耳寄りなお知らせです。Black DuckにIaCスキャン機能が搭載されました。既にBlack Duckをご使用のお客様は、追加ライセンスなしでこの機能をすぐにご利用いただけます。その意義、既存のセキュリティ対策の支援方法、今後数か月の予定を詳細にご案内します。
IaCスキャン機能の開発が進んだ要因は 開発プロセスへの移行…
基本的に、IaCはクラウド環境向けのインフラストラクチャのプロビジョニングと管理の簡素化を継続的に支援する手法です。インフラストラクチャはスケーラブルで再現可能な方法でデプロイメント全体にプロビジョニングが可能で、全体的な使い勝手と機能性の向上に役立ちますが、スケーラビリティの要件により、インフラストラクチャのデプロイは開発工程へとシフトレフト(前倒し)しました。
これ自体は問題ではありませんが、セキュリティへの影響を考慮すると、開発チームへの責任の移行は問題を複雑化します。
以前は、IaCセキュリティはセキュリティとベストプラクティスにある程度精通しているITチームと運用チームの仕事でしたが、クラウド・ネイティブ・アプリケーションの開発とリリースの速度が加速するにつれて、プロビジョニングと設定の作業は必然的に開発チームに降りかかってきます。ここでのセキュリティ上の問題は2つあります。1つは、開発者に対応能力が備わっていないため、この移行により複雑なセキュリティ上の弱点がもたらされる可能性が高まることであり、もう1つは、開発チームにセキュリティのエキスパートは滅多に存在しないということです。これは、経験と処理能力の不足により、セキュリティに必要な目配りと専門知識が得られないことを意味します。
既存のSCAソリューションでIaC機能を活用することによってもたらされる価値
IaCは、従来のコードとインフラストラクチャやデプロイの設定とのギャップを埋める役割を果たしますが、一方で、IaCを使用してアプリケーションを設定、管理、デプロイする方向への移行により、IaCの設定ミスやセキュリティ対策の不備など、新しい種類のリスクがもたらされました。
IaCに潜むセキュリティの脅威は、一般に、既知の脆弱性や以前に公開された脆弱性ではないため、従来のSCAアプローチでは問題を検出できません。Black Duckの新しい機能は、多くの組織のビルドパイプラインおよびデプロイメントパイプライン内ですでに実行されているSCAツールが、既存のスキャン機能を拡張してIaCカバレッジを含めるための理想的な選択肢であるという認識から誕生しています。つまり、既存のSCAスキャンにIaCスキャン機能を追加することで、SCAスキャンをどこに移動してもIaCスキャンを実行できるようになったということです。
簡単に実行できるBlack DuckのIaCスキャンにより、アプリケーション開発ライフサイクルの早い段階で、多くの箇所で問題を捕捉できます。開発パイプラインのあらゆる部分で有効にできるBlack Duck SCAスキャンも、IaCスキャンを実行するための理想的な選択肢です。一般に、IaCの問題は重大度が高いため、開発パイプラインのできるだけ早い段階で特定し、後工程(運用など)での問題を回避することが重要です。Synopsysの新しいIaCスキャン機能により、専門知識がなくてもBlack DuckでCVE以外のセキュリティ上の問題を速やかに特定できます。
仕組み
Black DuckのIaCスキャンは、Black Duckスキャンが実行される場所であればどこでも実行可能であり、単純なパラメータを追加するだけで有効にできます。これにより、ユーザーはIaCスキャンをトリガするタイミングと場所を制御できます。スキャンを開始し、結果をコマンドラインとBlack Duck UIの両方で利用することにより、開発チームとセキュリティチームの双方が既存のワークフローで結果を活用できます。
Black Duckはあらゆる一般的なIaCプラットフォームとファイル形式をサポートしています。
図1:Black DuckでIaCの問題を検出
Black DuckのIaCスキャンにより、Black Duckで検出するセキュリティ上の問題の種類を追加できます。今後、この機能を拡張して、コンテナセキュリティに関する問題検出の改善や、AWSやGCPなどのクラウドプロバイダーのAPIの不正使用に対応する予定です。