自動化はクラウドネイティブアプリケーションのセキュリティの鍵となる

クラウドファースト戦略を採用している企業は驚異的なペースで成長しています。大規模な企業では、1 日に数千回のデプロイメントが行われ、同じ期間に数十万回のコード変更が行われることもあります。

これに加えて、テクノロジー中心のビジネスでは何百人もの開発者を雇用する可能性があり、そのようなシナリオでは、各プロジェクトを追跡して理解したり、開発者の作業を正確に追跡したりすることが非常に困難になります。このスピードと量により、セキュリティ チームがコードを展開する前にレビューしてテストする初期段階のセキュリティ プログラムはもはや実用的ではなくなります。

DevOps の導入が成功した後、私たちは DevSecOps の時代に入りました。この時代では、セキュリティ チームは開発者がより安全にコードを構築できるようにすることに重点を移し、開発者は安全に構成されたクラウド コンピューティング環境の安全な基盤上に構築された安全なコードに対して責任を負います。

これは余分な作業のように思われるかもしれませんが、一般的なクラウド アプリケーションのコードのうち、アプリケーション固有のものはわずか 20% 程度であるという事実によって、状況はさらに複雑になります。残りには、Linux オペレーティング システム ファイル、オープン ソース ライブラリ、それらの依存関係、およびその他の継承された要素も含まれます。開発者は、アプリケーション、より広範なコード ベース、および構成における潜在的な脆弱性を特定するために、より多くの支援を必要としています。非常に洗練されたセキュリティ ツールセットを採用するには自動化が必要です。

職場でのセキュリティ自動化

自動化にはさまざまな形があり、この分野への最初の一歩はビジネスの現状と主な問題点によって異なります。最初のステップは、設定された間隔でアプリケーションとそのコンポーネントの脆弱性が自動的にスキャンされるようにすることです。米国のクラウド通信プラットフォーム・アズ・ア・サービス企業のシニア・セキュリティ・エンジニアは、「自動化は人為的ミスを排除するため、大規模なセキュリティを確保する上で重要です。自動化すると、より多くの脆弱性が見つかります」と述べています。通常の状況下でのスキャンであっても、十分に訓練されたチームにとっては潜在的な弱点を生み出す可能性があること、また、自動化がすでに実装されている場合は冗長な作業になることを覚えておくことが重要です。

クラウド通信会社のチームは、この自動化技術をさらに一歩進めました。彼らは、ツールの API を利用して会社のメインブランチの変更とプルリクエストを監視する GitHub アプリを開発しました。プル リクエストがマージされると、スキャンのためにプロジェクトが自動的にインポートされます。また、アイテムが作成、削除、または名前変更されたときにも反応し、適切なセキュリティ対策をトリガーします。同社は現在、このツールをオープンソース化し、他社もその革新的技術の恩恵を受けられるようにしている。

あるオンライン旅行代理店は、自社のシステムにセキュリティ上の脆弱性があるのではないかと懸念していました。同社は、前述のような急速かつ大規模な成長を経験しており、自動化技術の導入が必要でした。 「当社が運営する規模では、コードと構成を手動で確認するのは悪夢です」と、同社のソフトウェア エンジニアの 1 人は指摘しています。同社は、開発者とマネージャーが API 呼び出しを通じて情報を収集し、プロジェクト全体のセキュリティに必要な可視性を提供できるように、独自のダッシュボード アプリケーションを構築することを決定しました。

パイプライン プロセスに関する支援の必要性から、ある米国メディア企業は、Cloudtrail 経由で新しいコンテナ イメージを検出し、脆弱性をスキャンし、セキュリティ ツールの API を使用して結果を取得してその情報を処理し、関連するチームと開発者向けに Jira チケットを作成する独自の社内アプリケーションを作成しました。同社のプラットフォームエンジニアリング担当ディレクターは、同社では数千のコンテナイメージと最大7,000のコードリポジトリを処理できると述べた。ワークフローを可能な限り自動化することによってのみ、リスクが一貫して特定され、軽減されていることを確信できます。

継続的な自動化

企業が自動化を進めていく中で、最良の結果を達成するには複数の要素を考慮する必要があります。まず、これはセキュリティ ツールの全体的な選択に影響を与える可能性があり、自動化ツールの適応性を高めることが求められるでしょう。強力で十分に文書化された API の可用性は、意思決定を行う際に常に優先されるわけではなく、むしろ企業のニーズを完全に満たすセキュリティ自動化ツールを作成することが優先されるようです。その他の企業（通常は小規模な企業）にとっては、選択したプログラミング言語にネイティブな SDK が利用できることが絶対に必要になります。

メディア企業が独自の社内アプリケーションを開発していたとき、同社のプラットフォーム エンジニアリング ディレクターが強調した 2 番目の重要なポイントは、自動化の結果を慎重に検討することでした。 1 回のスキャンで数千の脆弱性が検出される可能性がある場合、すべての脆弱性を解決するためにチケットを発行するだけでは、低レベルのジョブのログがすぐに詰まり、開発チームに負担がかかります。代わりに、システムは修正不可能または悪用不可能な脆弱性を除外し、アプリケーションのセキュリティに与える影響の程度に基づいてタスクに優先順位を付けます。このシステムでは、パッチの可用性に関するアドバイスや脆弱性の性質を説明するドキュメントへのリンクが提供されるため、開発者がトラブル チケットを処理しやすくなります。

自動化プロジェクトに関する最後のポイントは、作業をできるだけ簡単にすることが目標であることを常に覚えておくことです。新しいプロセス、新しいツール、または異なるアプローチを作成することが必要なステップになる場合があります。可能であれば、IDE、リポジトリ、チケット システムなど、開発者が日常的に使用するツールを使用するようにしてください。自動化によって問題を増やすことなくセキュリティが実現できれば、それが企業が目指すべき理想的な組み合わせです。