検索
ニュース

「DevSecOps」を始める4つのコツ、まずは何から?2種類のスキャンが重要

サイバーセキュリティツールベンダーのPortSwiggerは、最近導入が進んでいる「DevSecOps」について解説したブログ記事を公開した。2種類のスキャンが重要なものの、いったん始めた取り組みを拡大する際に注意が必要なのだという。

Share
Tweet
LINE
Hatena

 サイバーセキュリティツール「Burp Suite」を手掛けるPortSwiggerは2021年1月28日(米国時間)、最近導入が進んでいる「DevSecOps」の取り組みについて、どのように始めればよいのか、コツを紹介するブログ記事を公開した。

 DevSecOpsは、ユーザーに素早く価値を提供しつつ、セキュアなサービスを運用する手法として注目されている。PortSwiggerの顧客調査によれば、調査のためにサンプリングした大企業の42%が、DevSecOpsに投資しているという。

 ブログ記事は、Dropboxのプロダクトセキュリティエンジニアを務めるアレクサンドル・クラスノフ(Aleksandr Krasnov)氏へのマット・アトキンソン(Matt Atkinson)氏のインタビューに基づいている。クラスノフ氏はDevSecOps全般の専門家で、多くのシリコンバレー企業で実装に携わってきた。バグバウンティハンターでもあり、特にキャプチャーザフラッグ(CTF)チャレンジへ積極的に参加しているという。

まず自社のWeb資産全体をスキャン

 クラスノフ氏が真っ先に挙げるコツは、自社のWeb資産に対して脆弱(ぜいじゃく)性スキャンをかけることだ。どこにセキュリティホールがあるのかをまず見つけることで、修正する際の優先順位付けに着手できる。

 Webアプリケーションにセキュリティホールは付き物であり、素早く脆弱性を修正するか、または後で修正するかにかかわらず、まず問題を把握することが重要だ。

動的スキャンは欠かせない

 DevSecOpsにおけるスキャンは脆弱性スキャンだけではない。次に動的スキャンを実行すべきだという。

 動的スキャンには複数の種類があるものの、まずは実際にアプリケーションを動作させて検査する「Dynamic Application Security Testing」(DAST:動的セキュリティテスト)が望ましいという。DASTスキャンは、サイバー犯罪者が防御を破るために脆弱性を調査する作業をエミュレートしているからだ。

 DASTスキャンには、業務にかかる負担が少ないという特徴がある。

 チェックインのたびにテストする「Interactive Application Security Testing」(IAST:対話型アプリケーションセキュリティテスト)のような方法は複雑で運用負荷がかかる。

開発チームの準備状況に合わせて漸進的に進める

 クラスノフ氏によれば、DevSecOpsエンジニアの役割はこうだ。開発者がより円滑かつストレスなく、仕事ができるようにすることに尽きる。

 「DevSecOpsに取り組み始めた企業は、まずDevOpsの足掛かりを固めるべきなのか」という質問に対し、同氏は「ノー」と答えた。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る