セキュリティ対応の自動化を支援するHCL AppScan
では、具体的にどうすればよいのか。村石氏は、「セキュリティ対応を自動化するのは一つの方法」と述べる。開発業務が本来の仕事であり、セキュリティ対応に時間を割く余裕はない。だからこそ、普段使っている開発環境にセキュリティ機能を組み込むことで、負担を軽減できる可能性がある。
仮にセキュリティ対応の自動化が進んだとしても、業務の中で「これはどういう仕組みなのか?」と聞かれる場面が出てくるかもしれない。その際、基本的な知識がなければ適切に対応できないだろう。最低限のセキュリティ知識を持ったうえで、対策の自動化を進めることでスムーズに対応できるようになるはずだ。
セキュリティ対応のアプローチとして注目されているのが「DevSecOps」。開発プロセスの中にセキュリティを組み込むことで、自動化を進めつつリスクを最小限に抑えられる可能性がある。また、セキュリティテストの自動化も有効だ。村石氏は「単体テスト、機能テスト、統合テストなど、さまざまなテストを実施するのは、それぞれにメリットとデメリットがあるからです。セキュリティテストも同様で、自動化できれば負担を減らせるはずです」と話す。
村石氏は、セキュリティ対策の自動化ソリューションとしてHCL AppScanを紹介した。これは「作るものを守る」というコンセプトのもと、SAST(静的解析)、SCA(構成解析)、DAST(動的解析)、IAST(インタラクティブ解析)といった多様なセキュリティテスト手法をサポートし、開発から運用までの各段階で適切なセキュリティテストを実施できる。
SASTはアプリケーションのソースコードを解析し、開発の各段階で適用可能だ。SCAはオープンソースやサードパーティパッケージに含まれる脆弱性を検出し、近年増加しているサプライチェーン攻撃への対策にも活用できる。DASTはWebアプリケーションを実行状態で解析し、IASTはアプリケーションをモニターしながら脆弱性を検出する。
HCL AppScanの提供形態について村石氏は「オンプレミスとクラウドの両方に対応し、さまざまな開発環境をサポートしています。用途や環境に応じたライセンスタイプを用意しており、必要な機能を最適な形で利用できるようになっています」と説明した。
