株式会社カウリスは、不正アクセス対策サービス「FraudAlert」を提供するセキュリティ企業です。金融機関向けサービスを展開する同社にとって、システムの安全性は事業の根幹を支える重要な要素です。
近年は自己伝播ワームShai-Huludなどソフトウェアサプライチェーン攻撃のリスクが高まり、オープンソースソフトウェア(以下、OSS)の脆弱性管理の重要性が一段と高まっています。そうした中、同社では開発スピードを落とさずにセキュリティ対策を実現する方法を模索していました。
この課題解決にあたり、長年にわたり同社と良好なパートナーシップを築いてきたクラスメソッドが、アセスメントから導入検討、導入時の技術支援まで対応しました。Snykを選定した理由や導入までの経緯について、開発部 部長の林さんにお話を伺いました。
ネット上の情報から脆弱性を追う日々—属人運用の限界
同社では、金融機関向けサービスを支える高いセキュリティ水準を維持するため、開発プロセス全体の見直しを進めていました。
「これまでOSSが攻撃対象にされることはあまりなかったのですが、昨今かなり攻撃の対象になってきたという点に特に危機感を感じていました。」(林さん)
一方で、従来は業界ニュースやSNSなどから情報を収集するなど、人に依存した運用となっており、個人の負担だけでなく、話題になりやすい言語とそうでない言語があるなど、情報の粒度にも懸念がありました。
こうした背景から同社では、開発プロセスの中で自然にセキュリティ対策を実現するDevSecOpsの導入を検討し、複数のツールの比較・検討を進めました。
ツールの必要性そのものも含めて社内で検討を進める中、クラスメソッドのAWSセキュリティ強化プログラムにおけるアセスメントやAWS技術アドバイザーとのディスカッションを通じて、「アプリのリリース時ではなく開発段階や運用中における脆弱性診断の必要性」が明確になり、導入を前向きに検討するきっかけとなりました。
「もともと導入に向けて、周囲の理解を得るための地固めは進めていましたが、クラスメソッドとのやり取りの中でSnykやこれまでのアプリ脆弱性診断のやり方を変える必要性が何度も話題に上がり、今がそのタイミングだと背中を押してもらいました。」(林さん)
選定において重視したのは、「開発者が負担なく使えること」です。
同社にとって、「開発者が負担なく使える」ために必要なのは、「脆弱性があります。このように修正してください」といった情報だけではありません。
こうした情報がなければ、優先度を判断するたびに都度調査が必要となり、知識として蓄積しづらいという新たな課題が生まれ、結果として開発者の負担が増えてしまいます。
そこで選ばれたのがSnykです。
Snykは、脆弱性の検出に加え、その原因や影響、修正方法まで提示する開発者向けのセキュリティプラットフォームです。
これにより、開発者自身が内容を理解しながら対応できる点が評価されました。
同社では以前よりSnykの無償版を利用していましたが、利用回数や機能に制限があり、十分に活用しきれていない状況でした。
クラスメソッドによる導入に向けた技術支援を通じて、より実運用に近い形でエンタープライズ版の機能を確認できるようになり、機能の網羅性や有効性を具体的に把握できたことで、Snykの価値をより明確に評価できるようになりました。
「優先度を決めるための判断材料が提供されることに加えて、独自の脆弱性データベースがあり、情報の信頼性が高い点も大きかったです。また、OSS以外にもContainerやCodeのスキャンも行えることがわかり汎用性の高さも評価のポイントになりました。特別な運用を増やしたり、専任のセキュリティ担当者を置いたりすることなく、普段の開発の延長でセキュリティ対策ができる点を高く評価しました。」(林さん)
“その場で修正”を実現し開発スタイルが変化
Snyk導入後、同社の開発環境は大きく変化しました。
まず、OSSライブラリの脆弱性が開発段階で自動的に検出されるようになり、「後から対応する」のではなく、「その場で修正する」開発スタイルへとシフトしました。
また、通知が迅速かつ適切で、重要度も自分たちの感覚に合っていることから、チームメンバーが自発的に脆弱性情報を収集・対応する意識も芽生えたといいます。
アプリ開発チームのメンバーにとって、セキュリティはアプリ開発とは別の軸で意識し、学ばなければならないという心理的ハードルがありました。林さん自身も、そこにどう課題感を持って取り組んでもらうかに苦慮していたそうです。
実際にサプライチェーン攻撃が発生した際には、同社が被害を受けているかの有無をすみやかに調査し、異常がないことを確認するまでの一連のタスクを短時間で実現できました。
「以前であれば、該当箇所が分からず、膨大なソースコードから洗い出すこともありました。Snykのおかげで、大幅な負荷軽減につながっています。」(林さん)
影響を受けるバージョンと、自社で利用しているバージョンの両方が表示されるため、判断しやすい点も評価されています。
また、UI/UXの観点でも高い評価を得ています。
「UIが分かりやすく、どこに問題があるのかが一目で分かります。図なども含めて細かく丁寧でありながら、情報過多ではないバランスの良さがあり、迷わず対応できる点が非常に助かっています。」(林さん)
現在、開発チーム全体でSnykを活用していますが、スキルレベルによる運用差もほとんどないといいます。
「経験のあるエンジニアだけでなく、若手メンバーでも同じように使えています。ツールが分かりやすいため、属人化せずチーム全体で運用できています。」(林さん)
6年にわたる伴走支援で築いた信頼関係
カウリスとクラスメソッドの関係は今回に限ったものではなく、約6年前からセキュリティ領域を中心に継続的な支援が行われてきました(クラスメソッド事例記事)。
その長期的な関係性の中で、今回のSnyk導入の検討も自然な流れとして始まったといいます。
「これまでもセキュリティ全般について相談してきた経緯があり、その延長で今回の取り組みも安心して進めることができました」(林さん)導入に向けた技術支援においては、実際の開発環境への適用を前提とした具体的な支援が行われました。
「情報整理に加え、疑問点やトラブル発生時にもSlackで迅速に対応いただけたことで、自分がやるべきことに集中することができました。その結果、導入後のイメージを具体的に持つことができ、上長への説明や承認もスムーズに進めることができました」(林さん)
また、その対応については、想定を上回るものだったといいます。
「担当者間の連携や質問の内容を超えた関連する情報提供など、サポート内容は想像以上でした。不満に感じる点はほとんどなく、非常に満足度は高いです」(林さん)
継続的な支援を通じて築かれた信頼関係に加え、手厚い対応により、クラスメソッドは単なるベンダーではなく、伴走者としての存在になっていると評価されています。
また、クラスメソッドメンバーズのサービス内容が継続的にアップデートされ、不満点が適切なタイミングで解消されている点や、AWSに加えてGoogle Cloudへと対応範囲が拡大しているなど必要とされる取り組みを先回りして提供している点も、高く評価されています。
今回の取り組みを通じて、カウリスでは開発スピードとセキュリティを両立する基盤を構築しました。今後もクラスメソッドと連携しながら、継続的なセキュリティ強化を進めていく予定です。
