Snyk（スニーク）

従来のシステム開発手法における課題

多くのプロジェクトにおいて、システム開発の手法が、かつてのような用件定義、設計、開発、実装、テスト、リリース、運用のサイクルを順番に実施するウォーターフォール型から、そのサイクルを機能ごとに進めるアジャイル型へと変化しました。

また、ソフトウェアに共通する基本的な機能としてオープンソースライブラリを活用することで、開発・運用にかかるコストや手間を軽減しています。

一方で、開発手法の変化による課題も顕在化しています。多くの開発では、本番環境を構築する前にセキュリティゲートがあり、脆弱性チェックが行われますが、ここで脆弱性が発見されると、手戻りが発生し、開発者の生産性低下やリリーススケジュールに遅延が起きてしまいます。

またアジャイル開発でも、迅速なリリースを重視するためにセキュリティ対策が後回しになりがちです。オープンソースライブラリに脆弱性が含まれるケースもあり、開発者が意図せずに脆弱性を作り込んでしまう事例もあります。

世界最高レベルの脆弱性データベース

Snykの中核は、世界最高レベルともいえる脆弱性データベースです。複数のデータソースと独自のリサーチを活用し、専任のリサーチチームによって分類・整理された品質の高い脆弱性データベースを提供します。NVD（アメリカ国立標準技術研究所）などの脆弱性データベース内の既知脆弱性や修正を検証することや、脆弱性発見の懸賞金制度などによる新しい脆弱性の発見も行っています。

また、脆弱性データベースの情報は、主要なITベンダーが提供するセキュリティサービスへOEMとして供給しています。

開発者ファーストのサービス設計

様々な開発ツールと連携し、開発者が望むタイミングで、検査、自動修正をいたします。

クラウドネイティブアプリケーションを構成する、4種類のコードベースと稼働中のアプリケーションに対応

Snyk Open Source

ソフトウェアライフサイクルの初期段階やライフサイクル全体にわたって、プロジェクトと依存関係のあるオープンソースの既知の脆弱性やライセンス問題を自動的に発見し、優先順位をつけて修正します。開発者のワークフローにシームレスに統合できます。

Snyk Open SourceでSBOM生成

Snyk Open SourceでSBOM生成機能が利用できます（Enterprise Editionのみ）。

※ SBOMとは：
Software Bill of Materialsの略で「ソフトウェア部品表」と訳され、製品やソフトウェアに含まれるライブラリやモジュールをデータベース化したリストを指します。クラウド時代のアプリケーション開発においてSBOMを導入しセキュリティスキャンを行うことで、よりセキュアにアプリケーション開発が可能になります。

Snyk Open Sourceでは以下の機能によりSBOM生成をサポートします。

• SBOM APIおよびCLI
  Snykの開発者ファーストのAPIおよびCLIツールでSBOMを生成（SPDX V2.3、CycloneDX v1.4,1.5,1.6に対応）し、直接的な依存関係や推移的な依存関係を文書化することが可能です。
• Bomber Integration
  BomberはSBOMの脆弱性をスキャンするオープンソースのSCAツールです。Snykはプロバイダーとしてサポートされており、Bomberを使用しながらSnyk脆弱性データベースより直接、脆弱性情報を検索することおよびスキャン結果をファイル出力することが可能です。

---

Snyk Code

• IDEやGit、CI/CDパイプラインと連携し、開発ワークフローの変更を最小限に抑えた導入が可能。
• 発見された脆弱性には修正コード例を用いたアドバイスを提供。
• 開発中にスキャンすることで、シフトレフトが可能。
• 対応言語はPython、Java、JavaScript、TypeScript、C++/C#、PHPなど。

Snyk Codeの特長・他のSAST製品との違い

• 他のSASTツールより10〜50倍も速くセキュリティ脆弱性をスキャン。
• セマンティック解析を活用したコードのパフォーマンスとセキュリティバグ調査。
• 他のSASTツールより極めて少ない誤検知で開発者が作業しやすく、効率的に修正可能。
• スキャンの結果、検知した脆弱性にスコアを付け、深刻度が高い順に一覧表示し、それらに対する修正方法を提供。
• パイプラインにセキュリティ統合することで、本番環境に入り込むことの多い脆弱性や問題から保護。
• ライセンスはユーザ数（リポジトリにソースコードをコミットするユーザ数）でカウントされ、ソースコードの量やセキュリティテスト回数を気にせず利用可能。

---

Snyk Infrastructure as Code（IaC）

開発者やアプリケーションチームが、デプロイする前にコード内の設定上のセキュリティ問題を特定できるようにします。開発中にTerraformやKubernetesのIaC問題を発見し、修正するための開発者に特化したアドバイスを提供します。

Snyk IaCがコードをスキャンする以外にも、代表的なIaCツールであるTerraformと組み合わせて利用することができます。

パターン1：GitHub Actionsに組み込む

パターン2：Terraform Run Tasksに組み込む

---

Snyk Container

※ Snyk ContainerはSnyk Open Sourceとのセット購入が必要です

Snyk Containerは、ベースイメージやOSライブラリ、パッケージを解析し、脆弱性を検出・可視化します。また、CI/CDパイプラインやコンテナレジストリと連携することで、リリース前のチェックだけでなく、運用中のイメージに対する継続的なリスク管理も実現できます。

---

Snyk Web&API

実行中アプリの脆弱性を継続的に検出

Snyk Web&APIは、稼働中のWebアプリケーションおよびAPIを対象に、攻撃者と同じ視点で脆弱性を検出する動的アプリケーションセキュリティテスト（Dynamic Application Security Testing）です。SAST（静的解析）やSCA（ソフトウェアコンポジション解析）だけでは発見しづらい「実行時にのみ顕在化する脆弱性」や「認証後の画面・内部API」に対して検査を行い、リリース前後を問わず継続的なセキュリティ向上を支援します。

静的解析だけでは防げない"実運用のリスク"をカバー

SASTやSCAは、開発工程の早い段階での対策に非常に有効です。一方で、以下のようなリスクは静的解析だけでは見落とされることがあります。

• 実際の動作条件（認証・セッション・権限）でのみ発生する脆弱性
• Webアプリの設定不備、実装と設定の組み合わせで発生する問題
• APIの公開範囲や入力値の取り扱いに起因する実行時の脆弱性
• リリース後に増えるエンドポイントや機能追加に伴う攻撃面の拡大

Snyk Web&APIはこれらを補完し、アプリケーションが動いている状態で検査することで、より実態に近いリスクを発見できます。

WebとAPIをまとめて検査。開発の流れを止めないDAST

Snyk Web&APIは、WebアプリケーションとAPIの双方を対象に、継続的なスキャンを実現します。単なる診断ツールではなく、開発のワークフローに組み込みやすい形で提供されるため、DevSecOpsを推進します。

• Webアプリ/APIの両方に対応
  WebとAPIを別ツールで運用する必要がなく、統一された運用設計でスキャンを実施できます。
• 認証が必要な画面・APIの検査に対応
  ログイン後の画面や内部 API など、攻撃リスクが高い領域も含めて検査できます。
• モダンWeb アプリ（JavaScript/SPA）にも対応したクローリング
  従来の DAST では検査が難しい SPA 構成の画面遷移も含め、テスト対象を広くカバーします。
• 誤検出を抑えてアラート疲れを回避
  世界最小の誤検知率（0.08%）でノイズが少なく、意味のある検出結果のみに集中することができます。
• 結果の共有・トリアージを効率化
  脆弱性の重要度や影響範囲を把握しやすく、修正優先度の判断を支援します。

よくあるご質問

Snykを導入するには専用サーバを用意する必要がありますか？

SnykはSaaS型のサービスになります。お客様にて専用サーバを用意する必要はありません。

オンプレミスのGit環境とSaaSであるSnykを接続する際に必要なものはありますか？

Snyk Brokerを設置します。Snyk BrokerはSnykとGitリポジトリ間のアクセスをプロキシするためのツールです。

Snykの料金体系を教えてください

Snykはユーザ数（リポジトリにソースコードをコミットするユーザ数）のみで費用が決まります。価格の詳細は弊社営業担当までお問い合わせください。

価格

個別にお見積りいたしますので、お気軽にお問い合わせください。