Snyk、企業のAppSecおよびDevSecOpsの取り組みを支援するAI駆動のセキュリティ機能を発表

デベロッパーセキュリティプラットフォームを提供するSnyk株式会社（本社：東京都渋谷区、代表 CEO：ピーター・マッケイ）は、10月8日～9日にかけてDevSecConイベントで開催された10月のSnyk Launchにて、最新のプラットフォームの機能強化を発表しました。この新たなアップデートにより、開発者主体のAI駆動ソリューションを通じて、リスクベースのアプリケーションセキュリティがさらに向上します。これらの革新は、DevSecOpsの変革におけるSnykの約10年間の取り組みを示すとともに、アプリケーションセキュリティ（AppSec）とソフトウェア開発チームを積極的に支援するという同社の決意を強調しています。

Snykの強化により、コードベースにおけるセキュリティ問題の優先順位付けと修正が効率化され、生成AIによるコード生成の安全な導入がさらに促進されます。また、組織全体のセキュリティ状況およびセキュリティ運用について、より包括的な理解を提供します。これにより、開発者が重要なセキュリティ問題をより迅速に解決できるようになるだけでなく、セキュリティチームは潜在的なリスクへの洞察を深めることができ、開発プロセス全体がより安全かつ効率的になります。

Snykの最高製品責任者（CPO）であるマノージ・ナイアは下記のように述べています。

「Snykでは、今後の開発において、安全かつ効率的にコードを構築することがこれまで以上に重要視されると考えています。当社の強化されたAI駆動ツールを通じて、開発者とセキュリティチームがシームレスに連携し、リアルタイムでリスクを特定・軽減する方法を革新することで、真の市場リーダーとしての地位を確立しました。このSnyk Launchは、DevSecOpsの再定義に向けた当社のコミットメントにおいて重要な一歩であり、組織が最高のセキュリティ基準を維持しながら、より迅速にイノベーションを実現できるようにします。」

安全でシームレスな開発を実現するAI駆動のイノベーション

多くの企業が、コーディングプロセスを加速させるためにAIを活用するようになっています。この急速なイノベーションの進展が続く環境で成功するために、多くの企業がDevSecOpsのベストプラクティスとシフトレフトの考え方を採用しています。しかし、AIコーディングアシスタントを使って開発の速度と生産性を向上させる中で、セキュリティの依存性が増加しています。AppSecチームは、増加する脆弱性を迅速に検出し、軽減するという複雑な作業に直面しています。Snykの新しいAI駆動の強化機能は、リスクを軽減しながら、開発者の生産性を最大化するために、より優れた検出、優先順位付け、迅速な修正を提供することを目的としています。

現在、DeepCode AI Fixが統合開発環境（IDE）に直接統合され、開発者は手書きのコードやサードパーティの生成AIコーディングアシスタントによるコードを、書くと同時に素早く修正できるようになりました。DeepCode AI Fixは、セキュリティユースケースとソースコードに特化して調整されており、ソースコードの最適な部分に修正を挿入することで、エラーが発生する可能性を最小限に抑えます。DeepCode AI Fixは、第三者のAIプラットフォームではなく、セルフホスト型のLLMを使用し、検証済みの修正提案を提供することで、市場において重要な差別化を図っています。これにより、顧客のコードが第三者のAIサービスに送信されることなく、セキュリティと精度が向上し、わずか2クリックで素早く修正が可能です。Snyk Codeを支えるエンジンの業界最速のスピードにより、SnykはDeepCode AI Fixに新たなセキュリティ脆弱性や遅延がないことを保証しています。

DeepCode AIは、SnykのAI駆動のリーチャビリティ機能の基盤となっており、アプリケーションの動作に直接影響を与える最も重要なリスクを特定し、優先順位を付けます。この機能により、高度かつ重大な脆弱性のリーチャビリティカバレッジは60%から90%に向上し、Snykのリスクスコアを構成するリスク要因の一つとして、ノイズを排除し、真のビジネスリスクに対して修正作業を集中させることが可能になっています。

これらの機能が組み合わさることで、開発者はセキュリティ問題に効率的に取り組むことができ、より安全な開発環境を促進し、影響力のある仕事を生み出すことが可能になります。

Snyk アナリティクスの改善

Snykアナリティクスの導入により、レポートと分析機能をさらに強化しました。これにより、セキュリティリーダーや実務者は、企業組織全体のアプリケーションセキュリティプログラムの健全性を効果的に評価するためのデータ分析ツールとフレームワークを利用できるようになります。Snykアナリティクスには、問題分析とアプリケーション分析に特化したダッシュボードが新たに追加されており、開発者のシフトレフト行動、SLA管理、ゼロデイ脆弱性に関する新しいレポートが含まれています。また、SnowflakeのAI Data Cloudとの統合により、さらに拡張性の高いオプションが提供されています。これらの改善により、アプリケーションセキュリティのリーダーは、カバレッジのギャップがどこにあるのか、リスクの管理をどのように最適化できるのか、また、修正の取り組みをどこで強化すべきか、そして将来のリスクを防ぐためにどのような対策が必要かを迅速に把握することが可能になります。

Snyk AnalyticsとSnowflakeの統合は、これらの機能をさらに強化し、組織が自社のSnowflakeデータ環境で、Snykの開発者セキュリティデータと他のセキュリティデータソースを一元的にアクセスできるようにします。これにより、AppSecのリーダーは、全体的なアプリケーションリスクの可視性と、組織全体のリスク状況に関するより多くのコンテキストを組み合わせることができ、セキュリティ態勢の改善や開発者の生産性向上に向けたより良い意思決定が可能になります。

Snyk AppRiskによる包括的なアプリケーションリスク管理

Snykは、DeepCode AIによるリーチャビリティ分析や、Snykリスク評価に新たに複数のリスク要因を組み込むことで、アプリケーションセキュリティリスク管理の最前線をさらに前進させています。。DeepCode AIを活用した到達可能性分析は、アプリケーションのコードを通じて、トランジティブパッケージを含むオープンソースパッケージ内の脆弱な関数を検出します。この新機能により、到達可能性のカバレッジは高脆弱性および重大脆弱性の90%にまで拡大しました。EPSS評価やパッケージの人気度などの既存のリスク要因と到達可能性を組み合わせることで、どの問題が最も大きなリスクをもたらすかを簡単に判断できるようになります。

Snykは、課題レベルのリスク要因に加えて、アプリケーションのアーキテクチャやビジネスの重要度、ランタイムの状態といったコンテキスト要因を追加することで、アプリケーションリスクを360°から捉えるパートナーおよび統合エコシステムを拡大しました。これにより、チームはこれまで以上に効果的にセキュリティリスクを管理できるようになります。ソースコード管理（SCM）システム、内部開発者プラットフォーム（IDP）、サービスカタログ、オブザーバビリティツール、クラウドおよびランタイムセキュリティといった主要なプラットフォームとの統合により、ビジネス目標やアプリケーションのパフォーマンスに沿った脆弱性の検出と管理が多方面で可能となります。これら2つのアップデートにより、企業は最も重要なセキュリティ問題に対して修復作業を集中できるようになり、効率とリスク管理プロセス全体の向上が実現します。

プルリクエストにおける開発者エクスペリエンスの向上

共同開発におけるコードレビューのプロセスである「プルリクエストワークフロー」は、AppSecチームにとって、開発の初期段階でセキュリティ上の懸念を発見し、修正するための戦略的なポイントとなり、重要な機会でもあります。Snykは、プルリクエストのエクスペリエンスを強化することで、開発者の時間を節約し、コンテキストの切り替えを減らし、よりスムーズな情報提供と対応が可能になります。セキュリティスキャン後には、開発者が使用するSCMツールのプルリクエストコメント内に、重大度別にランク付けされたセキュリティ所見の詳細なサマリーが直接表示されます。

さらに、開発者は、Snykが生成したプルリクエストのタイトル、説明、コミットメッセージをカスタマイズすることができ、組織のセキュリティ基準に合わせた調整が可能になります。これにより、コンテキストの頻繁な切り替えによる無駄を減らし、セキュリティ修正プロセスを効率化することで、開発者がワークフローを中断せずにセキュリティ問題に対処できるようになり、生産性を維持することができます。

Snykについて

Snyk はデベロッパーファーストのセキュリティプラットフォームです。コードやオープンソースとその依存関係、コンテナや IaC (Infrastructure as Code) における脆弱性を見つけるだけでなく、優先順位をつけて修正するためのツールです。Git や統合開発環境 (IDE)、CI/CD パイプラインに直接組み込むことができるので、開発者が簡単に使うことができます。

Snyk は現在、Asurion、Google、Intuit、MongoDB、New Relic、Revolut、Salesforce などの業界リーダーを含む、世界中の 2,500 社以上の顧客に利用されています。

ウェブサイト: https://snyk.io/jp

資料請求：https://go.snyk.io/jp-shiryoseikyu.html