Snykの新製品!DAST製品 「Probely」 について見ていく
2025.04.11おはようございます。
ゲームソリューション部のきだぱんです。
昨年11月、Snyk社はAPIセキュリティテストおよびWebアプリケーションのテストに対応した動的アプリケーションセキュリティテスト(DAST)プロバイダー「Probely」を買収したことを発表しました。
Snyk社のCEOであるピーター・マッケイ氏は次のように述べています。
「信頼性のある生成AIの導入をさらに加速させたい世界のセキュリティリーダーにとって、Probelyの技術と専門知識の統合は、Snykプラットフォームの価値をさらに高めるものとなります。」
また、Probely社のCEO兼共同創設者であるヌノ・ロウレイロ氏も、
「Snykと同様に、Probelyも設立当初から開発者が安全に構築できるようにすることに注力してきました。この共通の価値観に基づき、より多くの価値を顧客に提供できることを誇りに思います。」
と語っています。
SASTとDASTについて
SASTの基本概念
SAST(Static Application Security Testing:静的アプリケーションセキュリティテスト) は、アプリケーションのソースコードを実行せずに解析し、セキュリティ上の脆弱性を特定する手法です。
開発プロセスの早期段階で実施できる「シフトレフト」なセキュリティテストとして、注目を集めています。
- SQLインジェクションの可能性がある危険なクエリ
- クロスサイトスクリプティング(XSS)の脆弱性
- 安全でない暗号化アルゴリズムの使用
- ハードコードされたパスワードや機密情報
- バッファオーバーフローの可能性があるコード
- その他、セキュリティベストプラクティスに反するコーディングパターンなど
また、SASTはホワイトボックステストの一種として、アプリケーションの内部構造を直接分析できる特徴を持っています。
コードの内部構造やロジックを直接確認し、アプリケーションの動作原理に基づいた詳細な分析が可能です。
開発サイクルの早い段階でセキュリティ上の問題を特定できるため、修正コストを最小限に抑えることが可能です。
SASTは効果的なセキュリティテスト手法として、多くの開発プロジェクトで採用されています。
DASTの基本概念
DAST(Dynamic Application Security Testing) は、実行中のアプリケーションに対して実際の攻撃をシミュレートすることで、セキュリティ脆弱性を検出する手法です。
DASTはブラックボックステストの一種として位置づけられています。
アプリケーションの内部構造や実装の詳細を知ることなく、外部からの入力と出力のみを観察してテストを行うアプローチをします。
また、DASTは実行時の脆弱性を検出できる点が大きな特徴です。
アプリケーションが実際に動作している状態でテストを行うため、静的な分析では見つけることが難しい実行時の問題や、環境に依存する脆弱性を発見することができます。
SAST(静的セキュリティテスト)とDAST(動的セキュリティテスト)
SASTとDAST(Dynamic Application Security Testing)は、それぞれ異なるアプローチでセキュリティテストを行います
| 特徴 | SAST | DAST |
|---|---|---|
| 分析対象 | ソースコード | 実行中のアプリケーション |
| テストタイミング | 開発初期から可能 | アプリケーション実装後 |
| 検出可能な脆弱性 | 設計上の問題、コーディングの問題 | 実行時の脆弱性、環境依存の問題 |
Snykとは
では、Snykとは何なのか。
Snykは SAST機能 を持つ製品です。
Snyk(スニーク)はデベロッパーファーストのセキュリティプラットフォームです。
Snykは、コードやオープンソースとその依存関係、コンテナやIaC(Infrastructure as a Code) における脆弱性を見つけるだけでなく、優先順位をつけて修正するためのツールです。 Gitや統合開発環境(IDE)、CI/CDパイプラインに直接組み込むことができるので、デベロッパーが簡単に使うことができます。
Snyk は、Java、.NET、JavaScript、Python、Golang、PHP、C/C++、Ruby、Scalaなど、多くの言語とツールをサポートしています。
また、Docker、Terraform、k8s、Infrastructure as Codeのファイルスキャンもサポートしています。
Snykには、Snyk Open Source、Snyk Container、Snyk Infrastructure as Code、Snyk Codeの 4つの製品があります。
Probelyとは
Probelyは DAST機能 をもつ製品です。
ProbelyはWebサイトのセキュリティ状態を簡単に分析・評価できるツール「Security Headers」を提供しており、多くのユーザーに活用されています。
近年、企業のデジタルトランスフォーメーションが加速する中、APIやWebアプリケーションの数は爆発的に増加しています。
Probelyは、DAST(Dynamic Application Security Testing)ツールとして、組織のデジタル資産を継続的に発見・監視し、脆弱性を検出する包括的なセキュリティスキャン機能です。PCI-DSS、OWASP TOP 10、ISO27001などの主要な規制やセキュリティ基準を元に、詳細なスキャン結果を確認できます。
-
API脆弱性スキャン
現代のアプリケーションアーキテクチャの中核を担うAPIのセキュリティは特に重要です。
ProbelyはOpenAPI(Swagger)仕様やPostmanCollectionをサポートし、マイクロサービスアーキテクチャにも対応した包括的なスキャンを提供します。 -
Asset Discovery機能
ProbelyではAsset Discovery(資産検出)が可能です。
組織が保有するAPIやWebアプリケーションを特定し、継続的な監視を可能にします。 -
Webアプリケーション
従来のスキャナーでは対応が難しかったモダンなWebアプリケーションも、Headless-Chromeベースにより、JavaScriptを多用したSPA(Single Page Application)でも正確にクロールとテストが可能です。
- DevSecOps
開発チームの生産性を妨げることなくセキュリティを確保するため、Probelyは主要な課題管理ツールとの連携をサポート。APIを通じた柔軟な統合により、既存の開発フローに組み込むことができます。
- report機能
検知された脆弱性情報は、具体的な修正手順を含む詳細なレポートとして提供されます。
さいごに
DAST機能をこれから始めたい方にとってProbelyは注目していきたい製品だと思いました。
Probelyについてのブログもこれからたくさん執筆していきたいと思います!
Snyk社による「Snykの動的解析(DAST)ご紹介ウェビナー」も公開されております。
ぜひこちらも併せてご覧ください!
この記事がどなたかのお役に立てば幸いです。
以上、きだぱんでした。
