OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)

1. OSS+AWSでここまでできる DevSecOps！ Security-JAWS 第24回田原聖也 (Tahara, Masaya) February 28, 2022

2. Agenda 本発表の目的 DevSecOpsへの共通認識の整理なぜOSS+AWSか？ OSS+AWSで作るDevSecOps 発表内容のまとめ 1 2 3 4 5 6 自己紹介 2

3. 1. 自己紹介田原聖也 Tahara, Masaya • アクセンチュア株式会社テクノロジーコンサルティング本部所属 • クラウドとセキュリティの2軸でお客様の支援をしております • アプリケーション・・・業務でもプライベートでも幅広く Rust, Go, Ruby, Python, C#, Java, C++, etc • インフラ・・・ほぼAWS、Azureを少し • セキュリティ・・・情報処理安全確保支援士 3 This presentation makes reference to marks owned by third parties. Unless otherwise noted, all such third-party marks are the property of their respective owners. No sponsorship, endorsement or approval of this content by the owners of such marks is intended, expressed or implied.

4. 2. 本発表の目的 DevSecOpsの初歩として最適なOSS+AWS（パブリッククラウド）を幅広く紹介し、皆様のDevSecOpsの導入や強化の後押しをできれば幸いです。これからDevSecOpsに取り組む方には既にDevSecOpsを導入している方には ✓ OSS+AWSの組み合わせで様々なツールを紹介するので、一例としてご参考になればと思います。 ✓ いきなり全部のツールを導入する必要はありません。現在課題があったり、対象のシステムの特性に合いそうな分野から、手を付けてみてはいかがでしょうか。 ✓ DevSecOpsを強化できるポイントがないか見直す機会になればと思います。 ✓ 紹介されないおすすめのツールがありましたら、ぜひ教えて下さい！ 4

5. 3. DevSecOpsへの共通認識の整理 DevSecOpsでは、ただセキュリティチェックを行うのではなく、できるだけそれが開発の邪魔にならないことが求められます。 5 （Gartner[1] より引用。日本語部分は発表者が抄訳。) ✓ DevSecOps is the integration of security into emerging agile IT and DevOps development as seamlessly and as transparently as possible. …DevSecOpsとは、新興のアジャイルITやDevOpsの開発に、セキュリティをできるだけシームレスかつ透過的に統合すること ✓ Ideally, this is done without reducing the agility or speed of developers or requiring them to leave their development toolchain environment. …理想的には、開発者のアジリティやスピードを低下させたり、開発ツール環境を変更することなく、これを実現する [1] https://www.gartner.com/en/information-technology/glossary/devsecops

6. 4. なぜOSS＋AWSか？ DevSecOps導入の初手として、最適な組み合わせがOSS+AWS （パブリッククラウド）です。 6 ✓ OSSは商用製品と異なりライセンスコストがかからないため、スモールスタートしやすい • タダ乗りじゃなくて、コントリビュートも忘れずに！ ✓ AWSを既に基盤として利用している場合、AWSのセキュリティ系サービスは比較的容易に導入できる ✓ 身近なOSS＋AWSからDevSecOpsに着手してみることで、自分のチームに必要な要件を洗い出せる • ゆくゆくは商用製品に移行するとしても、求める要件（高精度な解析機能、CI/CD周辺ツール連携、等）を把握することで選定がしやすい

7. 5. OSS+AWSで作るDevSecOps 7 本発表では、ソフトウェア開発プロセスの中でもDevSecOpsのシフトレフトの中心であり、かつOSSの活用が盛んな開発フェーズに絞って紹介していきます。・・・設計コーディングビルドテストデプロイ・・・ ✓ セキュアコーディング ✓ 機密情報の漏洩対策 ✓ 静的コード解析（SAST） ✓ ソフトウェア構成解析（SCA） ✓ コンテナ解析 ✓ 動的アプリ解析（DAST） ✓ IaC解析 ※OSS+AWSに加えて、無償利用枠が充実している商用製品の紹介も含まれています。

8. 5. OSS+AWSで作るDevSecOps（再掲） 8 本発表では、ソフトウェア開発プロセスの中でもDevSecOpsのシフトレフトの中心であり、かつOSSの活用が盛んな開発フェーズに絞って紹介していきます。・・・設計コーディングビルドテストデプロイ・・・ ✓ セキュアコーディング ✓ 機密情報の漏洩対策 ✓ 静的コード解析（SAST） ✓ ソフトウェア構成解析（SCA） ✓ コンテナ解析 ✓ 動的アプリ解析（DAST） ✓ IaC解析

9. 5. OSS+AWSで作るDevSecOps -コーディングフェーズセキュアコーディングを支援するツールは数少ないですが、Snykは適用できる範囲が非常に幅広く、強く推奨できるツールです。 9 ➢ Snyk Vulnerability Scanner (Snyk Code IDEプラグイン) • 厳密にはOSSではないが、IDEプラグインとして無償利用可能なセキュアコーディング支援ツールである • 対応言語はPython、JavaScript/TypeScript、Java等、対応IDEもVS Code、JetBrains系、Eclipse等と幅広く、基本的にはいつでもどこでも使うことができる・・・設計コーディングビルドテストデプロイ・・・ ✓ セキュアコーディング ✓ 機密情報の漏洩対策

10. 5. OSS+AWSで作るDevSecOps -コーディングフェーズ機密情報の漏洩対策には、commit/push前後等のソースコードの状態に応じた適切なツールが利用可能です。 10 ➢ awslabs/git-secrets（sあり） • AWSのアクセスキー等、Gitレポジトリで共有したくない機密情報のcommitを防ぐ • 検査対象は正規表現で定義するため、用意されているプロバイダ毎のテンプレートに加えて、自前でも定義できる ➢ sobolevn/git-secret（sなし） • Gitレポジトリ内で暗号化技術を利用して安全に機密情報を扱う • AWS Secrets ManagerやAWS Systems Manager Parameter Store等と用途が重複するため、あまり出番はないかもしれない・・・・・・設計コーディングビルドテストデプロイ・・・ ✓ セキュアコーディング ✓ 機密情報の漏洩対策

11. 5. OSS+AWSで作るDevSecOps -コーディングフェーズ既に機密情報が漏洩してしまっていないかを調査するOSSツールも存在します。 11 ➢ trufflesecurity/truffleHog • 特定のGitレポジトリにcommit、pushされてしまっている機密情報を探す • 商用版では、Gitレポジトリだけでなくコンテナレポジトリや Slack等にアップロードされてしまった機密情報も探すことができる ➢ tillson/git-hound • アクセス可能な複数のGitHubレポジトリ（Publicレポジトリだけでなく参照権限のあるPrivateレポジトリも）をスキャンし、特定の機密情報が漏洩していないかチェックする・・・設計コーディングビルドテストデプロイ・・・ ✓ セキュアコーディング ✓ 機密情報の漏洩対策

13. 5. OSS+AWSで作るDevSecOps -ビルドフェーズ Amazon CodeGuruは機能追加により、SASTとしても、JavaとPythonのソースコードを解析可能となりました。 13 ・・・設計コーディングビルドテストデプロイ・・・ ✓ 静的コード解析（SAST） ✓ ソフトウェア構成解析（SCA） ✓ コンテナ解析 ➢ Amazon CodeGuru • リリース当時はなかったが、（田原がリクエストし続けた結果）セキュリティ観点での解析機能が追加された • AWS CodeCommitとの相性の良さは言わずもがな • 現在の対応言語はJavaとPythonのみと少ない • 「Boto3（AWS SDK for Python）を使う運用スクリプト」のようなユースケースには非常に適している ※SAST・・・Static Application Security Testing

14. 5. OSS+AWSで作るDevSecOps -ビルドフェーズ OSSではありませんが、SASTの中では比較的新しいツールとして、Snyk Codeが台頭しています。 14 ・・・設計コーディングビルドテストデプロイ・・・ ✓ 静的コード解析（SAST） ✓ ソフトウェア構成解析（SCA） ✓ コンテナ解析 ➢ Snyk Code • 前述のIDEプラグインのコアロジックとなっている • 対応言語はPython、JavaScript/TypeScript、Java等、かなり幅広い • GitHub等と統合するSaaS版（Web UI）だけでなく、CLI ツールとしても利用できる • 月間100スキャンまで無料で利用できる ➢ SonarQube • OSSのコード解析ツールとして永らく定番とされているが、セキュリティ観点の解析機能は正直物足りない部分がある

15. 5. OSS+AWSで作るDevSecOps -ビルドフェーズソフトウェアの大部分をOSSが占めていると言われる昨今ですが、さらに2021年末にLog4Shell脆弱性が大きく話題になり、SCAが注目されています。 15 ・・・設計コーディングビルドテストデプロイ・・・ ✓ 静的コード解析（SAST） ✓ ソフトウェア構成解析（SCA） ✓ コンテナ解析 ➢ OWASP Dependency Check • OWASP Foundation直属のOSSプロジェクトである • Java、.NETが正式サポート、PythonやNode.jsは Experimental supportとされている • 公式にも書かれている通り、実は検知精度には自信がない ➢ Snyk Open Source • Snyk Code同様、対応言語がかなり幅広い • SCA自体が解析結果・対応工数が莫大になりやすい分野だが、自動Fix（アップデートしたPR作成等）機能を具備する • 月間200スキャンまで無料で利用できる ※SCA・・・Software Composition Analytics

16. 5. OSS+AWSで作るDevSecOps -ビルドフェーズ Amazon ECRを利用しているのにコンテナ解析をしていない場合、まずは Amazon ECRが持つイメージスキャン機能の利用を強く推奨します。 16 ・・・設計コーディングビルドテストデプロイ・・・ ✓ 静的コード解析（SAST） ✓ ソフトウェア構成解析（SCA） ✓ コンテナ解析 ➢ Amazon ECRイメージスキャン • Amazon ECRさえ使っていれば、設定がとにかく簡単、ベーシックスキャンは無料で利用できる！[1] • Amazon ECRへpushしたイメージのみが対象である • Inspectorと統合された拡張スキャン機能により、解析カバレッジが増加、AWS Security Hub等との他サービス連携、などなど様々な機能が利用可能になった（ただしInspector の利用料金がかかる）[2] [1] https://docs.aws.amazon.com/ja_jp/inspector/latest/user/enable-disable-scanning-ecr.html [2] https://aws.amazon.com/jp/inspector/faqs/

17. 5. OSS+AWSで作るDevSecOps -ビルドフェーズコンテナ解析ツールは開発が盛んな分野ですが、OSSと商用製品（無償利用可能）から1つずつ紹介します。 17 ・・・設計コーディングビルドテストデプロイ・・・ ✓ 静的コード解析（SAST） ✓ ソフトウェア構成解析（SCA） ✓ コンテナ解析 ➢ aquasecurity/trivy • 伝説の日本人のセキュリティエンジニアが立ち上げた（早く映画化してほしい） • ビルドしたイメージのスキャンだけでなく、ビルド前のDockerfile 等のマニフェストファイルもスキャンできる ➢ Snyk Container • Trivy同様、ビルドしたイメージのスキャン、マニフェストファイルのスキャンもできる • docker scanコマンドの裏側には、実はこれも使われている • ECR、TrivyよりもGUIが充実している • 月間100スキャンまで無料で利用できる

19. 5. OSS+AWSで作るDevSecOps -テストフェーズ SASTと並んで、DASTはアプリケーションセキュリティの代表分野です。しかし、誤検知の多さにより、実運用では結果の精査や改修対応に苦戦しがちです。 19 ・・・設計コーディングビルドテストデプロイ・・・ ✓ 動的アプリ解析（DAST） ✓ IaC解析 ➢ OWASP ZAP • OWASP Foundation直属のOSSプロジェクトである • SASTのSonarQubeとセットで永らく愛されている • OWASP ZAPに限らないが、DASTの特性上、誤検知（特にFalse Positive）が大量に発生する場合が多い。そのため、導入しても解析結果の精査・改修対応をしきれず、形骸化してしまうプロジェクトもある。商用製品の前にOWASP ZAPのようなOSSを導入してみて、本当に使いこなせるのかを吟味することを推奨。 ※DAST・・・Dynamic Application Security Testing

20. 5. OSS+AWSで作るDevSecOps -ビルドフェーズインフラの構成管理にIaCが浸透するにつれ、IaCのセキュリティ解析ツールの開発も盛んになっています。まずはセキュリティ企業が管理する2つのOSSを紹介します。 20 ・・・設計コーディングビルドテストデプロイ・・・ ✓ 動的アプリ解析（DAST） ✓ IaC解析 ➢ aquasecurity/trivy • Terraform、Kubernetesマニフェストファイルを解析できる • 対応IaCツールは今後拡大である ➢ bridgecrewio/checkov • Terraform、Kubernetesマニフェストファイルに加え、 CloudFormationやDockerfile等も解析できる • Bridgecrewとの連携によりWeb UI利用やCI/CDパイプライン連携できる ※IaC・・・Infrastructure as Code

21. 5. OSS+AWSで作るDevSecOps -ビルドフェーズ CloudFormationやTerraform等、特定のIaCツール専用のIaC解析ツールも存在します。 21 ・・・設計コーディングビルドテストデプロイ・・・ ✓ 動的アプリ解析（DAST） ✓ IaC解析 ➢ stelligent/cfn_nag • CloudFormation専用である • CodePipelineとの連携や、GitHub Actionsとしても利用できたり、統合機能に力を入れている印象がある ➢ aquasecurity/tfsec • Terraform専用である • VS Codeプラグインとしても利用できるため、Terraformユーザはとりあえず導入してほしい・・・ ※他にもDockerfile専用ツール等もありますが、今回はJAWSですので AWSリソースを直接扱うIaCに限定しています。

22. 5. OSS+AWSで作るDevSecOps -ビルドフェーズ SnykはSASTやSCA、コンテナ解析に加え、IaC解析の機能も提供しています。 22 ・・・設計コーディングビルドテストデプロイ・・・ ✓ 動的アプリ解析（DAST） ✓ IaC解析 ➢ Snyk IaC • Terraform, CloudFormation, Kubernetes等、幅広い IaCツールに対応する • 月間300スキャンまで無料で利用できる

23. 5. OSS+AWSで作るDevSecOps 対象システムの特性を鑑みながら、本発表で紹介したDevSecOpsの代表的ツールの検証・導入をご検討されてはいかがでしょうか。 23 ・・・設計コーディングビルドテストデプロイ・・・ ✓ セキュアコーディング ➢ Snyk Vulnerability Scanner ✓ 機密情報の漏洩対策 ➢ git-secrets ➢ git-secret ➢ truffleHog / git- Hound ✓ 静的コード解析（SAST） ➢ Amazon CodeGuru / Snyk Code / SonarQube ✓ ソフトウェア構成解析（SCA） ➢ OWASP Dependency Check / Snyk Open Source ✓ コンテナ解析 ➢ Amazon ECR / Trivy / Snyk Container ✓ 動的アプリ解析（DAST） ➢ OWASP ZAP ✓ IaC解析 ➢ Trivy / Checkov / cfn_nag / tfsec / Snyk IaC ※箇条書きは併用可能、”/”で区切られているものは併用非推奨

24. 6. 発表内容のまとめ OSS+AWSを中心に、商用製品も紹介しました。皆様のご担当されているシステムのセキュリティ向上の一助となれば幸いです。 24 ✓ まずはOSSを活用し、最小限のコストでスモールスタートしてみましょう ✓ AWSのセキュリティ系サービスは導入が比較的容易ですし、進化も早いので、今後もアップデートに注目していきましょう ✓ OSSでもAWSでもありませんが、無料利用枠が充実しているSnykは、解析分野が包括的で、分かりやすいUIを提供してくれる等の強みが多く、非常におすすめです

25. Thank You! ご意見、ご質問ありましたらお気軽にご連絡下さい masaya.tahara@accenture.com 田原聖也 (Tahara, Masaya)

OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)

OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)

Recomendados

Más contenido relacionado

Was ist angesagt?

Was ist angesagt?(20)

Similar a OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)

Similar a OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)(20)

OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)