課題: 拡張が困難だった従来のセキュリティ対策
Panther では複数のセキュリティ対策を実施していましたが、顧客数の増加に伴い、手作業によるセキュリティ対策の大規模なメンテナンスは難しくなっていました。さらに同社は、セキュリティプログラムが継続的に SOC2 基準に適合するよう徹底する必要がありました。事業を拡大し、コンプライアンス要件を継続的に満たすため、Panther は、ソフトウェア開発ライフサイクル (SDLC) 全体を通じて、複数の言語によるアプリケーションセキュリティと品質保証を自動化する、新しく改善されたセキュリティ対策の導入を模索していました。このため、オープンソースの依存関係とカスタムコードの両方で、Go、Python、Javascript の脆弱性検出をサポートする新しいツールが必要でした。少人数のエンジニアで構成される Panther では、包括的な保護を提供しながら、規模に応じて開発を高速化できるセキュリティソリューションを必要としていました。
Panther Labs のエンジニアリングディレクターであるジョレン・マクレイノルズ氏は、「顧客は、弊社のデータ保護対策を確認したいと考えています。その保護の核となるのは、弊社製品のコードに脆弱性が存在するかどうかを、パッケージの依存関係から発生した場合でも、弊社で記述したコードから発生した場合でも、インテリジェントかつ自動的に精査できるようにすることです。弊社では、弊社から出荷するすべてのコードが、顧客の情報を安全に維持するよう徹底したいと考えています」と話しています。
ソリューション: 迅速な意思決定と自動修正を実現
Panther では、自動セキュリティスキャンソリューションを探す際に複数の製品を検討しました。オープンソースと商用ソリューションの両方を評価した結果、Snyk Open Source と Snyk Code が、最も開発者中心であり、コンテキストを認識でき、セキュリティに実用的な効果をもたらすことが示されました。さらに、プルリクエスト中にコードを分析して検証することで、エンジニアは開発プロセスの早い段階で問題を把握でき、Panther 自身ですばやく効率的に問題を修正できるようになりました。
マクレイノルズ氏は、「Snyk のおかげで、エンジニアは迅速に意思決定を行えるようになりました。Snyk によって、弊社のエンジニアは、自社のコードやパッケージ、あるいはサードパーティの依存関係に対するアップグレードや修正について安全な意思決定を行うための知識が得られます。アップグレードの必要性だけでなく、アップグレードに必要な労力の詳細もわかります。多くの場合、Snyk の自動化により、GitHub で緑のボタンをクリックするだけで修正でき、自動生成されたプルリクエストをマージできます」とも話しています。
Snyk Code により脆弱性の適時な修正が可能に
Panther は、Snyk を導入すると、自動化された静的アプリケーションセキュリティテスト (SAST) を使用して、開発チームが構築フェーズの早期にセキュリティスキャンを適用できることを発見しました。そこで、Panther は Snyk Code を導入し、開発者ワークフローにおいて可能な限り早期に脆弱性を認識できるようにしました。評価期間中、他の SAST ツールには、スキャン時間が長い、精度が低い、深度と幅に限界があるなどの制約があることがわかりました。しかし、Snyk Code は、導入前に開発者がコードを記述する際に、効率的で実用的な脆弱性修正を即時に提案するよう設計されていました。
マクレイノルズ氏は、「Snyk Code により、チームの戦力となる新機能が提供されました。Snyk Code は、チームが作成したコードをすばやく解析し、根拠のある実用的な情報を提供してくれるため、エンジニアが開発中やリリース後のワークフローで活用できます。Snyk ビューでエンジニアは、コードの問題やその問題の他のソース、業界の他のエンジニアがどのようにその問題を修正したかをすばやく確認できます。意味のある静的分析結果が得られるため、すぐに対策を講じることができます」と話しています。
包括的なオープンソースコードセキュリティを提供
Panther は、セキュリティプロバイダーとして、コードやオープンソースライブラリーの脆弱性を積極的に監視することが不可欠な大手の顧客企業と提携しています。Snyk Open Source がすべての依存関係を監視することで、Panther は、重要な問題が発生するとすぐに特定して修正できるようになります。Snyk には、発見されたセキュリティ問題を修正する実用的なガイダンスが用意されています。また、Snyk は、問題の重大度と潜在的な影響に基づいて優先順位を設定することで、開発者が問題を修正する際の時間を短縮することもできます。
マクレイノルズ氏は、「あらゆる面において、Snyk のような製品は他に存在しません。Snyk は常に、他のどの製品よりもすばやく、より多くの脆弱なパッケージを検出します。他社製品は、やや動作が遅くなります」と話しています。
導入効果: 規模に応じた統合セキュリティで信頼性を確保
Panther は、Snyk の強力な SAST ソリューションとオープンソースの依存関係スキャンを組み合わせて導入することで、エンジニアのワークフローを複雑にさせず、セキュリティの専門知識がなくても、詳細で実用的なセキュリティタスクをエンジニアに直接提供しています。さらに、Snyk は同社のビルドプロセスに統合されており、脆弱性の優先順位付けを支援することで修正を高速化しています。このように、Snyk を導入したことで、Panther は顧客が求める革新的な機能を完全に可視化し、ソフトウェア品質を向上させながら、事業規模の拡大を実現しました。
マクレイノルズ氏は、「事業規模を速やかに拡大できたのは、Snyk のおかげです。Snyk は GitHub と自動的に統合されるので、ボタンをいくつかクリックするだけで、すぐに対応できます。脆弱性に特化した専任の人材を雇う必要も、毎日コードを分析する必要もありません。私たちは開発に集中でき、その間にアプリケーションは脆弱性のあるパッケージの依存関係が分析され、コードベースは徹底的に分析されます。これは社内の強力な成功事例であり、顧客の成功事例でもあるのです」と話しています。
Panther は、Snyk を使用することで、導入を遅らせずに、エンジニアリング中心のセキュリティアプローチを採用できました。Snyk の自動化ソリューションは、コードがマージされる前にコードの問題やセキュリティの脆弱性を検出するため、Panther のエンジニアリングチームは、アプリケーションがステージング環境や本番環境に到達する前に、セキュリティが検証済みであることを把握できます。こうした活動の一つひとつが、Panther が他の基準の中でも SOC2 コンプライアンスを維持するうえで役立っています。
マクレイノルズ氏は、「最終的に、Snyk のおかげで、自力で解決できない困難なセキュリティ課題ではなく、ビジネスの成長に力を入れることができました。Snyk の ROI には非常に満足しています。Snyk によって、コンプライアンスを守れるだけでなく、実際に有益で実用的な成果が得られ、弊社の製品のセキュリティも向上しています。その結果、顧客に提供するコード品質に自信が持てるようになりました」と話しています。
