ちょっと真面目に語ります 検証チーム

丸紅情報システムズ 検証チームによる、検証ソフトのご紹介・
メーカー記事のご紹介・技術ノウハウ・つぶやき等を日々更新しております。

丸紅情報システムズ メビうさ
  • TOP
  • Software Risk Manager (SRM) ~ソフトウエア脆弱性管理やってますか~

2023.01.04 | SRM

Software Risk Manager (SRM) ~ソフトウエア脆弱性管理やってますか~

こんにちは。今回は、技術担当から、ソフトウエア脆弱性管理の統合プラットフォームであるSRMについてのご紹介です。

「脆弱性」というキーワードに対しては、開発に手一杯でまだそこまで考えが及ばない、あるいは、何とかやっているがどこまでやるかが難しい、など、様々な反応をお客様からお聞きします。SRMは、そういった様々な状況のお客様に対して、脆弱性管理の支援をご提供します。

SRMが重視しているのは、単に脆弱性検出結果を羅列するのではなく、セキュリティ管理者が、優先度付けを実施して、開発者を含む開発環境にフィードバックすることにより、効率的な脆弱性対策実施を可能とすることです。SRMでは、そのための支援機能が充実しています。

実際にSRMを使う場面ですが、右図のように、既存の開発環境で脆弱性検出ツールをお使いであれば、そのツールの実行結果をSRMに入力するだけです。 図では「SAST(Static Application Security Testing)」と書いていますが、約80種類以上のツール実行結果を入力可能です。
(SRMと開発管理環境の関わり詳細については別の機会に。。。)

もし、これから脆弱性管理を導入される場合で、脆弱性検出ツールもこれから検討、という場合でもご心配無用です。SRMには最初から各種開発言語対応のSASTツール等が10数種類以上バンドルされており、これらを活用することで、容易に脆弱性管理をスタートすることができます。

さて、SRMが想定する脆弱性検出ツールとしてはどのような種類があるのか、簡単にご紹介しましょう。

セキュリティテストについては、一般的には左図のような区分けがされる事が多いようです。 通常、個々のツールは、図の区分のどこかを集中的にチェックするようになっています。 SRMがサポートする脆弱性検出ツール群全体では、これらの領域のかなりをカバーしています。 (サポート対象のツールについては、記事末尾のリンクからカタログ等をご参照下さい)

大まかに、図の上の方のテストほど、コストや時間が掛かります。 また、テストの種類により、そのテストを実施可能な開発フェーズも異なります。
開発対象のソフトウエアに応じて、テストの種類や実施タイミングを計画・実施する必要があります。
SRMは、目的に応じた脆弱性検出ツール(1種類以上)を使う場合に、それらツールの実行結果について、結果の統合・優先度付けの支援や、脆弱性対策の支援を行うことにより、脆弱性管理を効率化・高速化します。

これから脆弱性管理導入をお考えのお客様には、SRMのバンドルツールを使って、上図のSAST/Unit Testingから着手される事をお勧めしています。 既に、ツールをお持ちのお客様には、図の複数の領域を、より広げて実施されると良いと考えます。

今回、SRMに関する初回の投稿で、形式通りのご説明になってしまいました。 今後、機会を見つけて、Agile/DevOpsの現場への展開方法や、活用上のTips的なこと、時々は、少し広くソフトウエア開発についてのつぶやき等、ヒントになるようなことを発信できれば、と考えています!

SRM
リンク

デジタルITソリューション事業本部 データソリューション営業部 片岡 咲子

デジタルITソリューション事業本部
データソリューション営業部
落井 裕治

日々、開発ツールや開発プロセスの事が頭から離れない、技術担当です。
最近は、この50年ぐらいで、何が進化して何が変わっていないのか、なんてことも気になって調べてたりします。

丸紅情報システムズ株式会社 丸紅情報システムズ株式会社
丸紅情報システムズ メビうさ