Onna Technologies がSnyk & Sysdigを使用して、時間とコストを削減しながらSDLCを確保した方法

By 清水 孝郎 - SEPTEMBER 13, 2022
Topics: コンテナ、Kubernetes、ホストのセキュリティ, コンプライアンス

SHARE:

content:

Table of Contents Kubernetes HPA HPA with Prometheus Keda features Summary

本文の内容は、2022年9月12日にSusan Stoneが投稿したブログ(https://sysdig.com/blog/how-onna-technologies-uses-snyk-sysdig-to-secure-the-sdlc-while-saving-time-and-money/)を元に日本語に翻訳・再構成した内容となっております。

データ一元化ソフトウェア企業のOnna Technologiesは、SnykとSysdigを使用して、開発プロセスのあらゆる面でセキュリティを統合しています。

私たちは最近、OnnaのBrent Neal(セキュリティ担当ディレクター)、Mike Hoffman(リードセキュリティエンジニア)、Andrew Leeb(シニアソフトウェアエンジニア)にインタビューを行い、データ保護とコンプライアンス、クラウドセキュリティの優先順位、そしてSnykとSysdigを使ってエンドツーエンドの完全なコンテナセキュリティを実現する利点について話し合いました。

この興味深い会話のハイライトをご覧ください。

Q: Onna Technologiesとはどのような会社で、どのようなお客様がいらっしゃるのでしょうか?

Brent Neal: 私たちは、知識の発見を加速させ、企業がコラボレーション、コミュニケーション、およびコンテンツアプリケーションから価値ある洞察を得られるようにするデータ統合プラットフォーム、Onnaを支えるセキュリティチームです。

OnnaのKnowledge Integration Platformは、Slack、Microsoft 365、Google Workspace、Zoomなど、現在最も普及しているクラウドアプリケーションに接続し、eDiscovery、情報ガバナンス、ナレッジマネジメント、プライベートデータや機密データの共有の特定などの活動を強化します。

私たちは、Dropbox、Lyft、Electronic Artsなどの世界有数のハイテク企業をサポートし、時間とコストの節約、リスクの低減、ナレッジの活用による競争力向上を支援しています。

Q: クラウドアプリケーションのセキュリティについて、優先順位について教えてください。

Brent Neal: お客様が私たちに期待し、私たちが24時間365日体制で提供しなければならない重要な領域が3つあります。その3つとは、以下のようなものです。

  • 個人とその機密情報のプライバシー保護
  • 顧客データと事業活動の機密性保持
  • 適用される規制の遵守

私たちはKubernetesを使用しているため、コンテナのセキュリティを確保するためにSnykとSysdigを使用しています。これらのソリューションにより、脆弱性を迅速に特定し、修正作業の優先順位をつけることができるようになり、当社の脆弱性管理プログラムが改善されます。また、本番環境における脅威の検出にも Sysdig を利用しています。主なメリットは、セキュリティの強化、コンプライアンス要件への対応、監査時の証拠収集の簡素化などです。

Snyk は、真のシフトレフトセキュリティを実践できるため、脆弱性やライセンスの問題などをより早い段階で特定でき、時間とコストの節約になります。また、Snykは、最先端のソリューションを活用してデータやプライバシーを保護しているという安心感から、お客様からの信頼も高めています。

Q:Onnaは、どの程度オープンソースのセキュリティを優先しているのでしょうか?

Mike Hoffman: オープンソースのセキュリティは、Onnaの最優先事項です。もちろん、オープンソースソフトウェアを使用することによる多くの利点は、リスクも伴います。アプリケーションの依存関係やライブラリに問題が発生し、ライセンスの問題から脆弱性まで、さまざまな問題が発生することは承知しています。

しかし、Snyk のソフトウェア構成分析 (SCA) 機能により、私たちが使用しているライブラリや依存関係の可視性が向上し、開発中に脆弱性を検出して修正するための重要な機能が提供されます。Snykのおかげで、ソフトウェア開発ライフサイクル(SDLC)の安全性が大幅に向上しました。

Sysdig はもちろん、オープンソースのツールに基づいて構築されています。同社が開発し、今ではクラウドネイティブの脅威検出のデファクトスタンダードとなっている Falco、Sysdig オープンソース、OPA、その他数種類とともに、Sysdig は、オープンソースのツールに基づいて構築されています。Sysdigを使用することで、我々はフードの下にあるものを理解し、エンタープライズ機能とスケールを持つ広く採用されている標準を手に入れることができます。

Q: 開発者向けセキュリティ運用(DevSecOps)を採用する上で、主な課題は何でしたか?

BN: これまでのところ、DevSecOpsを採用する際の最大の課題は、開発スピードに影響を与えることへの懸念です。私たちの目標は、セキュリティを既存のプロセスやワークフローにシームレスに統合するツールを開発者に提供することで、こうした不安を和らげることです。

ビジネスの観点からは、製品開発プロセスを可能な限り俊敏に進めたいと考えています。Snykによってセキュリティをシフトレフトすることができるので、問題を修正するために必要な「手直し」の量は、プロセスの後半に発見される場合よりも飛躍的に少なくなります。

現在、一握りの開発者にSnykを導入していますが、今後はチーム全体に展開する予定です。私たちの目標は、Snykをあらゆる場所に導入し、すべての開発者が脆弱性を直接目にしながら、それがパイプラインのはるか先に到達する前に克服する方法を学ぶことができるようにすることです。

Q: コンテナスキャンと静的アプリケーションセキュリティテスト(SAST)を採用することにした理由は何ですか?

BN: お客様のセキュリティに関するアンケートの多くは、”SASTにどのようなアプリケーションを使用していますか?”または “コンテナをどのように保護していますか?”と尋ねてきます。

Snykは、業界をリードする製品で、これらの質問に明確に答えることを可能にしています。基本的に、私たちはコードをスキャンし、お客様のデータを保護するために必要な措置をとっているという保証をお客様に提供することができます。

Q: Sysdigを導入するきっかけとなったセキュリティのニーズは何ですか?

BN: 技術的な観点から、私たちのユースケースの最大の構成要素は、以下の点に重点を置いていました。

  1. 顧客データを保護し、社内のニーズを満たすためのエンタープライズ クラスのセキュリティ。 これは、GKE 環境の Kubernetes セキュリティを意味していました。 コンプライアンスにパスするだけでは十分ではありません。本番環境のワークロードを保護するには、強力なリアルタイム検出が必要です。
  2. 脆弱性や設定ミスをスキャンし、危険なビルドや設定が本番環境に到達する前にブロックする機能。
  3. 脆弱性修正の優先順位付けにより、開発者が真のリスクをもたらす問題を修正できるようにすること。

Sysdigはこれらの要件を満たし、当社のセキュリティを劇的に強化する機能を提供することができました。Sysdigは脆弱性に優先順位を付け、脅威を正確に検知するため、デベロッパー、DevOps、セキュリティチームの時間を節約することができます。

もう1つの大きなメリットは、Sysdigチームから継続的にサポートを受けていることです。最初の出会いから、Sysdig は非常に迅速に対応してくれ、問題解決も簡単です。このような関係は、私たちOnnaにとって非常に重要なものです。

Q:Sysdigのランタイムセキュリティをどのように活用していますか?また、環境に応じて有効化したポリシーの種類を例示してください。

MH: Sysdigの最大の利点は、セキュリティの姿勢を向上させることです。Sysdigは、社内ポリシーや規制、お客様の義務に従いつつ、自社とお客様の情報を安全に保つために必要なツールと可視性を提供してくれます。

Sysdigは強力なホストベースのセキュリティソリューションを提供し、私たちの環境を多くの潜在的な脅威に対して効果的に監視することができるようになりました。私たちは、システムへの不適切なアクセス、ネットワークツールの使用、特定のファイル/ディレクトリの変更、環境全体のラテラルムーブメントについて警告するポリシーを持っています。このような警告を出すだけでなく、特定のコンポーネントが私たちの環境でどのように正常に機能しているかをセキュリティチームに伝えるのにも役立っています。

Q: Snyk + Sysdigの統合を利用することで、どのような利点や成果を期待していますか?

BN: Snyk + Sysdigの統合は、私たちがシフトレフトのアプローチを改良し続け、コストを削減し、製品や機能をより速く提供し、セキュリティ姿勢を向上させるのに役立ちます。今年の終わりにSynk + Sysdigの統合がデプロイされると、私たちの主な使用例は優先順位付けになるでしょう。最終的には、どのようなセキュリティ問題を修正する必要があり、どのように優先順位をつけるべきかについて、より良いアイデアを得ることができるようになるのです。

Q: 統合ソフトウェアセキュリティツールへの投資を躊躇している組織に対して、どのようなアドバイスがありますか。

BN: 私は、組織がシフト・レフト・セキュリティがない場合に発生する手戻りと時間のロスのコストを分析することをお勧めします。物事を左へシフトすればするほど、セキュリティをSDLCに直接焼き付けることによって、大幅なコスト削減と効率化が実現します。

Snyk + Sysdigのパワーをご自身の目でお確かめください。

エンドツーエンドのコンテナセキュリティを維持しながら、Kubernetesアプリケーションをより速くリリースしたいとお考えですか?Snyk + Sysdigの統合を採用することで、修正に数ヶ月かかる脆弱性の最大95%を即座に排除することができます。

セキュリティエキスパートとのデモを予約して、開発者優先のセキュリティが本番環境をどのように改善するかをご確認ください。