Snyk、刷新されたセキュリティレポートのオープンベータ版を発表
November 9, 2022
0 分で読めます今回のオープンベータ版では、開発チームやセキュリティチームが、アプリケーション全体のリスクについて、簡単に包括的かつ細かいレベルで可視化できるようになりました。
この度のレポート機能の刷新は、Snyk のデータサービスを全面的に見直し、継続的に改善する多層的な取り組みの最初の段階になります。Snyk は、今年初めにデータ分析企業の TopCoat を買収し、この取り組みを主導しています。本日発表した新しいセキュリティ レポート機能は、データ分析を Snyk プラットフォーム内のコア機能にするための最初の段階で、これが最後ということでは決してありません。近い将来、Snyk のセキュリティ データから価値を引き出す新しい方法に関する発表を予定しています。
Snyk の Business プランまたは Enterprise プランをご利用のお客様は、Snyk UI からこれらの新機能にアクセスできるようになりました。これらの機能を有効にするには、設定をクリックしてから Snyk プレビューの順にクリックします。
優れた可視性が必要な理由
DevSecOps の文化では、アプリケーションを開発するすべてのチームが、アプリケーションのセキュリティを確保する点で連帯責任も負うことになります。リスクを適切に可視化せずに、このような文化を長期的に発展させ、維持していくことは困難です。可視性が不十分な場合、セキュリティチームやリーダーは組織全体のリスク対応体制を正確に把握して評価することができません。また、セキュリティチームやリーダーは開発チームの処置に対して的確に優先順位をつけることができません。本来優先すべきではない問題の修正を割り当てられた開発チームは、貴重な開発時間を無駄にすることになります。これは、セキュリティプロセスに対する信頼の欠如につながる可能性があります。
ただし、可視性の確保は簡単なことではありません。最新のクラウドネイティブアプリケーションでは、開発者が社内で書いたカスタムコードはもちろん、オープンソースパッケージ、コンテナ、IaC など、複数のコンポーネントを経由してリスクが入り込みます。従来のセキュリティツールは、これらのコンポーネントに対する脆弱性をスキャンするために使用されてきましたが、導入に一貫性がないため、可視性に差が出たり、レポートごとにデータが異なるといった状況が生じています。さらに、これらのツールによって生成されるセキュリティデータは多くの場合、扱いにくくて利用が難しく、実用的なヒントが不足しがちです。
Snyk の刷新されたレポート
Snyk の刷新されたレポート機能で必要な可視性が得られるようになったため、開発チームとセキュリティチームはデータに基づく会話を行い、全社的に責任、説明責任、効果的な処置を共有できるようになりました。
Snyk の刷新されたレポートは、クラス最高のデータ処理ツールを実装し、最適化されたパフォーマンスと信頼性を保証しています。また、レポート機能では、最新のアプリケーションのすべてのコンポーネントを一元的にカバーし、全社のユーザーに対して役割に応じたデータアクセスを提供できます。しかも使い方は簡単です。
ユーザーは Snyk の新しいレポート機能を使って以下のことができます。
最も重大なリスクを特定して報告し、改善すべき優先順位を設定する。
検出された脆弱性と影響を受けるアプリケーションのタイプ、ボリューム、重大度について説明する。
処置のペースと進捗状況を追跡する。
長期かつ高レベルの指標を表示する。
トレンドを表示し、優先順位、進捗状況、リスクについて、経営陣、投資家、顧客、パートナーに伝える。
オープンベータ版として利用できる主な新機能の一部を詳しくご紹介します。
セキュリティ レポートデータに簡単にアクセスして分析、および共有する
Snyk では常に、ユーザーがセキュリティを確保しつつ、すばやく開発できるようにすることに注力してきました。リスクを可視化するには、使いやすさとシームレスなワークフローが非常に重要です。今回のレポート機能の刷新は、特にこの点を意識して設計されています。
フィルターおよびソート
Snyk のレポートでは、特定のビューを設定して、さまざまな角度で細かく分析し、セキュリティに関する疑問の答えを得ることができます。
テーブルは並べ替えや調整が可能で、最も興味のある列を表示できます。また、新しいフィルターも利用可能になり、重要なデータに簡単にアクセスできるようになりました。
Snyk 製品 (Snyk コードを含む。これについては後述します) でフィルタリングできます。これにより、特定の種類の問題にすばやく集中できます。たとえば、オープンソースの依存関係における問題だけに集中する、または IaC の問題のみに絞り込む、といったこともできます。
新しいフィルターには、パッケージ名、CVE、CWE、最終導入日、最終解決日、プロジェクトタグ、プロジェクト属性などが含まれます。
プロジェクトで特定の問題をすばやく見つける必要がある場合、この機能が大変便利です。以下の例では、3 件の重要なプロジェクトで Log4Shell 脆弱性が確認されています。
データの共有
共有体験もアップグレードされています。URL でフィルターが保持されるようになりました。ページ右上の URL をコピーボタンで、ビューの URL をチームメイトと簡単に共有できます。また、レポートを PDF (または CSV ファイル) に出力することで、ビジネス関係者と簡単に共有できるようになりました。
アプリケーション全体のリスクを一元的に把握
前述のように、アプリケーションのリスクはアプリケーションのソースコードを構成するコンポーネントから生じる可能性があります。Snyk のレポートには Snyk コードも含まれており、オープンソースの依存関係、コンテナ、IaC の設定によって引き起こされる問題に加え、開発者が社内で作成したコードによって引き起こされるセキュリティ問題を追跡して報告できるようになっています。これにより、アプリケーション全体のリスクを一元的に可視化し、レポートワークフローを大幅に簡素化できます。
さまざまなセキュリティに関する質問に答える
チーム間の修正作業の比較、OWASP Top 10 リストのコンプライアンスの確認、重大なゼロデイ脆弱性への対応、取締役会に対するエグゼクティブサマリーの共有など、Snyk の刷新されたレポートには特定の質問に対する答えの提供に必要なデータと分析ツールが用意されています。
刷新されたレポートには、さまざまなユースケースに対応する組み込みレポートが付属しています。
問題の詳細
アプリケーション全体で Snyk が特定したすべての問題についての包括的かつ詳細なリストが作成されます。このレポートは重大度、プロジェクトの重要性または種類、特定の CVE/CWE など、チームが実施している問題管理戦略に基づいて、対策の優先順位を付ける上で役立ちます。また、OWASP Top 10 など、特定の業界標準に準拠しているかどうかを把握することもできます。
脆弱性の詳細
アプリケーション全体で Snyk が特定したすべての固有の脆弱性の包括的かつ詳細なリストが作成されます。問題の詳細レポートと同様に、このレポートはチームが処置の優先順位を設定する上で最適ですが、アプリケーションの監査を支援し、特定の脆弱性に対するエクスポージャーを特定する際にも役立ちます。
以下の例では、レポートをフィルタリングしてすべてのオープンソースプロジェクトに存在する Log4Shell 脆弱性 (CVE-2021-44228) の発生箇所を表示しています。
問題の概要
アプリケーション全体のリスクを集約したハイレベルな概要を提供し、問題の特定と解決数、解決までの平均時間などの指標を強調表示します。このレポートでは、エクスポージャーの期間を説明するグラフ、特定の期間内に解決するまでの時間、リスクの内訳を示すテーブルも表示されます。成功の測定に加え、経営者やビジネス関係者への報告に最適です。
上記の新しいソートやフィルターオプションで、これらのレポートのデータを掘り下げて細かいレベルまで確認し、特定のセキュリティに関する質問に回答できます。
データサービス向上のための Snyk の取り組み
セキュリティデータにアクセスし、そのデータを分析して報告する機能は、開発チームとセキュリティチームが必要な可視性を得て、確証と信頼を基盤とする効果的なセキュリティプログラムを構築する上で鍵になります。
今回の Snyk レポート機能の改善は、ユーザーに可視性を提供する上で重要な進歩ですが、Snyk のレポート機能やデータサービス全体の進化の最終形態ではありません。今後もデータを切り出す新しい方法や、カスタムユースケースをサポートする新しいタイプの組み込みレポートなど、機能の改善を段階的に導入する予定です。どうぞご期待ください。
上記の機能は、Snyk Business または Snyk Enterprise のいずれかのプランで契約中の Snyk ユーザーであれば、オープンベータ版としてご利用いただけます。これらの機能は、Snyk UI の Snyk プレビューページで有効にするだけで使用できます (設定、Snyk プレビュー の順にクリックします)。
オープンベータ版は、クローズドベータ版に続き、徹底的なテスト期間を経て提供されますが、何か問題が発生した場合は、ぜひごフィードバックをお寄せください。