Contrast Securityが、AWS Lambda用脆弱性検査ツールを無償で提供開始:Azure Functionsにも対応予定
Contrast Securityがサーバレスの脆弱性ツールを正式リリースした。AWS Lambdaに対応し、最小権限構成をはじめとしたチェックを行う。開発者がセルフサービスで利用できる。
Contrast Securityは2022年6月7日、 開発コードおよびサーバレス(FaaS)を対象とした脆弱性スキャンツール「Contrast CodeSec」を正式リリースした。Contrastの既存製品を使っているかどうかにかかわらず、無償で使える。
CodeSecは開発者がセルフサービスで使えるセキュリティツール。GitHubあるいはGoogleのIDで認証できる。
CodeSecには2つの機能がある。CodeSec - ScanはJava、JavaScript、.NETのコードをスキャンし、CodeSec-Serverlessはサーバレス(FaaS)をスキャンする。双方ともシンプルなコマンドラインインタフェースで推奨する対処方法が示される。
特にサーバレスのスキャンはユニークな機能だ。正式リリース前から日本国内の大手SI事業者2社、金融機関4社がテストあるいは正式導入で利用しているという。
一般に、サーバレスではインフラの管理が不要で、関数の実行は短時間に限られることから侵害を受けにくく、自動でスケールするためDoS攻撃にも強いと考えられている。そのためセキュリティ面での対策がおろそかになりがちだ。しかし、個々のサーバレス関数を通じ、これがアクセスしているクラウドリソースや、使用しているOSSライブラリが攻撃されるおそれがあると、Contrast Security Japanの梶原史雄氏は話す。
対策を講じるにも、既存ツールや手動による解析に頼るのでは過検知や検出不能な部分があるなどの問題があり、時間がかかる。そこでContrastでは、サーバレスに特化した脆弱性検査ツールを開発したのだという。
CodeSec-ServerlessはAWS Lambda(Python、Javaによる関数)に対応し、主に次の3つを実行できる。
- Lambda関数からアクセスできるクラウドリソースへのアクセス権限が、最小権限構成となっていない場合に指摘する
- SQLインジェクション、OSコマンドインジェクションなどのインジェクション攻撃が可能な脆弱性を検出する
- Lambda関数が使うOSSライブラリの脆弱性を検出する
Contrast Securityのツールは全て高速性が特徴の1つで、CodeSec-Serverlessでも利用開始後10分程度で脆弱性検知が終わることが、既存ユーザー企業の経験から明らかになっているという。
CodeSec-Serverlessは、2022年中にAzure Functionsへの対応を完了する予定。
Copyright © ITmedia, Inc. All Rights Reserved.