Software Risk Manager (SRM) ~ソフトウエア脆弱性管理やってますか~
こんにちは。今回は、技術担当から、ソフトウエア脆弱性管理の統合プラットフォームであるSRMについてのご紹介です。
「脆弱性」というキーワードに対しては、開発に手一杯でまだそこまで考えが及ばない、あるいは、何とかやっているがどこまでやるかが難しい、など、様々な反応をお客様からお聞きします。SRMは、そういった様々な状況のお客様に対して、脆弱性管理の支援をご提供します。
SRMが重視しているのは、単に脆弱性検出結果を羅列するのではなく、セキュリティ管理者が、優先度付けを実施して、開発者を含む開発環境にフィードバックすることにより、効率的な脆弱性対策実施を可能とすることです。SRMでは、そのための支援機能が充実しています。
実際にSRMを使う場面ですが、右図のように、既存の開発環境で脆弱性検出ツールをお使いであれば、そのツールの実行結果をSRMに入力するだけです。
図では「SAST(Static Application Security Testing)」と書いていますが、約80種類以上のツール実行結果を入力可能です。
(SRMと開発管理環境の関わり詳細については別の機会に。。。)
もし、これから脆弱性管理を導入される場合で、脆弱性検出ツールもこれから検討、という場合でもご心配無用です。SRMには最初から各種開発言語対応のSASTツール等が10数種類以上バンドルされており、これらを活用することで、容易に脆弱性管理をスタートすることができます。
さて、SRMが想定する脆弱性検出ツールとしてはどのような種類があるのか、簡単にご紹介しましょう。
セキュリティテストについては、一般的には左図のような区分けがされる事が多いようです。 通常、個々のツールは、図の区分のどこかを集中的にチェックするようになっています。 SRMがサポートする脆弱性検出ツール群全体では、これらの領域のかなりをカバーしています。 (サポート対象のツールについては、記事末尾のリンクからカタログ等をご参照下さい)
大まかに、図の上の方のテストほど、コストや時間が掛かります。
また、テストの種類により、そのテストを実施可能な開発フェーズも異なります。
開発対象のソフトウエアに応じて、テストの種類や実施タイミングを計画・実施する必要があります。
SRMは、目的に応じた脆弱性検出ツール(1種類以上)を使う場合に、それらツールの実行結果について、結果の統合・優先度付けの支援や、脆弱性対策の支援を行うことにより、脆弱性管理を効率化・高速化します。
これから脆弱性管理導入をお考えのお客様には、SRMのバンドルツールを使って、上図のSAST/Unit Testingから着手される事をお勧めしています。 既に、ツールをお持ちのお客様には、図の複数の領域を、より広げて実施されると良いと考えます。
今回、SRMに関する初回の投稿で、形式通りのご説明になってしまいました。 今後、機会を見つけて、Agile/DevOpsの現場への展開方法や、活用上のTips的なこと、時々は、少し広くソフトウエア開発についてのつぶやき等、ヒントになるようなことを発信できれば、と考えています!