クレジットカードなしで利用できるあと払いサービスを提供する株式会社Paidy、脆弱性管理ツールSnykを導入

Paidyはコロナ禍で増えるオンラインショッピングの需要と共に、顧客数を大きく拡大しています。より安心安全なサービスを目指し、ソフトウェアのセキュリティを強化するため、Snykの導入を決定いたしました。


Paidyが、数ある検査ツールの中からSnykを導入するきっかけとなった点は、下記の3つのポイントでした。
●   誤検知を防ぎ、より早く正確に脆弱性を検査することができる
●   全ての検査ツールを1つにまとめることができる
●   50人を超える開発者が日々の業務に支障をきたさず検査することができる


導入背景
Snyk導入以前は、誤検知に関する課題が存在していました。例えば、Snyk導入前に活用していた別の検査ツールでは、日々の脆弱性検査で多くの誤検知結果が返ってきたため、セキュリティチームはテストの結果が正しいものか判断するのに必要以上に工数がかかっていました。この問題を改善するために、PaidyはCI/CDパイプラインにSnykを導入し、コードの脆弱性をより深く知ることができ、全体的な誤検出が少なくなりました。

 
導入方法
Paidyは2021年の夏に開発者全員のワークフローにSnykのツールを導入しました。これにより、開発者の負担となることなく、簡単にCI/CDパイプラインにコードスキャニングを実現しました。
また、主なインフラ構築の安全性確保のためのSnyk IaC（Infrastructure as Code）だけでなく、オープンソースに依存する既知の脆弱性やライセンス問題を自動的に発見して修正するSnyk Open Source、コンテナイメージの安全性確保のためのSnyk Containerを導入しています。


導入後の成果
Snykを導入後、主に以下のような成果・変化が見られました。
●   過去90日間で、脆弱性の修理に費やす平均時間が73%削減
●   過去90日間の管理プロジェクト数が265%増加
●   開発者のSnyk利用率100%を達成
●   脆弱性管理において、劇的な誤検知の減少

特に、Snykを導入したことでPaidyの開発チームとセキュリティチームがより一丸となり、スピーディーに脆弱性の改善・修正をすることができました。
また、昨年12月に公表されたLog4j脆弱性に対して、SnykはPaidyが使っていた多くの脆弱性検知ツールのうち最も早く・正確に隠れていたLog4jの脆弱性を検知することができました。それによりPaidy社はわずか4日間でLog4jの問題を修正できました。

 
【株式会社Paidyのコメント】
Paidyは、お客様に安心安全にお使いいただけるサービス作りに尽力しています。検査ツールは開発者の日々のワークフローにシームレスに統合する必要がありますが、このたびSnykという良いセキュリティツールに出会い、導入できたことを嬉しく思います。今後もSnykを活用し、本番環境やステージング環境に侵入する脆弱性をより多く発見し、サービス全体で改善を進めていきます。
株式会社Paidy シニアセキュリティエンジニア Joseph LeRoy氏


【Snyk株式会社のコメント】
この度、株式会社Paidyにおいて、Snykが採用されたことを大変嬉しく思います。Snykは今後もPaidy社の開発チームやセキュリティチームにより便利で正確な脆弱性管理をご提供できるような形を目指していきたいと考えております。
Snyk  アジア太平洋地域統括 バイスプレジデント ショーン・マクラガン


ペイディについて
ペイディが提供するのは、「今買いたい！」を叶え、お支払いは「まとめてあとから」行っていただける「あと払い（Buy Now Pay Later）」サービス。シンプルなUX、翌月一括あと払いまたは分割手数料無料*の３回あと払いで支払いが可能な利便性、スマホで賢くお金の管理ができる点などから多くの方にご利用いただき、現在アカウント数が780万を超えています。
70万店舗以上の販売店で利用いただけるほか、Visaのネットワークにより同オンライン加盟店およびデジタルウォレット、QR決済のお支払い方法としてペイディを利用できる「どこでもペイディ」のサービスも提供しています。アプリをお使いいただくと、欲しいアイテムの発見から購入までの一連のお買い物が、全てペイディアプリ内で完結します。「夢に自信を持ち、心に余裕を持てる世界」を作ることを目指して。お客様への信頼をもとに、どなたでも安心してお買い物を楽しめる環境を整えることが、ペイディの大事な使命です。

https://paidy.com/
*銀行振込、口座振替のみ。

 
Snykについて
Snykはデベロッパーファーストのセキュリティプラットフォームです。コードやオープンソースとその依存関係、コンテナやIaC(Infrastructure as Code) における脆弱性を見つけるだけでなく、優先順位をつけて修正するためのツールです。Gitや統合開発環境（IDE）、CI/CDパイプラインに直接組み込むことができるので、開発者が簡単に使うことができます。
Snykは現在、Asurion、Google、Intuit、MongoDB、New Relic、Revolut、Salesforceなどの業界リーダーを含む、世界中の1,500社以上の顧客に利用されています。

Snykは、Forbes Cloud 100 2021、2021 CNBC Disruptor 50、2021 Gartner Magic Quadrant for ASTでVisionaryに選ばれています。

ウェブサイト: https://snyk.io/jp
資料請求：https://go.snyk.io/jp-shiryoseikyu.html