脆弱性管理ツールSnykのライセンス販売から導入、運用支援までをワンストップで提供：セキュリティソリューション

日立システムズエンジニアリングサービスはSnykとリセラー契約を締結し、Snykの脆弱性管理ツールの販売と導入・運用支援を国内で開始すると発表した。

[後藤大地，有限会社オングス]

　日立システムズエンジニアリングサービスは2024年2月6日、脆弱（ぜいじゃく）性管理ツール「Snyk」を提供するセキュリティ企業Snykとリセラー契約を締結したと発表した。

　Snykは、開発者が使用するオープンソースのライブラリやコード内のセキュリティ問題を特定し、それらを解決するための情報や修正方法を提供するツールだ。日立システムズエンジニアリングサービスは、Snykの国内におけるライセンス販売から導入、運用支援までをワンストップサービスで展開する。

日立システムズエンジニアリングサービスはSnykのライセンス販売から導入、運用支援までをワンストップで支援する（出典：日立システムズエンジニアリングサービスのWebサイト）

ソフトウェアの脆弱性検査に新たな選択肢　提供されるSnyk関連サービスは

　米国では大統領令、欧州ではサイバーレジリエンス法などによってサイバーセキュリティ対策の規制強化が進んでいる。日本においても2022年から自動車のサイバーセキュリティおよびソフトウェアアップデートに関する国連法規（CS/SU法規）の施行、2023年に経済産業省が「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を公開、2024年1月にはECサイトにおける脆弱性対策と本人認証の導入義務化の方針を固めるなどの取り組みが進んでいる。

　日立システムズエンジニアリングサービスは「国内外でこうした規制強化が進む中、ソフトウェア脆弱性対応がより求められている。各種ソフトウェアの継続的な脆弱性対策を開発時点からサポートするSnykを利用することで、脆弱性を悪用したサイバー攻撃からのリスクを低減できる」と説明している。

　Snykから提供される製品は以下の通りだ。

• Snyk Open Source：　依存関係にあるオープンソースソフトウェアの脆弱性を解析
• Snyk Container：　コンテナイメージ内の脆弱性検知
• Snyk Infrastructure as Code：　IaC設定ファイルの脆弱性解析
• Snyk Code：　開発中のソースコードの脆弱性検査、静的解析

　日立システムズエンジニアリングサービスは以下の取り組みを開始し、今後拡充を予定している。

• Snykのライセンス販売
• Snykの導入支援サービス：　Snykと連携するソースコード管理ツール（SCM）との連携や他の開発ツールの設定などDevSecOps環境の構築を支援
• セキュリティ診断サービス：　Snykが提供する静的解析点検の他にアプリケーション診断やサーバ、ネットワークのインフラ診断などの動的解析点検も合わせて複合的な解析を提供