CI/CD と Cloud Security ~継続的な脆弱性診断・運用のベストプラクティス~あと Security Consultingの最新情報もしますよ~ – Developers.IO TOKYO 2019 #cmdevio

はじめに

こんにちは、AWS事業本部の島川です。

【11/1(金)】に開催されたDevelopers.IO 2019 @Tokyoで行われた CI/CD と Cloud Security ~継続的な脆弱性診断・運用のベストプラクティス~あと Security Consultingの最新情報もしますよ~
のセッションレポート記事でございます!

【11/1(金)東京】国内最大規模の技術フェス!Developers.IO 2019 東京開催!AWS、機械学習、サーバーレス、SaaSからマネジメントまで60を越えるセッション数!

ちなみにこのセッション開始が12時45分からだったんですが、登壇者の河野氏12時29分に「今、皆様にお見せするスライドができました」とおっしゃっていました。え?笑

それではセッションレポートです!

※基本的にはスライドに情報はまとまっています。重要なポイントだけをレポートとしてまとめています!スライドと合わせてご覧ください。

スピーカー

エフセキュア 河野真一郎 氏

資料

レポート

F-Secure Radar API連携 継続的な脆弱性診断

リスクが潜む場所はたくさんあり、対策しないといけないのは分かる。けど何をすればよいのか、継続的にやるにはどうしたらいいのか分からない。そんな脆弱性管理に最適なツール

F-Secure RADAR

  • ネットワーク~OSレベルまで総合的に脆弱性をスキャンすることができるツール
  • エージェントレス!
  • API連携できるのが特徴 → 自動化に最適
  • 注意点として、WEBサイトをスキャンする場合、静的サイトはOKだがJavaScript等で動く動的サイトは厳しいのが現状。APIを用いてサービス展開前にカバーしておくことが必要。

導入事例について

  • 約5万のインスタンスを1週間1万台に分けて5週間かけて定期的に自動スキャンを行っている

APIの取り込み位置について

  • 1日に数回デプロイを行うケースも多く、1日1回の自動スキャンでは追いつかない時代になってきている。
  • テスト/デプロイ時点ではなく、開発段階で脆弱性診断を行うことを推奨している。
  • 開発時点で穴を埋めておくことが重要

F-Secure Radar APIのCI/CDの利用例

弊社のブログをご紹介いただきました。ありがとうございます!

F-Secure Radar API を CodePipeline に組み込んで脆弱性診断を自動実行してみた

【F-Secure Radar API + CodePipeline】脆弱性診断の実行から結果取得、判定まで全自動でやってみた

金額について(2019/11/01現在のパートナー参考価格)

  • 50Server \623,000
  • 100Server \748,000
  • 年間ライセンス(保守込)

クラウド環境F-Secure コンサルティング

Cloud環境どこからセキュリティ意識すればいいのか分からない!という方にも最適なクラウド環境のコンサルをしている。

使用しているサービス

  • Web application assessments
    • Webアプリケーションの脆弱性診断
    • インフラ、ミドルウェア、ソースコードレベル、Webアセスメントをカバー
  • Penetration testing
    • 標的型攻撃のテスト
    • 侵入テスト、ソーシャル攻撃、物理セキュリティまでカバー
    • クラウド環境特化のテストもあり

事例(エウレカ様 数百万以上個人情報攻撃シナリオ詳細)

  • かなりリアリティな攻撃シナリオからコンサルティングした。

シナリオ思いつかない、何を対策したら分からない方にも

  • 専門コンサルタントが現状をヒアリングしてまとめてくれるPreStudyがある。
  1. どこに脅威があるのか
  2. 現状リスク分析
  3. 診断するならどこなのか

総合的にヒアリングする。

クラウド環境F-Secure アンチウイルス 月額1,000円以下

  • マルウェア対策のニーズがやっぱり高い。
  • 今なおマルウェアの攻撃が多い。ランサムウェア等
  • F-Secureのアンチウイルスは導入されてしまったら、動いてしまってからでも対策できる。
  • AWS/オンプレ/管理PC 全てひっくるめて対応できる。

まとめ

  • F-Secure RadarはAPI連携をすることでCI/CDが簡単にできる!レポートも出せる!
    • スキャンする台数 コンテナ環境にも対応している。
  • クラウド環境のF-Secure セキュリティコンサル リアリティのある実際の攻撃コンサルから現状をヒアリングして分析してくれるコンサルまで幅広くやっている。
  • マルウェア
  • F-Secureのミッション「皆様と世界を安全につなぐこと」

最後に(感想)

ITとセキュリティは切っても切れない関係です。日々考える必要があるセキュリティを強化し、更に信頼性はそのまま自動化していくことを実現できるツールとしてF-Secure RADAR非常に便利ですね!IT界における攻撃は日々生み出され行われています。それを防ぐこと、守ることは我々エンジニアの義務だと思っています。また最後に河野氏がおっしゃられていたお言葉にとても共感しました。

  • Unix文化 ハッカーの文化 共有すること
  • "共有すること" → みんなが幸せになる。

共有されることで今どんな技術が流行っているのか、何を守るべきなのかが見えてくると思いますし、ちょっと話ずれますが自分の成長にも繋がると思っています。話のテンポが良くとても楽しいセッションでした。ありがとうございました!

おまけ

Developers.IO 2019 @Tokyoでは各企業によるブース展開も行われていました。エフセキュア様もブースを展開されていて、覗きに行ったら弊社のめそ子と写真を撮られていたのでそれを共有します(笑)。最後までありがとうございました!