課題: 最新のセキュリティテストツールの採用
Visma が直面している課題は、このように多様なテクノロジースタック全体でセキュリティを確保し続けることです。
「当社は一大企業ですが、多国に広がる 200 社以上の小規模企業やチームで構成されています」と、Visma のアプリケーションセキュリティアドバイザーのパー・オルソン氏 (Per Olsson) は言います。「そのため、大規模なセキュリティプログラムを実行して一元管理する場合に、事態が複雑化します。」
このような理由から、同社は常に最先端のセキュリティツールを探し、セキュリティ体制を継続的に改善しています。
Visma のソフトウェアコンポジション解析 (SCA) および静的アプリケーションセキュリティテスト (SAST) のサービス責任者であるニコライ・ブロガード氏 (Nicolai Brogaard) は、「当社では、入手できる中でも最適なツールを使っているかどうかを定期的に確認していますが、既存のツールセットはもう最適なものではないという結論に達しました」と言います。「そこで、次世代のセキュリティテストツールへの移行を検討していました。」
ソリューション: デベロッパーファーストのソリューションを選ぶ
Visma では、セキュリティツールを評価する際に、開発者を自動的にオンボーディングする機能や直感的なインタフェースを重視していました。Snyk Open Source により、現在 140 以上の開発チームが、使用しているサードパーティの依存関係から脆弱性を検出して、対策できます。Snyk の直感的なインタフェースによって、開発者は手間をかけずにツールを導入し、当事者意識をもってセキュリティ対策を行えます。
「重要な成功指標は、いかに簡単にツールを導入できるかということです」と、ブロガード氏は説明しています。「新しいツールの導入は、特にセキュリティの世界では簡単なことではありません。そのツールに大きなメリットがあることを証明しなければなりませんが、Snyk の場合、誰もがそのメリットに納得しました。」
そして、Visma Cloud Delivery Model (VCDM) は、Visma Application Security Program (VASP) を含む、社内ガバナンス構造を表しています。その一部として、Visma では、セキュリティツールの導入レベルや未解決の脆弱性の数など、多数の指標を用いて子会社の状況を測定する成熟度指数を設けました。Snyk API により、Visma では複数のコードプロジェクトからこのデータを簡単に取得できます。
Snyk を使用した Visma のプラグアンドプレイアプローチ
Visma のテクノロジースタックは規模が大きく多様化しているため、Snyk が提供する統合も重要でした。各開発チームが使用できるツールの数にガバナンス上の制限はなく、セキュリティチームが選択したセキュリティテストツールを導入するだけで十分です。そのため、Snyk のプラグインと統合の強力なエコシステムは、Visma の開発者に安全に使用できるツールを提供するという点で、重要な決め手となりました。
「多くのセキュリティテスト製品では大量の予備知識を必要とするため、環境にプラグアンドプレイで導入できないことが問題になります」と、ブロガード氏は言います。「Snyk の差別化要因の 1 つは、開発者がすぐに操作を始められ、自分で問題を解決できるという点です。」
導入効果: 2 万件のプロジェクトでの脆弱性の可視化
Snyk の導入以来、Visma では 2 万を超えるコードプロジェクトで現在までに 60 万回を超えるテストを完了させています。これらのテストの大半は、開発プロセスで自動的に開始されたものです。これらの取り組みにより、Visma では重大度の高い脆弱性を 65%、重大度の非常に高い脆弱性を 39% 削減できました。
Visma の事例について詳しくは、同社のプレゼンテーション「SnykCon 2021:開発者ファーストの AppSec プログラムの構築から得られた教訓」をご覧いただけます。