトウェア品質の向上を実現できました。
「Snyk は私たちの組織に大きな影響を与えました。これまで、こうした取り組みはまったく行われていませんでした。ですから、カスタムコード、依存関係、コンテナ、IaC などのセキュリティ脆弱性を全面的に調査するツールが存在するというのは、これまで誰も経験したことのないビュッフェのようなものなのです」。
摩擦のないコードコンプライアンスの実現
Snyk プラットフォームを導入して以来、Natera は収集した情報を特定のセキュリティ ポリシーに関連付け、潜在的な違反をスキャンしているという確証を得られるようになりました。この監査証跡は、FDA、HIPAA、SOC 2 などの医療業界規制やデータプライバシー法へのコンプライアンスを維持するために不可欠です。
タウンズリー氏は、「Snyk Code が FDA の品質システム要件に対応していることに私たちは皆、非常に感心しています。社内には、手軽な使い勝手の良さを実感している非常に積極的なチャンピオンがいます。さらに重要なのは、偽陽性のページを生成する他のツールとは異なり、Snyk は動作が速く、真の問題を検出できるという点です」と話しています。
自動化によりアプリケーションから脆弱性を完全に除去
Natera はチーム全体に Snyk を展開し、こうした取り組みを主導する 40 人のセキュリティチャンピオンの育成に力を入れており、他のメンバーにもトレーニングを実施する予定です。Natera のチャンピオンとセキュリティチームは、Snyk を使用することで、導入を遅らせずに、エンジニアリング中心のセキュリティアプローチを採用できました。このプラットフォームの自動化ツールは、コードがマージされる前にコードの問題やセキュリティの脆弱性を検出するため、Natera のエンジニアリングチームは、アプリケーションがステージング環境や本番環境に到達する前に、セキュリティが検証済みであることを把握できます。
タウンズリー氏は、「Snyk をプロセスに組み込んで以来、私たちは自動化を進めています。また、脆弱性の完全な除外も進め、すべてを DevSecOps でコントロールできるようにしたいと考えています。Snyk の導入前に依存していた一貫性のない手作業のプロセスではなく、DevSecOps が十分に機能するよう調整を行う予定です」と話しています。
