サイボウズ株式会社は5月30日、自動脆弱性診断ツールの導入と効率化の取り組みについて、「Cybozu Inside Out」で発表した。PSIRTの田口氏が執筆している。
同記事では、自動脆弱性診断ツール「AeyeScan」の導入と活用するための取り組みで、サイボウズの脆弱性診断がどのように変わったかを紹介している。
同社では、同社が開発・提供する各製品に対し、PSIRTのテスターが製品ごとの特性に応じた脆弱性診断を内製で実施する他、外部ベンダーによる脆弱性診断や脆弱性報奨金制度(バグバウンティ)も活用し、多角的な検出体制を構築している。
PSIRTではこれまで、Burp SuiteのIntruderなど一部の補助機能は使うものの診断の大部分は手動で実施していたが、複数の製品が並行して開発され、各製品に割けるテスターの人数や診断スケジュールに限りがある中で、 すべての項目を毎回手動で診断することが大きな負担となっていたため、ツール導入の検討を行っている。
PSIRTではツール選定にあたり、複数の製品でトライアルを実施し、比較検討のうえでエーアイセキュリティラボの「AeyeScan」の導入を決定しており、決定要因として下記を挙げている。
・設定の手間が少なく容易にスキャンを実行できる手軽さ
・スキャン単位が細かく指定でき、柔軟な運用が可能
・APIが充実しており、同社業務基盤であるkintoneと連携がしやすい
・ドキュメントが充実している
PSIRTではAeyeScanの導入に際し、ツールそのものの活用だけでなく、その運用を支える周辺の仕組みも含めて効率化・自動化を進め、スキャン実行から結果の確認までを可能な限りスムーズに行えるような仕組みを整備している。
整備された仕組みでは、テスターがAeyeScanでスキャンを実行すると、AWS上に構築した中間サーバがWebhookをトリガーとしてAeyeScanから結果を取得し、自動でkintoneアプリへ登録され、日常的に利用しているkintone上で通知を受け取り、診断結果を一元的に確認・管理することが可能となっている。 検出結果の確認やトリアージ(対応の要否判断)もすべてkintone上で完結できるように整備しており、結果の参照や他データとの連携もスムーズに行える。また、スキャン実行時に診断環境が最新の開発バージョンに更新されておらず手間となるケースがあったため、診断環境のバージョンを自動更新する仕組みも併せて構築した。
