基本情報
企業:IT セキュリティー企業
業界:IT
地域:北米
製品:HCL AppScan
課題
お客様は、以下のようなビジネス上の課題を抱えていました。
- 現在のSDLCプロセスを中断することなく、自社製品のセキュリティ保護を改善すること。
- 新バージョンの出荷を遅らせる可能性のあるセキュリティ問題の発生確率を低減すること。
ソリューション
インタラクティブ・アプリケーション・セキュリティ・テスティング (IAST) をお客様の既存のQAプロセスに統合し、自動テスト、手動テスト、サニティ・テストを活用することで、アプリケーション・セキュリティ・テスト (AST) の適用範囲を拡大し、DevOps を DevSecOps に変革する。
結果
IASTエージェントから報告されたフルコールスタックやエクスプロイトの例などのセキュリティ問題の情報記録により、ASTカバレッジと修復プロセスが改善された。
展開プロセスには驚かされました。TomcatにWARファイルをデプロイするよりも、もっと複雑なことを期待していたのですから。
テクニカルマネージャー DevOpsチーム
詳細
IAST のビジネスケース
この会社は、すでにSDLCの一部としてDASTを活用していましたが、そのほとんどは後期段階でした。この一般的な手法は良い結果をもたらしましたが、いくつかの欠点がありました。
- 重要なセキュリティ脆弱性が発見された場合、新しいバージョンが出荷される前の最後のステップの1つとしてDASTが導入されていたため、リリースの遅延が発生していた。DASTスキャナの詳細情報が少ないため、セキュリティ脆弱性の修正作業が大変であった。
- コードを書いてから脆弱性を発見するまでに、かなりの時間差があった。
IAST の導入
この会社では、コードベースの規模と複雑さのために、大規模な品質保証 (QA) プロセスを採用しています。このQAプロセスには、単純なサニティシナリオから複雑なエッジケースまで、自動および手動のテストが含まれています。また、新しいバージョンが出るたびに機能が追加されたため、QAプロセスにさらなるテストが導入されました。
QAインフラはDockerベースで、Jenkinsを使ってオーケストレーションを行っています。チームは既存のコンテナを変更したくなかったため、アプリケーションが正常にビルドされ公開された後に、AppScanのAPIを利用してエージェントをダウンロードし、Webサーバーにデプロイするシンプルなスクリプトを使用してIASTを統合することにしました。
効果
開発者が即座に報告した重要な利点は、セキュリティ脆弱性に含まれる情報量の多さでした。問題の原因となったコードラインと、それを誘発するエクスプロイトの例があることで、修正作業が大幅に軽減されました。QAプロセスは開発プロセスに隣接しているため、新たなセキュリティ脆弱性の原因となったコードの変更は、セキュリティ問題を解決するためにアプローチする際に開発者の記憶に残ります。
セキュリティチームが報告したもう一つの利点は、DASTスキャンで検出される問題が減少したことです。これは、QAプロセスがSDLCの早い段階で問題を解決するのに役立ったからです。
メンテナンスの観点からは、セキュリティチームとDevOpsチームは、IASTエージェントを統合するのに必要なのは簡単なスクリプト1つだけであり、エージェント自体がエバーグリーン (自動的に更新される) であることに感銘を受けました。もう一つの素晴らしい点は、QAチームが新機能を開発するたびに新しいテストを追加し続けることができ、新しいバージョンごとにASTカバレッジを最新に保つことができることです。このプロセスは、SDLCそのものの副産物として改善され続けています。
「問題ごとに受け取る情報量が多いので、優先順位付けや修正のプロセスに有益です」
システムアーキテクト
企業情報
サイバーセキュリティ分野は機密性が高いため、このケーススタディでは匿名を希望されました。同社は、中小企業や大企業にサービスを提供するIT e市場のソフトウェア会社です。
このケーススタディで使用されているテクノロジースタック
- Java
- Tomcat
- Docker
- Jenkins