弊社イベントでエフセキュアさんが提供する診断ツール「Radar」の話を聴いてきた[レポート] #cmdevio2019sec

こんにちは。
先日、「Developers.IO 2019 Security」という弊社主催のイベントを開催させていただきました。
その中で、エフセキュアさんの話を聴いてきたのでレポートします。

DevSecOps と Cloud Security

F-Secure 島田秋雄様

エフセキュアとは？

1988年に設立し、アンチウィルス製品を古くから販売している
（ミッコ・ヒッポネンさんがいる会社）

昨今のセキュリティ事業は

IoTセキュリティに関して、自動車業からの引き合いが増えてきている。
また、航空業界（航空機）の引き合いもできている。

エフセキュアさんが提供する「Radar」について

脆弱性診断ツールであり、PCI ASV要件を満たすスキャンがおこなえる。

優位性は、APIインターフェースがあるので外部からスキャンを呼ぶことが可能。
大きな会社になると、情報部門で管理されていない野良IPをスキャンで見つけ、管理する事ができる。

Webアプリケーションも診断する事ができる。
そのため、開発中のCI/CDの中でセキュリティチェックをプロセスに組み込むことができる

One More Thing...

Radarは、API連携でAWS環境を自動スキャン可能か？ -> 可能です！！
（backendである程度、手組をする必要があるけど）

最後に

セキュリティチェックをツールで自動化し、プロセスへ組み込んでいる事は重要。
それと合わせて、手動診断を行うこともおすすめします。

所感

開発プロセスにセキュリティチェックを入れる事は同意する。
しかも、それをツールで自動化していくのはとても良い事だと思う。
余談ですが、ヨーロッパでは何かあればエフセキュアと言われたりしているそうです。