どうもさいちゃんです。今回は、2023年7月13日に行われた「DevSecOpsの実現〜実際の現場からリアルなプロセスとKPIをご紹介」というリアルイベントに登壇したのでその資料とセッション内容の一部をご紹介したいと思います。
資料
ソフトウェア開発において、セキュリティ対策は避けては通れない道です。Snykで実現できる「シフトレフト」は開発プロセスの早い段階からセキュリティ対策を組み込む手法で、セキュリティの脆弱性への対処として重要になっています。このセッションでは、シフトレフトでのセキュリティ対策の基本や必要性を説明すると共に、開発段階でのセキュリティ対策の考え方についてご紹介していきます。
今回は私と同じアライアンス事業部のきだぱんの2名でセッションを行いました。 前半の私のパートでは開発におけるセキュリティ課題や、セキュア開発の重要性についてを話しています。後半のきだぱんパートでは、Snykでどのようにセキュアな開発を実現していくのかについてを紹介していただきました。
後半パートの登壇ブログはこちら↓
セッション概要
セキュリティリスクの増加と対策
私のパートでは、開発におけるセキュリティ課題についてを話しています。 近年の開発にはスピードだけでなくセキュリティの担保が求められています。しかし、WEBサイトやソフトウェアの脆弱性は年々増加しているというのが現実です。 今回はコードレベルでので対策が可能なSQLインジェクション攻撃と、新しく登場した脆弱性の一例としてLog4の脆弱性をご紹介しました。
セキュア開発の重要性
従来のセキュリティ対策では、リリース直前にテストを行っていました。しかし、その方法ではソースコードの修正をリリース直前に行わなければならないため、エンジニアの負担も増え、結果としてリリースが遅れるという結果を招くこともありました。 そこで、より効率的にセキュアな開発を進めるための考え方として、DevSecOpsやシフトレフトについてを紹介しています。
セキュア開発の導入方法
シフトレフトを実現して、セキュアな開発に取り組むために必要なことをいくつか挙げてみます。
- 攻撃手法と対策の把握
- ソースコードレビューの実施
- コードレベルの脆弱性対策
- ライブラリの脆弱性チェック
- オープンソースの脆弱性チェック
- 新たに出て来る脆弱性にしての情報収集
上記に挙げたようなことを開発を行いながら考えて行くのはエンジニアの負担が増えることにもつながるので、自動化できるようにSnykを使ってみてはいかがでしょうか。
参考資料
- ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第4四半期(10月~12月)]
- Apache Log4j Security Vulnerabilities
- OWASP Top Ten
- CVE
- NIST
- JVN
- IPA:安全なウェブサイトの作り方
最後に
本セッションの前半部分では、セキュリティリスクの増加についていくつか具体的な例を上げながら説明をしました。 セッション内ではコードレビューをしていなかったことが原因でセキュリティインシデントにつながってしまった事例も紹介しました。こういったインシデントのリスクを少しでも下げるためにもSnykを使ってセキュアな開発を実現しましょう。
Snykの具体的な機能紹介については同じセッションの後半パートで紹介しています。
3
