[Snyk] IPAの「クラウドサービス安全利用の手引き」で参考になりそうなSnykの参考情報をまとめてみた

Snykを始めとした様々な便利なSaaSがありますが、いざ業務で使おうとすると、社内・組織の承認が必要になる場合が多いと思います。 そんなときに便利なのが、IPAが公開しているクラウドサービス安全利用の手引きです。

• 中小企業の情報セキュリティ対策ガイドライン：IPA 独立行政法人 情報処理推進機構
  • 付録6： クラウドサービス安全利用の手引き
  • 2019.3.19 Version 2.0
  • https://www.ipa.go.jp/files/000072150.pdf

本記事では、上記のクラウドサービス安全利用の手引きを参考にして、Snykの関連リンクを紹介していきます。

おすすめの方

• Snykを使うにあたって、社内承認に必要な参考情報を知りたい方

はじめに

• 本記事の内容を参考にすれば、100％OKというわけではありません
• あくまでも参考情報であり、会社や組織などで最終判断をしてください
• 2022年7月時点の情報です
• 下記ページにかなりまとまっています。まずご覧ください。
  • Snyk Security Portal | SafeBase

I. 選択するときのポイント

1. どの業務で利用するか明確にする

どの業務をクラウドサービスで行い、どの情報を扱うかを検討し、業務の切り分けや運用ルールを明確にしましたか？

会社・組織毎に明確化してください。

2. クラウドサービスの種類を選ぶ

業務に適したクラウドサービスを選定し、どのようなメリットがあるか確認しましたか？

Snykに関する説明は、下記が参考になります。

• What is Snyk? | Snyk
• 【無料トライアル】セキュリティの「めんどくさい」を解決したい！デベロッパーファーストのSnyk入門編 - Qiita

メリットとしては、下記が挙げられます。

• オープンソースの依存関係をチェックして、修正案を提示してくれる
• ソースコードの脆弱性をチェックして、修正案を提示してくれる
• オープンソースのライセンスをチェックして、意図しないライセンスのライブラリ利用を提示してくれる
• コンテナやIaC(Infrastructure as a Code) の脆弱性をチェックして、修正案を提示してくれる

3. 取り扱う情報の重要度を確認する

クラウドサービスで取扱う情報が漏洩、改ざん、消失したり、サービスが停止した場合の影響を確認しましたか？

Snykはリポジトリを参照するため、影響は参照するリポジトリによって異なると思いますので、会社・組織で確認してください。

4. セキュリティのルールと矛盾しないようにする

自社のルールとクラウドサービス活用との間に矛盾や不一致が生じませんか？

会社・組織毎に確認してください。

5. クラウド事業者の信頼性を確認する

クラウドサービスを提供する事業者は信頼できる事業者ですか？

下記などの情報を元にして、会社・組織で確認してください。

• Snyk社について
  • About Snyk | Snyk
• セキュリティ・コンプライアンス・認定など
  • Secure by Design | Snyk
  • Snyk for Government | Snyk
  • Snyk Security Portal | SafeBase
• Snykを利用している顧客
  • Customers | Snyk
• 利用規約
  • Terms of Service | Snyk
• 利用規定
  • Policies - Acceptable use policy | Snyk
• プライバリーポリシー
  • Policies - Privacy | Snyk

6. クラウドサービスの安全・信頼性を確認する

サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービス品質保証は示されていますか？

• Risk Profileに記載があります
  • Snyk Security Portal | SafeBase
• Snykのステータス
  • Snyk Status

II. 運用するときのポイント

7. 管理担当者を決める

クラウドサービスの特性を理解した管理担当者を社内に確保していますか？

会社・組織毎に確認してください。

8. 利用者の範囲を決める

クラウドサービスを適切な利用者のみが利用可能となるように管理できていますか？

会社・組織毎に確認してください。

9. 利用者の認証を厳格に行う

パスワードなどの認証機能について、適切に設定・管理は実施できていますか？（共有しない、複雑にするなど）

会社・組織毎に確認してください。Snykの認証管理やメンバー管理は、下記が参考になります。

• User and group management - Snyk User Docs
• [snyk-docs] オーガニゼーションのユーザー管理 (Manage users in your organizations) - Qiita

10. バックアップに責任を持つ

サービス停止やデータの消失・改ざんなどに備えて、重要情報を手元に保管して必要なときに使えるようにしていますか？

Synk自体がサービス停止しても、ソースコード等には影響が無いと思います。 Synkでチェックした内容は、レポートとしても表示されます。このレポートをダウンロードすることができます。

• Manage users in your organizations - Snyk User Docs

III. セキュリティ管理のポイント

11. 付帯するセキュリティ対策を確認する

サービスに付帯するセキュリティ対策が具体的に公開されていますか？

下記に具体的な記載があります。

• Snyk Security Portal | SafeBase

12. 利用者サポートの体制を確認する

サービスの使い方が分からないときの支援（ヘルプデスクやFAQ）は提供されていますか？

• サポート
  • Support Portal | Snyk
• ドキュメント
  • Snyk User Documentation - Snyk User Docs

13. 利用終了時のデータを確保する

サービスの利用が終了したときの、データの取扱条件について確認しましたか？

下記の2.9に削除または返還する旨の記載があります。

• Data Processing Addendum | Snyk

14. 適用法令や契約条件を確認する

個人情報法保護などを想定し、一般的契約条件の各項目について確認しましたか？

• 利用規約やプライバリーポリシーなどの文章を確認してください
  • Secure by Design | Snyk
  • Terms of Service | Snyk
  • Policies - Acceptable use policy | Snyk
  • Policies - Privacy | Snyk

15. データ保存先の地理的所在地を確認する

下記が参考になると思います。

• [snyk-docs] Snyk における顧客所有データの管理 (How Snyk handles your data) - Qiita
• Where is Snyk hosted ? – Support Portal | Snyk
• Sub-Processors | Snyk

さいごに

Snyk導入の助けになれば幸いです。

参考

• 中小企業の情報セキュリティ対策ガイドライン：IPA 独立行政法人 情報処理推進機構
• 『クラウドサービス安全利用のすすめ』のすゝめ | DevelopersIO