サイバーセキュリティツールベンダーのPortSwiggerは、最近導入が進んでいる「DevSecOps」について解説したブログ記事を公開した。2種類のスキャンが重要なものの、いったん始めた取り組みを拡大する際に注意が必要なのだという。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
サイバーセキュリティツール「Burp Suite」を手掛けるPortSwiggerは2021年1月28日(米国時間)、最近導入が進んでいる「DevSecOps」の取り組みについて、どのように始めればよいのか、コツを紹介するブログ記事を公開した。
DevSecOpsは、ユーザーに素早く価値を提供しつつ、セキュアなサービスを運用する手法として注目されている。PortSwiggerの顧客調査によれば、調査のためにサンプリングした大企業の42%が、DevSecOpsに投資しているという。
ブログ記事は、Dropboxのプロダクトセキュリティエンジニアを務めるアレクサンドル・クラスノフ(Aleksandr Krasnov)氏へのマット・アトキンソン(Matt Atkinson)氏のインタビューに基づいている。クラスノフ氏はDevSecOps全般の専門家で、多くのシリコンバレー企業で実装に携わってきた。バグバウンティハンターでもあり、特にキャプチャーザフラッグ(CTF)チャレンジへ積極的に参加しているという。
クラスノフ氏が真っ先に挙げるコツは、自社のWeb資産に対して脆弱(ぜいじゃく)性スキャンをかけることだ。どこにセキュリティホールがあるのかをまず見つけることで、修正する際の優先順位付けに着手できる。
Webアプリケーションにセキュリティホールは付き物であり、素早く脆弱性を修正するか、または後で修正するかにかかわらず、まず問題を把握することが重要だ。
DevSecOpsにおけるスキャンは脆弱性スキャンだけではない。次に動的スキャンを実行すべきだという。
動的スキャンには複数の種類があるものの、まずは実際にアプリケーションを動作させて検査する「Dynamic Application Security Testing」(DAST:動的セキュリティテスト)が望ましいという。DASTスキャンは、サイバー犯罪者が防御を破るために脆弱性を調査する作業をエミュレートしているからだ。
DASTスキャンには、業務にかかる負担が少ないという特徴がある。
チェックインのたびにテストする「Interactive Application Security Testing」(IAST:対話型アプリケーションセキュリティテスト)のような方法は複雑で運用負荷がかかる。
クラスノフ氏によれば、DevSecOpsエンジニアの役割はこうだ。開発者がより円滑かつストレスなく、仕事ができるようにすることに尽きる。
「DevSecOpsに取り組み始めた企業は、まずDevOpsの足掛かりを固めるべきなのか」という質問に対し、同氏は「ノー」と答えた。
Copyright © ITmedia, Inc. All Rights Reserved.