脆弱性対策を開発プロセスに実装してDevSecOps–セゾン情報システムズが説明

今回は「脆弱性対策を開発プロセスに実装してDevSecOps–セゾン情報システムズが説明」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 セゾン情報システムズは、現在開発中の次世代データ連携基盤「HULFT Square」における脆弱性対策で各種検査を開発プロセス内に取り入れる方法を導入している。脆弱性管理ベンダーのSnykが主催したマスコミ向けセミナーで事例として紹介された。

 HULFT Squareは、同社のデータ連携ツール「HULFT」やETL(データの抽出・変換・出力)ツール「DataSpider」の機能を、同社がフルマネージド型で提供するインテグレーションプラットフォーム・アズ・ア・サービス(iPaaS)として、2021年に開発を表明したものになる。

 事例を説明した執行役員 DevOps統括 副統括兼NH2024プロジェクト担当の有馬三郎氏は、「データ活用への関心の高まりから最近のシステム構築では顧客からサービスやクラウドの連携希望が増えているため、HULFT Squareを開発している」と述べた。例えば、オンプレミスのデータベースやクラウドのデータウェアハウスにあるデータをビジネス分析(BI)ツールに取り込むための仕組みを簡単に構築したり変更したりできることになる。

 有馬氏によれば、HULFT Squareはコンテナーベースで、開発プロセスもDevOps(開発と運用が一体的なプロセス)を採用しているとのこと。顧客の重要データを扱うことから極めて高度なセキュリティレベルが要件となっている。ここで脆弱性対策が大きな問題になってしまったという。

 同社は、脆弱性検査の方法として、ソースコードやアプリケーションの静的解析や動的解析、ソフトウェアライブラリー領域に至るまでの詳細検査を採用している。これらによる脆弱性検査は、ソフトウェア製品の品質検査後とリリースの間のプロセスで行っており、ここで脆弱性が見つかると、一気に開発プロセスにまで戻して修正対応していた。これでは脆弱性の対応が非効率的であり、修正後に再検査を行うことからリリースまでの所要時間も長くなってしまう。HULFT Squareの開発は、2021年の段階でこれが大きな問題になった。

 このため有馬氏は、開発プロセスの段階から脆弱性をできるだけ減らすなどのアプローチによりソフトウェアの安全性確保と迅速なリリースを両立させる「DevSecOps」への変更を検討。DevSecOpsに対応した脆弱性検査やオープンソースのカバレッジ、豊富な脆弱性情報を保有するとして、Snykを2022年1月に導入。品質検査の段階だけでなく開発段階でも各種の脆弱性検査をできるようにした。

 ただし導入当初は、開発チーム側とセキュリティ管理チーム側がDevSecOpsのやり方に慣れず、3カ月ほどかけて検査で見つかった脆弱性の情報や修正方法などのやりとり、対応状況の確認などを試行錯誤したという。4月から本格的にDevSecOpsへ移行し、現在も改善を図りながらDevSecOpsの定着化に取り組んでいるとした。

 Snykの導入効果は、検査で見つかった脆弱性の深刻度などを点数で説明するため、対応の優先度などを判断しやすくなったことや、オープンソースの利用状況が分かることによるライセンス違反などのリスクの低減、「ゼロデイ」と呼ばれる未修正の脆弱性に関する情報提供の早さになるとのこと。また、Snykの顧客担当者がツールの活用方法などをサポートしている点も評価しているという。

 有馬氏は、「特にコンテナー環境の脆弱性対策については、現状はオープンソースのツールを使っているが、Snykの機能でも対応できるだろうと期待している。リポジトリーとして使用しているGitHubと連携しているので、脆弱性が見つかったソースコードを修正しやすい点も大きい」とコメントした。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Apple、エディー・キュー上級副社長の担当部門名をServicesに変更
企業・業界動向
2021-08-18 09:33
フォーティネット、2023年上半期の脅威レポート–ランサムウェア検知数は半年で13倍に
IT関連
2023-10-14 22:59
ワールドクラスの人事部門を目指す–「Workday HCM」導入のトプコン
IT関連
2022-05-11 22:35
転ばぬ先の”しっぽ”型ロボット 東大が技術開発 :Innovative Tech
トップニュース
2021-04-07 21:07
コロナ禍で出張のあり方が変化–コンカー、JTB子会社のサービスと連携
IT関連
2023-02-15 04:55
コピーライターの「思考プロセス」学習–電通ら、広告コピー作成ツールを開発
IT関連
2024-08-07 22:37
AWS LambdaがES Modulesをサポート開始
AWS
2022-01-14 05:36
AWS、IPv4アドレスの使用に課金/期限の制約なく無料で使えるクラウド/「Microsoft 365 Copilot」は月額30ドルの追加料金ほか、2023年7月の人気記事
編集後記
2023-08-04 18:12
歯でジェスチャー入力 機械学習で13パターンを区別 コーネル大など「TeethTap」開発 :Innovative Tech(1/2 ページ)
トップニュース
2021-08-05 13:39
売上高の4割は法人–「Raspberry Pi」のサポート情報やパートナー制度を読む
IT関連
2021-07-18 02:23
Coinbaseが直接上場の基準価額を1株あたり250ドルとし時価総額7兆円超に跳ね上がる
ブロックチェーン
2021-04-15 10:57
NTT ComとJR-Cross、会員基盤と位置情報を活用したセグメントマーケティングで実証実験
IT関連
2023-01-12 09:08
インディーズ映画制作者にAIを活用したVFXを提供するWonder Dynamicsが2.7億円を調達
人工知能・AI
2021-04-12 21:15
AWS、コンテナにWebアプリを置くと簡単にデプロイが完了する「App Runner」リリース。オートスケール、ロードバランス、証明書の管理などすべておまかせ
AWS
2021-05-24 18:00