ICTセキュリティソリューション

昨今の生活に欠かせないIT技術の発展とともに、サイバー攻撃の回数、種類は飛躍的に増加しさらに悪質化しています。ICTリスクマネジメントの観点では、開発から運用を停滞させずにセキュアに実行する「DecSecOps」の概念およびプロセス、ツールを導入していくことで、CI/CDサイクルをシームレスに実行できます。
丸文のICTセキュリティソリューションは、ソフトウェアの開発、セキュリティ、テスト、運用を統合的に実行し、フェーズのシフトレフトによって開発コスト、人的リソースの削減を可能にします。
用途別セキュリティソリューション
▌アプリ・デバイス開発
▌Coverity 静的アプリケーション・セキュリティ・テスト
コーディング段階のセキュリティテスト
Coverityは、開発済み・アウトソース開発などの記述コードの整合性をチェックできるツールです。
プラグインを使うことでリアルタイムに解析結果を得ることができ、素早い問題把握と是正提案を実行します。
▌BlackDuck ソフトウェアコンポジション解析
オープンソースソフトウェアの管理
BlackDuckは、アプリケーションやコンテナに含まれるオープンソースおよびサードパーティーのコードから生じるセキュリティ、品質、ライセンス、コンプライアンス上のリスク管理を支援します。
ソフトウェア開発環境(ソースコード、バイナリ、コンテナ等)をスキャンし、オープンソースを識別、既知の脆弱性を報告し、ソースコードのないサードパーティソフトウェアもバイナリコードで解析が可能です。
▌Seekerインタラクティブ・アプリケーション・セキュリティ・テスト
Webアプリケーションのリスク診断
動的テスト手法を用いて、実行中のWebアプリケーションで発見された脆弱性に関連するセキュリティ・リスクの特定および管理を支援します。
リアルタイムにコード解析を実行できます。
後段プロセスにあるペネトレーションテストなどの動的テストを効率化・省力化できます。
CI/CDツールに統合可能です。
DevOpsを妨げず、CI/CDワークフローのバックグラウンドで自動化されたセキュリティ検査を行うため、開発者が本来やりたいことに専念しつつ、コードのセキュリティを高めることができます。
▌Defensics ファジングテスト
製品の不具合やゼロデイ脆弱性の検出
Defensicsプラットフォームは、あらゆるユーザーが採用できる高機能なセキュリティテスト手法を標準搭載しています。250以上の構築済みテストスイートがプリセットされており、テストレポートには問題の詳細のほか、CWEやインジェクションタイプなどの業界標準へのマッピング、問題の再現・修正確認のためのテストケース、サプライヤ向けの修正パッケージが含まれています。
▌ネットワークインフラ・Webサイト運用
▌CyberFlood アプリケーション&セキュリティ・テスト
Spirent CyberFlood アプリケーション&セキュリティ・テストはファイアーウォールやIPSなどのNW機器やシステムに対する各種のアプリケーショントラフィックによる負荷試験、既知のアタックやマルウェアトラフィックによる安全性の検証、ファジングなどの試験を行います。
▌SecurityLabs セキュリティ ペネトレーションテスト
SecurityLabsによるペネトレーションテストは、 CREST認定を取得した世界的に著名な多国籍にわたる専門ホワイトハッカーチームが手掛ける侵入テスト&コンサルテーションサービスです。
用語説明
▌DevOps:開発(Development)と運用(Operations)の合成語です。
ソフトウェア開発手法のひとつで、プロジェクトの開発から運用、そして運用の中で発見された問題点を開発側に返し、継続的に改善していくサイクルを、概念として定義付けています。
Development
・Plan :プロジェクトの立案・設計
・Code:コード化
・Build:構築
・Test :成果物のテスト
Opetation
・Release :リリース
・Deploy :配備
・Operate:運用
・Monitor :監視
▌DevSecOps:開発(Development)セキュリティ(Security)運用(Operations)の合成語です。
DevOpsのサイクルの各ポイントにセキュリティ工程を組み込むことで、プロジェクトの安全性・安定性を高めるとともに、セキュリティリスクからくるDevOpsサイクルの鈍化を防ぎ加速させる、という考え方です。
DevOpsにおけるセキュリティ検証要素は「リリース前のテスト」と「運用監視」ですが、このポイントで発見した問題点を改修するには大きな遡りが発生し、そのためのコストも甚大になります。
DevOpsの発展形で、セキュリティ的にもコスト的にも非常に効率的な開発運用サイクルです。
▌CI/CD:継続的統合及び継続的適用(Continuous Integration / Continuous Delivery・Deployment)
ソフトウェア開発のビルドやテストを自動化し、またリビジョンを自動リリースできる開発手法です。
DevOpsのサイクルで変更となったコードを自動でビルド/テストし、ソフトウェアに反映させユーザーシステムへの適用まで実行します。この開発手法のプロセスを「CI/CDパイプライン」と呼びます。
これに適合した自動化ツールとして、オンプレミス型では「Jenkins」、クラウド型で「CodeBuild」が有名です。
CI/CDパイプライン
▌シフトレフト:時系列を右への流れと捉えたうえでのシフト「レフト」となります。
ソフトウェア開発における修正作業が及ぼすコスト試算は下記のようになると言われています(synopsys社試算)。
時系列として、早い段階での修正はコスト的にもリソース的にもより効率的と言えます。
これを「シフトレフト」と言います。
バグ修正のタイミングとコスト