Visma の次世代セキュリティテストツールへの移行で Snyk が選択された理由

業種: 技術
Location: Norway

Products Featured

Snyk Open Source

ハイライト:

Snyk オープンソースを導入し、SCA の脆弱性スキャンを最新化

多数のテクノロジーと 2 万件以上のプロジェクトで Snyk プラットフォームを統合

140 を超える開発チームに対してスピーディーな Snyk の導入を実現

内部ガバナンスの一環として Snyk API を活用し、成熟度指数データを取得

重大度の高い脆弱性と非常に高い脆弱性をそれぞれ 65% および 39% 削減

課題: 最新のセキュリティテストツールの採用

Visma が直面している課題は、このように多様なテクノロジースタック全体でセキュリティを確保し続けることです。

「当社は一大企業ですが、多国に広がる 200 社以上の小規模企業やチームで構成されています」と、Visma のアプリケーションセキュリティアドバイザーのパー・オルソン氏 (Per Olsson) は言います。「そのため、大規模なセキュリティプログラムを実行して一元管理する場合に、事態が複雑化します。」

このような理由から、同社は常に最先端のセキュリティツールを探し、セキュリティ体制を継続的に改善しています。

Visma のソフトウェアコンポジション解析 (SCA) および静的アプリケーションセキュリティテスト (SAST) のサービス責任者であるニコライ・ブロガード氏 (Nicolai Brogaard) は、「当社では、入手できる中でも最適なツールを使っているかどうかを定期的に確認していますが、既存のツールセットはもう最適なものではないという結論に達しました」と言います。「そこで、次世代のセキュリティテストツールへの移行を検討していました。」

ソリューション: デベロッパーファーストのソリューションを選ぶ

Visma では、セキュリティツールを評価する際に、開発者を自動的にオンボーディングする機能や直感的なインタフェースを重視していました。Snyk Open Source により、現在 140 以上の開発チームが、使用しているサードパーティの依存関係から脆弱性を検出して、対策できます。Snyk の直感的なインタフェースによって、開発者は手間をかけずにツールを導入し、当事者意識をもってセキュリティ対策を行えます。

「重要な成功指標は、いかに簡単にツールを導入できるかということです」と、ブロガード氏は説明しています。「新しいツールの導入は、特にセキュリティの世界では簡単なことではありません。そのツールに大きなメリットがあることを証明しなければなりませんが、Snyk の場合、誰もがそのメリットに納得しました。」

そして、Visma Cloud Delivery Model (VCDM) は、Visma Application Security Program (VASP) を含む、社内ガバナンス構造を表しています。その一部として、Visma では、セキュリティツールの導入レベルや未解決の脆弱性の数など、多数の指標を用いて子会社の状況を測定する成熟度指数を設けました。Snyk API により、Visma では複数のコードプロジェクトからこのデータを簡単に取得できます。

Snyk を使用した Visma のプラグアンドプレイアプローチ

Visma のテクノロジースタックは規模が大きく多様化しているため、Snyk が提供する統合も重要でした。各開発チームが使用できるツールの数にガバナンス上の制限はなく、セキュリティチームが選択したセキュリティテストツールを導入するだけで十分です。そのため、Snyk のプラグインと統合の強力なエコシステムは、Visma の開発者に安全に使用できるツールを提供するという点で、重要な決め手となりました。

「多くのセキュリティテスト製品では大量の予備知識を必要とするため、環境にプラグアンドプレイで導入できないことが問題になります」と、ブロガード氏は言います。「Snyk の差別化要因の 1 つは、開発者がすぐに操作を始められ、自分で問題を解決できるという点です。」

導入効果: 2 万件のプロジェクトでの脆弱性の可視化

Snyk の導入以来、Visma では 2 万を超えるコードプロジェクトで現在までに 60 万回を超えるテストを完了させています。これらのテストの大半は、開発プロセスで自動的に開始されたものです。これらの取り組みにより、Visma では重大度の高い脆弱性を 65%、重大度の非常に高い脆弱性を 39% 削減できました。

Visma の事例について詳しくは、同社のプレゼンテーション「SnykCon 2021:開発者ファーストの AppSec プログラムの構築から得られた教訓」をご覧いただけます。

Snykについて Visma

Visma は、北欧全域およびその他の欧州地域の企業に対して、ビジネスプロセスを最適化するソフトウェアとサービスを提供しています。数々の合併や買収を経て、Visma は従業員 14,500 人以上、開発者 6,500 人以上の大きな企業の集合体となりました。なお、新しい会社がポートフォリオに加わるたびに、新しいテクノロジーも導入されています。

Patch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo Segment

Snyk (スニーク) は、デベロッパーセキュリティプラットフォームです。Snyk は、コードやオープンソースとその依存関係、コンテナや IaC (Infrastructure as a Code) における脆弱性を見つけるだけでなく、優先順位をつけて修正するためのツールです。世界最高峰の脆弱性データベースを基盤に、Snyk の脆弱性に関する専門家としての知見が提供されます。

無料で始める資料請求