課題: 事業拡大をサポートする効率的なセキュリティプロセスの導入が必要
過去数年間で、Smartsheet の従業員は 2 倍以上に増加しました。Smartsheet の成長に合わせ、エンジニアリングチームはプラットフォームをセキュリティの脅威から守るために、将来に備えてセキュリティプラクティスを確実に実施できるように取り組んでいます。業務が拡大するにつれて、開発者はアプリケーションセキュリティの自動化を活用し、できるだけ簡単かつ効率的に製品のセキュリティを確保する必要があります。
「当社は多くのソフトウェア開発を行っています。そのため、使用しているオープンソースコードのセキュリティ確保と適切なリスク管理が課題です」と、Smartsheet のクリス・ピーク (Chris Peake) CISO 言います。「その一方で、法律面やセキュリティ面からのライセンス管理も必要です」
Smartsheet は、オープンソースコードの脆弱性スキャンとライセンス管理を自動化して、開発者がソフトウェアの規模に応じてセキュリティを管理できるようにすることを目指していました。これを実現する上で開発者が必要としたのは、状況に応じた適切なインサイトを使用して適切なタイミングで問題に自動的にフラグを付け、すばやく意思決定を行い、会社のセキュリティを確保できるツールでした。
「開発者のアクションを促進するデベロッパーファーストのセキュリティツールの構築は、私たちのような小規模チームにとって現実的ではありませんでした」と、Smartsheet のプリンシパルセキュリティエンジニアのジェイソン・ブボルツ氏 (Jason Bubolz) は言います。「Snyk の導入で脅威インテリジェンスが提供され、必要な修正が自動的に行われて、開発者のアクションが促進されるようになりました」
ソリューション: 効率的なセキュリティ、デベロッパーファースト
ソリューションを求めて Smartsheet は Snyk、Whitesource、Blackduck、Veracode という 4 種類の製品を比較しました。比較の結果、Snyk オープンソースが最も開発者の視点に立った有用かつ実用的なものと評価され、シームレスな導入とすばやい統合が実現しました。また、Smartsheet チームにとって、実行可能な対策オプションを開発者に提示する Snyk の機能も好印象でした。
「Snyk の脆弱性データベースは、最も包括的で細部にまでこだわったオプションになっています」と、ブボルツ氏は述べています。「Snyk は、セキュリティを重視するエンジニア向けに、ソフトウェア開発ライフサイクルの各ポイントで優れたソリューションを提供しています。現在、エンジニアが意思決定する際にツールを提供し、その情報をもとに行動できるようにしています。これこそ、Snyk が実証している価値なのです」
Snyk では、脆弱性の解消に必要な最小限のアップグレードを特定し、コードが侵害される危険性がある場合に通知しています。Smartsheet は、セキュリティ部門に依存せず、開発部門がセキュリティに関する意思決定を行えるようにしているため、適時に正確な結果を得ることが非常に重要なのです。
Snyk Container: 開発者の権限を強化して脆弱性を予防
Smartsheet では、コンテナのセキュリティを向上するために、開発者に手間のかからないエクスペリエンスを提供する必要があると考えていました。そこで、Snyk Container を既存の開発ワークフローに統合しました。Snyk Container は SDLC 全体で機能するため、Smartsheet では、コンテナの本番稼働前に優先的に脆弱性を特定し、早期に問題を修正できています。
「当社の開発者は、Snyk からのフィードバックをもとに、開発の初期段階で特定のベースイメージを選択すべきかどうかを判断しています」とブボルツ氏は述べています。「これが明確な指示となるため、別の選択をしようとして長い時間を費やすことはありません」
Snyk API: データ管理と事務作業を自動化
Smartsheet がセキュリティスキャンツールを比較した際、数種類の API を検討しましたが、Snyk が最も簡単に導入できるとわかりました。Smartsheet チームは Snyk API を活用して、複数のプロジェクトからのデータレポートを自動化し、毎月数百件の GitHub リポジトリを管理しています。
「自分の代わりに作業してくれる別のシステムに、データを自動で送信する必要がありました」とブボルツ氏は言います。「私は 1 人しかいないのに、Smartsheet では毎日 400 人以上の開発者がコードをコミットしてくるのです。Snyk API は、新しいリポジトリが作成されたときや、所有者が変わったときに通知してくれます。効果的な API がなければ、どんなセキュリティスキャン製品も使いものにならなかったでしょう」
導入効果: Snyk のデベロッパーファーストのアプローチで脆弱性をほぼ即座に除去
Snyk による新規顧客をオンボーディングする際の緊密な協力体制のおかげで、Smartsheet はプログラムを初日から成功させることができました。Snyk は、自社のツールが企業内の大規模なエコシステムにどのように適合するかを時間をかけて理解し、すべての継続的インテグレーション (CI) パイプラインに統合しました。
「Snyk を完全に統合する前でさえ、すでにその目的を達成していました」とブボルツ氏は言います。「アプリケーションが開発者にメールを送信するようになると、開発者は問題をすぐに解決しやすくなったと気づき、自ら進んでセキュリティの問題に対処しようという意欲が高まりました」
導入が簡単なため、開発者セキュリティの担当をスムーズに移行可能
Snyk のすばやいオンボーディングプロセスにより、Smartsheet ではセキュリティおよび開発部門に不必要な負担をかけることなく、すぐに作業を開始できました。Snyk は SDLC 全体で活用され、エンジニアに対しては、自分で調査して解決策を決定すべき大量のバグではなく、解決可能な問題が表示されるようになりました。Snyk ではセキュリティの問題が必要なコンテキストと共に表示されるため、開発者は問題の大部分を自分で、場合によってはボタンをクリックするだけで修正できます。
「高い成果が得られるようになっています」とブボルツ氏は言います。「当チームは、これまで以上にセキュリティに注力できる体制が整っています」
オープンソースライセンス管理により法的負担を軽減
Snyk の導入前、Smartsheet の法務部門では、Smartsheet 製品の依存関係でどのライセンスが使用されているかを追跡するという大きな課題に直面していました。Snyk により、法務部門と開発者は、プロジェクトのライセンスコードを完全に可視化して一元管理できるようになりました。これにより、オープンソースソフトウェアのライセンスやその他の要件に準拠しつつ、スピーディーな開発ペースを維持できるようになりました。
「法務部門では、こちらで使用しているオープンソース製品を実際に目にすることができるというので沸き立ちました」とピーク氏は言います。「以前はリストを手動で管理しなければならず、かなりの労力が必要でした。ダッシュボードで一元管理できることは大きなメリットです。現在では Snyk から得られている価値がさらに高まっています」。