プロダクト開発におけるセキュリティ人材不足を解消するには
現状ではプロダクト開発におけるセキュリティ対策には、これまで挙げたようなツールや解決策がある。しかしまだ課題は残る。「全体像を把握したうえで仕組みを構築する」「ツールを理解したうえでどれを採用するかを取捨選択する」「脆弱性の発見後にどのくらい早急に対応すべきかトリアージを判断する」など、こうしたことができる人材がいるのかという課題がまだ残っている。
この課題に対する解決策として手塚氏は「脆弱性診断の自動化と、実質的に無限となるリソースの活用」を掲げた。スリーシェイクのサービスでいうと、前者は手軽にできる脆弱性診断「Securify」、後者は4万人のバグハンターと連携するバグバウンティ(バグ報奨金制度)運用代行サービス「Bugty」がこれに当たる。
脆弱性診断ツール「Securify」では、専門知識がなくても直感的に診断できるため、自社のプロダクトに対して手軽に何度でも脆弱性診断を実施できるようになる。手塚氏は「脆弱性診断というのは、ある日脆弱性が発見されなかったとしても、翌日や数日後に発見される可能性はあります。そのため最低限のベースラインの担保のためにも高頻度で継続的に実施することが重要です」と強調する。
診断は3ステップで開始できる。新規プロジェクトを作成し、診断対象ドメインの所有を確認した後、診断対象のURLを登録ればいい。後は自動クローリングで脆弱性を診断する。診断後には分かりやすい診断結果が表示される。発見された脆弱性ごとに概要、根拠、該当箇所や修正方法の提案も表示される。診断結果は報告や共有のためにPDFファイルで出力したり、チャットツール(SlackやTeams)やメールで関係者に通知することも可能だ。
ダッシュボードでは現状のステータスを一目で確認できるようになっている。危険度ごとの脆弱性件数、脆弱性数の推移、定期実行をしているなら次回の実行日時などが可視化されている。実施可能な診断項目はSQLインジェクション、クロスサイトスクリプティング、CORSの設定不備、クリックジャッキングなど約900項目ある。
手塚氏は「Securifyで日次や週次で継続的に脆弱性の状況をモニタリングし、必要に応じて対応することで、セキュリティのベースライン品質担保を実現できます」と話す。
また「Bugty」はバグバウンティ運用代行サービスだ。バグバウンティはバグ報奨金制度とも言われており、プログラムやシステム内のバグを発見した時の報奨金を設定し、バグハンター(エシカルハッカーやホワイトハッカーなど)に公開する。もしバグハンターがバグや脆弱性を発見したら、企業は報告者に報奨金を支払う。この仕組みがバグバウンティだ。
一般的に企業がセキュリティ対策として実施するペネトレーションテストや脆弱性診断は限られた領域を対象としており、単発であったり少人数で実施されたりすることが多い。どんなに優秀な人材だとしても、少人数では限界がある。一方、バグバウンティでは世界中に多数いるバグハンターに協力してもらうため、それぞれの知見や経験から多角的かつ定常的にバグ調査が行われることになる。
海外では大手IT企業のMeta(旧Facebook)、Microsoft、Googleほか、米国国防総省、スターバックス、Uberなどが導入している。特に、高いセキュリティが求められる金融機関では導入事例が多い。またZoomはパンデミックで急速に利用者が増えると同時にセキュリティ強化の需要が高まり、2020年4月からバグバウンティを開始した。日本では任天堂、サイボウズ、ピクシブ、LINEなどが導入しているものの、海外に比べるとまだ多くはない。
導入企業がバグバウンティを実施しているのは必要性とコストが見合っているからだろう。どの企業も自社でいろいろと工夫しながら開発しているものの、バグや脆弱性の発見はなかなか難しい。特に自社内でやろうとすると目が行き届かない。発見できないままではいつか攻撃されてしまい、それで致命的あるいは多大な被害が生じてしまうこともある。そうした被害を未然に防げるなら、報奨金のほうが安上がりという考えだ。実際、Googleではバグバウンティ開始から10年で1万1000以上のバグが見つかり、2000人以上のバグハンターに合計3000万米ドルほどの報奨金を支払った。テックジャイアントもバグバウンティに頼っているのだ。
とはいえ、自前でバグバウンティを導入するとなると、世界中のバグハンターとコミュニケーションする言語力、報告されたバグの内容を理解するためのセキュリティ知見、適切な額の報奨金を設定する判断力などが必要になる。
そこでスリーシェイクではバグバウンティ運用代行「Bugty」を提供している。ヨーロッパのバグバウンティプラットフォーム「Intigriti」と提携しているため、4万人のバグハンターが味方になる。バグハンターとのコミュニケーションやトリアージはBugtyのセキュリティエンジニアが代行する。もちろん、利用企業への報告書は日本語で提供される。
最後に手塚氏は次のように述べた。「ビジネススピードの変化に応じるために開発の高速化が重要になる一方、セキュリティ対策も避けては通れません。継続的セキュリティを実現するためには脆弱性診断の自動化やバグバウンティのアプローチが有効になります。大事なのは脆弱性に向き合い続けることです。そうした姿勢がプロダクトの透明性、ひいてはお客様からの信頼獲得に繋がります」。
関連情報
スリーシェイクでは、定期セミナーを開催しています! イベントを見逃してしまった方やSecurify Scanを実際に触ってみたい方など、少しでも興味があれば是非ご参加ください! ※事前登録が必要です。
- セミナーの一覧はこちらから
