新興セキュリティベンダーSnykのVPにインタビュー。デベロッパーファーストセキュリティとは？

アプリケーションセキュリティを強化させるソリューションを開発販売するSnykのVP of Product MarketingであるRavi Maira氏が来日した。そのMaira氏に、日本の総責任者であるカントリーマネージャーの秋山将人氏同席のもとインタビューに応えてもらった。運用や統制部門が行うセキュリティではなくデベロッパーが開発プロセスに組み込むことで、シフトレフトを促進するデベロッパーファーストセキュリティの概要、開発作業が外部に委託されている日本企業の情報システム開発おける課題やパートナー向けプログラム、課金体系などについて意見を聞いた。

インタビューに応えたMaira氏（左）と秋山氏（右）

自己紹介をお願いします。

Maira：SnykのVP of Product MarketingのRavi Mairaです。2019年にSnykに参加する前はAkamai Technologiesに約17年在籍していました。1999年にAkamaiに入社した当時の売上規模は4百万ドル前後でしたが、ご存じのようにそれからAkamaiは急成長して私がAkamaiを辞めた時には30億ドルという規模になっていました。Snykの創業者とはAkamai在籍中に知り合いました。その後、いくつかの小さな会社を経てCEOに誘われる形でSnykに入社しました。その当時の社員数は約200名でしたが、今はかなり増えて1,400名くらいまでに拡大しています。

プロダクトマーケティングのトップということですが、エンジニアリングとマーケティングの中間にいるというのは時に難しくないですか？

Maira：そんなに難しくはないですね。エンジニアリングチームとセールスの向こうにいる顧客の中間にはいますが、エンジニアリングチームはこういう新機能を作りたい、でも顧客は「今使っているこの製品には不満があるがこの部分は前の製品と同じようにしてくれ」と言われることはあります。その場合は良く顧客の声を聞いて、実際のところ「何が問題なのか？」を突き止めることが重要です。その根本の痛みを解決できれば顧客は満足するはずですから。従来のセキュリティベンダーとは異なり、Snykはデベロッパーファーストセキュリティをテーマに製品開発を行っていますので、デベロッパーのワークフローを常に注目し、デベロッパーが使いやすいように製品を作ることを優先しています。

トートバッグに印刷されたSnykのロゴ。日本人の感覚だとちょっと怖いドーベルマン？

デベロッパーがセキュリティを開発作業の中に組み込んでシフトレフト、つまりより早い段階からセキュリティを実装するのが目的だと思いますが、日本の多くの企業ではソフトウェアの仕様は決めるものの、開発作業は外部に委託する形が多いと思います。つまりユーザー企業の中にはプログラムを書くデベロッパーがいないという状況ですね。そのような状況であってもSnykのデベロッパーファーストは適用可能ですか？

Maira：日本企業では多くの場合、そのような状況になっているというのは知っています。その結果、システムやアプリケーションの更新が半年に一回しか行われないというようなことですよね。しかしたとえ外部に委託する形でソフトウェア開発が行われていても、グローバルな競争の中で見れば、それでよしとするのですか？ という疑問が出てきます。海外の競争相手は皆アジャイルにソフトウェア開発を行い、日々アプリケーションを改良しているわけです。そういう状況でウォーターフォール型のソフトウェア開発をこれからも続けるのですか？ ということです。ですので企業における開発のスタイルは違ってもデベロッパーがセキュリティを意識するということの価値は変わらない、デベロッパーに対して使いやすいツールを提供するということは必要だし、可能だと思っています。

Snykの他のベンダーとの差別化ポイントは？

Maira：セキュリティには多くの領域があります。デベロッパー向けのセキュリティであればGitHubやGitLabなども機能拡張の一つとしてセキュリティを提供していますので競合になり得ますし、従来のセキュリティベンダーも存在します。今や、Datadogなどの監視ツールのベンダーもセキュリティを売り物にしようとしています。

しかしSnykは3年前に「デベロッパーファーストセキュリティ」を最初に提唱していた企業です。3年前はそんなことを言っている会社はありませんでしたが、今や多くのセキュリティベンダーがデベロッパー向けセキュリティの必要性を語っています。調査会社であるガートナーが行っているマジッククォドラントのアプリケーションセキュリティテストの分野では、2023年にSnykがリーダーのポジションに位置付けられました。過去にはヴィジョナリーという位置にいましたが、それが今年はリーダーであると認められたわけです。その意味では他社との差別化はできていると思いますね。

デベロッパー向けのセキュリティの大きなチャレンジの一つは、さまざまなツールとの連携ができるかどうかだと思います。デベロッパーはいろいろなツールや言語を使ってアプリケーションを開発しています。そのために多くのツールと連携できることが必要になります。GitHubの例を挙げれば、GitHubのセキュリティにはGitHubリポジトリを使い、GitHub Actionsを使ってCI/CDをすることが前提条件になりますが、すべてのデベロッパーが一つのツール、プラットフォームに限定されるのは良い方向ではないと思います。またセキュリティを提供する会社が運用側からデベロッパー側に向かってセキュリティの機能を追加するのではなく、Snykはデベロッパー自身がセキュリティをどこに組み込めばいいのか？ を考えている、デベロッパー側の会社、デベロッパー指向の会社であるということも差別化のポイントだと思います。

Snykにとってのチャレンジは？

Maira：Snykのチャレンジは「いかに速くデベロッパーにリーチするか？」でしょうね。生成型AIの影響もあると思いますが、デベロッパーを取り巻く環境は激変しています。その中でデベロッパーがセキュリティに取り組むことを意識してもらう必要があります。2番目のチャレンジはレガシーなアプリケーションが多く存在する業界への対応ですね。例えば金融業界にはCOBOLで書かれた多くのアプリケーションがまだ実際に稼働しています。そのような状況においてレガシーなアプリケーションへの対応が必要になってくる場合があります。3番目はSnykの顧客が変わってきたということに関係しますが、これまではスタートアップやソフトウェアに親和性の高い先進的な顧客が大部分だったのですが、最近はトラディショナルな製造業や販売業、メディアなどの顧客が増えて過半数になろうというところまで来ています。そういう顧客への対応はこれまでのやり方とは少し変えていかないといけないとは思っています。

Snyk誕生のエピソードをまとめたコミックを作成

日本市場でのチャレンジは？

秋山：日本のエンタープライスの企業も、これまでのウォーターフォール的にアプリケーションを開発してテストをしてその後にセキュリティを追加するという発想から少しずつ変わってきているとは思いますが、それを加速することですね。それと開発を外部に出すのが現実という部分で言えば、Snykとエンドユーザーという関係以外にエンドユーザーと開発を行うシステムインテグレーターそしてSnykという関係が必要になります。その部分にはManaged Security Service Providers Program（MSSP）というパートナー向けのプログラムがあります。これは受託ソフトウェア開発企業がMSSPとしてSnykと契約を行い、お客様に対してDevOpsでの開発サービスを提供している時にSnykのセキュリティサービスを提供するという形態です。

Maira：これについては私からもコメントします。先ほど生成型AIのことを少しだけ触れましたが、デベロッパーにとっては生成型AIによってコードを書くという作業が劇的に変化しています。ということはこれまで以上にデベロッパーの生産性が向上してより少ない人数でさまざまなタイプのアプリケーションやコードを開発することが可能になるわけです。つまりSnykが現在提供しているようなデベロッパーの数に比例した課金体制というのは実態に即さないようになります。ですので人数ではなく企業の持つアセット、資産に対応して課金するモデルに移行したいと考えています。

API GatewayのKongがAPI Gatewayのコール数での課金ではなく管理者IDの数で課金するみたいな方向性ですね。

Maira：そうですね。生成型AIによって誰もがデベロッパーになれる時代が来て、英文でプログラムが書けるようになった時に、その人もデベロッパーとして課金対象になるのか？ というのは考えていく必要がありますよね。

最後にSnykといえばこのロゴの犬のイラストですが、これの由来は？

Maira：これは創業者が飼っていた犬がモデルなのですが、犬の写真が彼のオフィスに多く飾られていたのでそれをイラストとして採用したということですね。彼の名前はパッチ（Patch）と言います。セキュリティというと怖いとか厳しいというイメージがありますが、フレンドリーなドーベルマンということでちゃんとセキュリティを守る役割でいながら、友好的なイメージになっているんじゃないかなと思いますよ。Snykの創業時のエピソードをマンガにしたものも日本側で作ってくれましたのでそれもぜひ、参考にしてください。

トートバッグとSnyk誕生のエピソードをマンガ化した冊子を持つMaira氏と秋山氏