シフトレフトセキュリティを実現するFortify SCAのご紹介

はじめに

みなさん、こんにちは。株式会社アシストの福地義博です。本稿ではシフトレフトセキュリティを実現するソースコード解析ツール Fortify Static Code Analyzer(以後、Fortify SCA略)のご紹介をさせていただきます。

目次

・シフトレフトセキュリティとは
・シフトレフトセキュリティが必要とされる背景
・シフトレフトセキュリティを実現するソースコード解析ツールFortify SCA紹介

シフトレフトセキュリティとは

シフトレフト(Shift Left)という言葉をみなさんご存知でしょうか。

この言葉は、ソフトウェア開発工程を見直し、後工程のタスクを前倒して実施することを意味します。同内容にセキュリティの一要因である脆弱性を加え、シフトレフトセキュリティと本ブログでは定義させていただきます。

具体的な例を挙げれば、ソフトウェアのセキュリティに関して、システムテストや受入テストの開発後工程で脆弱性診断を実施するのではなく、開発初期段階であるコーディング段階からソースコード上の脆弱性がないかをチェックし、対策することを指します。

シフトレフトセキュリティが必要とされる背景

それではなぜ今、そのシフトレフトが必要とされるのでしょうか。

理由として、現代において変化の激しいビジネス環境では、ITシステムはビジネスにより直結し、今まで以上にスピードと品質の両立を求められるようになったことが挙げられます。

その変化に追従するために、開発手法もウォーターフォールからアジャイル開発へ移行していくプロジェクトも増えてきました。その背景として、従来の半年や1年かけてウォーターフォール型の開発を行うとスピードの面で、変化の多いビジネスとシステムの追従が追い付かなくなり、顧客のニーズとITシステムにギャップが生まれてしまいビジネスチャンスを逃す恐れがあります。

そのため、開発現場では、スピーディーにシステム開発を行うために、DevOpsに代表される開発と運用の連携を目指した体制も取り組み始めているお客様も増えてきました。一方で忘れがちなのが、セキュリティの担保です。

開発手法をせっかく、アジャイルやDevOpsの体制を組んだとしても脆弱性対策が従来の頻度のままでは、開発の手戻りが発生していまいます。例えば、ソースコード上にSQLインジェクションやクロスサイトスクリプティングといった脆弱性が含まれていた場合、アプリケーションが出来上がってから、脆弱性診断を実施し、課題を検知してもソースコードの修正が発生し、コードの修正、単体・結合テスト等のやり直しが発生し、とても手間暇がかかってしまいます。その開発の手戻りをなくすためにシフトレフトアプローチを行い、セキュリティ含めたDevSecOpsの体制を組む必要性が出てきます。

シフトレフトセキュリティを実現するソースコード解析ツールFortifySCAのご紹介

Fortify SCAとはソースコード上に潜むセキュリティ脆弱性を検知し、対処方法のリコメンドを行うソースコード解析ツールです。ソースコード上の脆弱性が検知可能なため、開発初期段階で利用可能です。加えて、優先的に対応すべき脆弱性についても対応判断を迅速に行ってくれる機械学習機能が実装されています。そのため、シフトレフトセキュリティを実現しやすいツールとなります。

＜主な特徴＞
・30の開発言語およびフレームワークに対応し、特にWeb系の言語の解析に強い。
・脆弱性のパターンマッチではなく、独自アルゴリズムを用いた高度な解析を実施し脆弱性を洗い出す機能を保有し、シフトレフトセキュリティを実現。
・脆弱性のトリアージを自動的に行い、監査予測が可能なため、判断の効率化に寄与
(機械学習アルゴリズムと数百万件の匿名化された監査判定を使用し、判断を効率化)
・Git、Jenkins等の CI/CDツールと連携し、DevSecOpsを実現

おわりに

DevOpsやアジャイル開発をキーワードにシフトレフトセキュリティを意識したお客様も徐々に増えております。開発初期段階からセキュリティを意識した開発を行い、開発の手戻りをなくすアプローチとして、有益なソースコード解析ツールのご紹介をさせていただきました。読者の皆様のご参考となりましたら幸いです。

関連リンク

Fortify Static Code Analyzer紹介ページはコチラ