Contrast Securityが、AWS Lambda用脆弱性検査ツールを無償で提供開始：Azure Functionsにも対応予定

Contrast Securityがサーバレスの脆弱性ツールを正式リリースした。AWS Lambdaに対応し、最小権限構成をはじめとしたチェックを行う。開発者がセルフサービスで利用できる。

[三木泉，＠IT]

　Contrast Securityは2022年6月7日、 開発コードおよびサーバレス（FaaS）を対象とした脆弱性スキャンツール「Contrast CodeSec」を正式リリースした。Contrastの既存製品を使っているかどうかにかかわらず、無償で使える。

　CodeSecは開発者がセルフサービスで使えるセキュリティツール。GitHubあるいはGoogleのIDで認証できる。

　CodeSecには2つの機能がある。CodeSec - ScanはJava、JavaScript、.NETのコードをスキャンし、CodeSec-Serverlessはサーバレス（FaaS）をスキャンする。双方ともシンプルなコマンドラインインタフェースで推奨する対処方法が示される。

　特にサーバレスのスキャンはユニークな機能だ。正式リリース前から日本国内の大手SI事業者2社、金融機関4社がテストあるいは正式導入で利用しているという。

CodeSec-ServerlessはCloudFormationでLambdaプラグインとして組み込める

　一般に、サーバレスではインフラの管理が不要で、関数の実行は短時間に限られることから侵害を受けにくく、自動でスケールするためDoS攻撃にも強いと考えられている。そのためセキュリティ面での対策がおろそかになりがちだ。しかし、個々のサーバレス関数を通じ、これがアクセスしているクラウドリソースや、使用しているOSSライブラリが攻撃されるおそれがあると、Contrast Security Japanの梶原史雄氏は話す。