金融サービス企業向けのIntelligent Orchestration

課題

開発スピードを低下させることなく、複数のツールからのアプリケーション・セキュリティ解析結果をDevOps パイプラインに統合すること。ソフトウェア開発ライフサイクル（SDLC）イベントおよび定義されたポリシーに基づいて適切なセキュリティ・テストを適切なタイミングで自動的に実行する、クラウド・ベースの専用CI/CD パイプラインを開発すること。

ソリューション

シノプシスのIntelligent Orchestration は、開発チームのスピードを妨げることなくガバナンス、コンプライアンス、法規制、その他のポリシーを必要に応じて確実に適用できるように最適化された、リスク・ベースの適応型アプリケーション・セキュリティ・テスト・オーケストレーション・ソリューションです。

理想的なアプリケーション・セキュリティ・テスト・オーケストレーション・ソリューションにはどのような条件が求められるでしょうか。使用しているセキュリティ・テスト・アプリケーション用のルールを自分で設定しておけば、適切な解析が適切なタイミングで自動的に実行されること。コード変更の重大度、アプリケーションのリスク・プロファイル、およびそのアプリケーションにどのセキュリティ・テスト・ポリシーを適用するかをインテリジェントに理解してくれること。特定のセキュリティ・テストを適用するかスキップするかの意思決定プロセスを自動化し、Slack、Teams、Jira などDevSecOps チームが使用しているプラットフォームの通知機能を利用して継続的なフィードバックを送ってくれること。

また、ツールに依存せず、商用の静的解析、動的解析、インタラクティブ解析、ソフトウェア・コンポジション解析ツール、およびOWASP ZAP、SpotBugs、OWASP DependencyCheck などのオープンソース・ツールと自由に組み合わせて使用できること。そして拡張性とスケーラビリティ、適応性に優れていること、などが挙げられます。

これらすべての条件を満たしているのが、シノプシスのIntelligent Orchestration です。

Intelligent Orchestration：インテリジェンスに裏打ちされた経験

今回紹介する金融サービス企業（重要な個人情報を扱っているため、企業名は非公開を希望）のアプリケーション・セキュリティ・イニシアティブ担当シニア・テクニカル・リードは、次のように述べています。「アプリケーション・テストには、高速であることと邪魔にならないことが求められます。開発者は必要以上にセキュリティ・テストに時間を取られることを最も嫌います」

「当社が求めているのは、適切なテストを適切なタイミングで実行し、適切な量のデータを適切なタイミングで取得することです。例えばCSS ページを1 つだけ変更した場合のように、Web アプリケーションに軽微な変更を加えただけなら、その時点で静的解析を再度実行する必要は恐らくないでしょう。オープンソース依存ファイルに変更がなければ、SCA（ソフトウェア・コンポジション解析）スキャンも不要なはずです」

「そこで、開発者がコードに加えた変更の重要度、および開発中のアプリケーションのリスク・プロファイルを考慮してくれるアプリケーション・セキュリティ・テスト・オーケストレーション・ソリューションの開発支援をシノプシス社のコンサルタントに依頼しました。要するに、当社のセキュリティ・アクティビティ全般を自動で誘導してくれる交通整理をしてくれる警察官のようなものを開発しようと考えたわけです。こうして完成したIntelligent Orchestration は、セキュリティ・アクティビティを適切な方向へ導いてくれ、交通渋滞を解消してくれています」

「しかも、Intelligent Orchestration は処方箋なのです。病院に行った時のことを考えてみてください。医師は患者が受診するたびにMRI 検査を実施するのではなく、患者の現在の健康状態を評価し、それに応じて適切な処置を施します。MRI を受けた方が良いのか、そこまでの検査は不要なのかは、医師が自らのインテリジェンスに裏打ちされた経験に基づいて判断します。Intelligent Orchestration の場合、この「インテリジェンス」が「コード」に相当し、「経験」が「ポリシー」に相当します」

コードとしてのセキュリティ・ポリシー

どの組織にも、ルールを定義するポリシーが存在します。例えば、「外部に公開された重要なアプリケーションは、90 日ごとに手動のペネトレーション・テストが必要」といったものがポリシーです。ほとんどの組織では、これらのポリシーはセキュリティ・グループによって適用されますが、セキュリティ・グループが1 名で構成されている場合もあり、ポリシーの適用がボトルネックとなって本番環境への投入スケジュールが遅れることもしばしばです。常に誰かがポリシーを監視し、DevOps チームのプロダクション・パイプラインとの同期に注意を払っていないと、締切直前になってセキュリティ要件への適合に追われることになります。本番環境へのデプロイが4 日後に迫った時点で、ペネトレーション・テストやマニュアル・コード・レビューの担当者を探し始めるといったことになりかねません。

Intelligent Orchestration なら、セキュリティ・ポリシーはコードに変換され、既存のビルド/ リリース・パイプラインと並行して動作する専用のCI パイプラインに適用されます。例えば、あるアプリケーションに対して90 日ごとにペネトレーション・テストを実行するようにポリシーで定められている場合、Intelligent Orchestration は80 日（などポリシーが示すタイム・フレーム）が経過した時点でチームに注意喚起の事前通知を送信します。ほとんどの組織は、何らかの内部テクノロジーを使用してポリシーを格納しています。シノプシスはクライアントのセキュリティ・チームに対し、手動で適用されるこれらのポリシーをIntelligent Orchestration で自動的に適用できるコードに変換する作業の支援を提供しています。