Skip to main content
Customers

MongoDB

MongoDB セキュリティチーム、Snyk で安全な開発を実現

お客様の声

Stuart Larsen

Security Engineer

業種: 技術
Location: New York, USA

Products Featured

Snyk Open Source

ハイライト:

MongoDB のセキュリティに対するコミット。セキュリティチームは、開発者が賢明で安全な判断をできるように注力しています。

開発者の導入率を高める。Snyk が選ばれた理由は、導入のすばやさ、使いやすさに加え、GitHub のような開発者ワークフローやツールに直接統合できることが挙げられます。

Snyk ダッシュボードの提供。全社にセキュリティ上の課題や特定のリソースの必要性を伝える便利なツールにもなっています。

既存ツールへの統合。現在、Snyk は MongoDB の GitHub、Slack、Jira インスタンスに緊密に統合されています。

オープンソースセキュリティを管理する

急速に成長している企業において、セキュリティを管理する際の一般的な課題の一つは、人員、予算、時間などのセキュリティリソースを割り当てることです。MongoDB セキュリティチームには多くの優先事項がありますが、時間は重要な資産です。スチュアート氏のチームは、開発者が何時間もかけて、使用しているオープンソースライブラリに既知の脆弱性がないことを確認したり、CVE の長いリストを分析したりしていることを発見したとき、もっとすばやく簡単に問題を解決できる方法があるはずだと感じました。

「Snyk の導入前、オープンソースセキュリティの確保には時間と手間がかかっていました。一部の製品ではリリース前にパッケージを手作業でチェックし (Google 検索やブックマークの調査)、他の製品では小規模なツール群を使うこともありました」

MongoDB が重点目標とするセキュリティ拡張

セキュリティチームは、複数の市販ソリューションを検討しましたが、Snyk の開発者ファーストのアプローチと自動修正機能が重要な差別化要因になると考えました。Snyk の導入のすばやさ、使いやすさ、GitHub のような開発者ワークフローやツールに直接統合できる点は、開発チームがソリューションをすばやく導入する上で役立ちます。MongoDB では、セキュリティソリューションの自社開発も検討されたものの、限られた人員、時間、予算の中では、Snyk のような外部ツールを選択することで、自社開発による「労力や時間の浪費」を回避し、業務を簡素化して、既存の開発優先事項に集中できるようになるとすぐに理解しました。

「社内にセキュリティエンジニアは数名しかいませんが、開発者は数百名います。開発者数を増やすことは考えていないため、開発者を積極的に支援していく必要があります」

Snyk の導入成果: 自動化による処理時間の短縮

オープンソースのセキュリティプロセスを自動化したら、Snyk を導入する前の遅々とした手作業のアプローチには「もう戻れない」とスチュアート氏は述べています。MongoDB セキュリティチームは、パッケージのセキュリティ上の問題を特定してから、問題について理解し、修正するまでのループを短縮できるようになりました。さらに MongoDB チームは、サードパーティの依存関係に関するセキュリティ問題を解決するワークフローを構築して効率化しています。プロセスの自動化により、脆弱性を検出して修正する作業が格段に高速化し、セキュリティチームは他の優先事項に集中することができるようになりました。

チーム全体でセキュリティをモニタリング

MongoDB セキュリティチームが一元化された Snyk ダッシュボードを導入したことで、すべての関係者が最も関心のある Snyk リポジトリを表示できるようになりました。セキュリティから開発まで、チームの全員が、いつでも脆弱性やリスクの状態を把握できるようになっています。Snyk ダッシュボードは、セキュリティの課題や特定のリソースの必要性を社内の他のメンバーに伝える便利なツールにもなっています。

顧客データの保護

サードパーティの脆弱性からデータがどのように保護されているかという情報を、顧客は以前より頻繁に求めるようになっています。MongoDB では、Snyk が SDLC に緊密に統合されていると説明できることを喜んでおり、チームが顧客データや重要な資産を保護するための措置は数多くありますが、その一つとして、サードパーティの依存関係を特定して、問題の解決に努めています。

Snyk について MongoDB

「当社は開発者が十分な情報を得た上で、セキュリティに関する意思決定を行えるソリューションを求めています」

MongoDB は最先端の汎用データベースプラットフォームで、開発者とアプリケーションがソフトウェアとデータのパワーを発揮できるように設計されています。ニューヨークに本社を置く MongoDB は、100 を超える国で 13,000 社を超える顧客にサービスを提供しています。MongoDB データベースプラットフォームは 6,000 万回超ダウンロードされており、100 万を超える MongoDB University の登録があります。MongoDB のセキュリティエンジニアのスチュアート・ラーセン氏 (Stuart Larsen) は、エンジニアリングチームがセキュリティの高いアプリケーションを記述、ビルド、デプロイして、顧客データの安全性を保てるようにしています。MongoDB セキュリティチームは、コードを作成していても、プロセスを作成していても、インフラを構築している場合でも、MongoDB に預けられたデータを保護するのは自分たちの責任だと理解しています。スチュアート氏は、自分のチームの開発者が、プロセスの初期段階から、適切で安全な判断を下せるようにすることに注力しています。