成果

  • ゼロ設定によるデプロイメントプロセス

  • SDLC の既存プロセスを活用

  • 詳細なセキュリティ脆弱性の記録

顧客

  • 業界: 情報テクノロジー

  • 製品: HCL AppScan

  • 地域: North America/US

概要

  • パート 1

    課題

    顧客は、以下のビジネス上の課題に直面していました。

    現在の SDLC プロセスを中断することなく、製品のセキュリティ保護を強化すること。

    新バージョンの出荷を遅らせる可能性のあるセキュリティ問題の発生リスクを低減すること。

  • パート 2

    解決策

    IAST を顧客の既存の QA プロセスに統合し、自動テスト、手動テスト、健全性テストを活用して、アプリケーションセキュリティ・テスト (AST) のカバレッジを拡大し、DevOps を DevSecOps に変革します。

  • パート 3

    結果

    IAST エージェントによって報告される、完全なコールスタックやエクスプロイトの例などの詳細なセキュリティ問題の記録により、AST のカバレッジと修復プロセスが改善されました。

課題

IAST のビジネスケース

同社は、SDLC の一部として DAST を主に後期段階で使用していました。この一般的な手法は良い結果をもたらしましたが、いくつかの欠点もありました。

  • 重大なセキュリティ脆弱性が発見された場合、DAST が新バージョンの出荷前の最後のステップの 1 つとして導入されていたため、リリースが遅延していました。DAST スキャナーは詳細な情報を提供しないため、セキュリティ脆弱性の修正作業に多大な手間がかかっていました。
  • コードの記述から脆弱性の発見までにかなりの時間差がありました。

デプロイメントプロセスには驚きました。Tomcat に WAR ファイルをデプロイするよりも、もっと複雑な作業になると思っていました。

DevOps チーム、テクニカルマネージャー

ソリューション/解決策

IAST の統合

同社は、コードベースの規模と複雑さにより、広範な品質保証 (QA) プロセスを採用しています。QA プロセスには、単純な健全性チェックから複雑なエッジケースまで、自動テストと手動テストが含まれています。また、新しいバージョンがリリースされるたびに機能が追加され、そのたびに QA プロセスにさらなるテストが導入されています。

QA インフラストラクチャは Docker ベースで、Jenkins を使用して調整されています。チームは既存のコンテナを変更したくなかったため、アプリケーションのビルドと公開が正常に完了した後、AppScan の API を利用してエージェントをダウンロードし、Web サーバーにデプロイするシンプルなスクリプトを使って IAST を統合することにしました。

問題ごとに受け取る情報量は、優先順位付けと修復プロセスに役立っています。

システムアーキテクト

結果

効果

開発者が真っ先に報告した大きなメリットは、セキュリティ脆弱性に関する情報量でした。問題の原因となったコード行と、それを引き起こしたエクスプロイトの例がわかることで、修正作業が大幅に削減されました。QA プロセスは開発プロセスと隣接しているため、セキュリティ問題に対処する際、新しいセキュリティ脆弱性をもたらしたコード変更が開発者の頭に新鮮に残っています。

セキュリティチームが報告したもう 1 つのメリットは、QA プロセスにより SDLC の早期段階で問題が解決されるようになったため、DAST スキャンで検出される問題が減少したことです。

メンテナンスの観点から、セキュリティチームと DevOps チームは、IAST エージェントの統合が単一の簡単なスクリプトだけで済み、エージェント自体がエバーグリーンである (自動的に更新される) ことに好印象を持ちました。また、QA チームは、新機能を開発するたびに新しいテストを追加できるため、新しいバージョンごとに AST カバレッジを常に最新の状態に保つことができる点も素晴らしいです。このプロセスは、SDLC 自体の副産物として、継続的に改善されています。

会社について

サイバーセキュリティ分野は機密性が高いため、このケーススタディでは会社名を非公開とさせていただきます。同社は、IT 市場におけるソフトウェア企業で、中小企業/大企業向けにサービスを提供しています。

このケーススタディで使用したテクノロジスタックは次のとおりです。

  • Java
  • Tomcat
  • Docker
  • Jenkins

関連機能