あらゆる企業がDXに取り組む現在、データを活用して新たな価値をユーザーに提供していくケースが増えています。その手法は主にアプリやWebサービスですが、リリースを急ぐあまりセキュリティがおろそかになってしまい、大きなインシデントが発生してしまうこともあります。この連載では、開発にセキュリティを組み込むための考え方や手法について、GitLabのブログを再構成してお届けします。今回は、脆弱性管理、そしてインシデントレスポンスの自動化について紹介します。
脆弱性管理はDevSecOpsの導入から始める
従来の脆弱性管理のアプローチには、動的アプリケーションセキュリティテスト
また、脆弱性報奨金制度が人気を集めており、従来のアプリセキュリティプログラムの補完として使用されることが多くなっています。しかし、万能なアプローチはなく、どのソリューションが組織にとって最適を知るのは困難です。
脆弱性管理とは、脆弱性を特定、分類、処理、軽減、および報告する反復的なプロセスです。このプロセスは単独で行われるのではなく、ソフトウェア開発ライフサイクル全体を通じて行われるべきものです。これにより、本番リリース前に脆弱性を特定する機会が増え、開発やテストの後期段階での修正の必要性を減らし、違反や侵害の可能性を減らすことができます。
脆弱性管理はシフトレフトされ始めており、DevSecOpsの概念が技術系企業の常識になることが期待されています。事実、GitLabの調査
回答者の28%は、
スコープを定義し、定期的に実施する
脆弱性管理プロセスを成功させるために最も重要なステップは、そのプロセスがカバーする範囲を定義することです。GitLabでは、セキュリティチームとインフラチームが協力して、デプロイされている全ての重要な環境とシステムがカバーされるように範囲を定義しました
環境のスコープを設定した後、脆弱性スキャナーを導入し、脆弱性管理のプロセスを開始します。脆弱性管理は、継続的なフィードバックループです。脆弱性スキャナーは、脆弱性を修正するために、データを取り込み、分析します。このプロセスからのフィードバックは、環境をより安全にするために予防的に利用されます。
脆弱性管理は、
このプロセスを支援するスキャナーの例としては、次のようなものがあり、それぞれ焦点が異なります。
- SAST
- DAST
- 依存関係スキャン
- コンテナスキャン
- シークレット検出
- ファズテスト
自動化によってインシデント対応を改善する
インシデント対応チームは、企業や顧客を危険にさらすインシデントやイベントへの対応に追われる日々を送っています。ログの相関関係を利用して有害な活動を特定し、軽減することは、多くの時間を消費します。しかし、インシデント対応の完全自動化により、この作業をより効率的かつ効果的に行うことができます。
コロナ禍によって従業員が分散し、ネットワークにセキュリティホールを残す可能性が出てきました。2020年には、米国の全従業員の半数以上がリモートワークをしており、現在も33%がリモートワークを続けています。また、2020年には1,845件以上のデータ漏えいが発生し、3億人以上が影響を受けています。このため、貴重な資産を保護し、ITチームが効率的かつ効果的に外部の脅威に対応できることが重視されるようになりました。
情報漏えいを特定し、封じ込めるまでの平均時間
インシデントレスポンスの自動化、何から着手すべきか
自動化は、従業員がより大規模かつ高度な脅威に集中できるようになるため、短期的には時間とリソースが節約され、長期的には大幅なコスト削減が実現します。調査によると、 情報漏えいを30日以内に抑止することで、企業は100万ドル以上のコスト削減が可能であり、一方で情報漏えいの平均コストは400万ドル以上 と言われています。
自動化は、情報漏えいの報告にも役立ちます。 情報漏えいの報告に時間がかかりすぎると多額の罰金が発生し、顧客や従業員からの信頼を大きく失うことになります。また、1件のハッキングについて顧客に通知するコストは、米国では平均約74万ドルとなっています。インシデント対応を自動化することで、時間とコストを削減し、最終的には企業の安全性をより高めることができます。
そうはいっても、ほとんどの企業は、インシデント対応を自動化することに圧倒され、どこから着手すべきか分からないのが普通でしょう。DevOpsサイクルのできるだけ早い段階に、しっかりとしたプロセスが確立されていればコード開発の段階でも、脆弱性検出の自動化に取り組むべきです。
効果的な手順の1つは、情報漏えいやマルウェアの兆候を含む、エンドポイントとインフラストラクチャのインシデントのアラートシステムの自動化です。で、侵害の指標やマルウェアを含めて、効果的な対策を講じることができます。もう1つの重要な対策は、オンコールアラートおよびエスカレーションシステムを自動化することです。これにより、インシデントの特定から軽減までの時間が大幅に短縮されます。
自動化を制御の喪失と考えるのではなく、悪い状況を制御するためのより良い方法と考えましょう。自動化を正しく行えば、会社の安全確保に役立つと信頼できます。自動化されたSIEMがヒューマンエラーを回避する ことは、何度も証明されていることも忘れないでください。