DevSecOps の観点から Orca Security を考える

こんにちは、Orca Security 担当の尾谷です。

恥ずかしながら、昔からおっちょこちょいで家の鍵を忘れて外出し、家族が帰宅するまで玄関で待ちぼうけしたり、鍵を持って外出しても無くすし、出張に出ると充電ケーブルやアダプターを抜き忘れて帰ってしまいます。

今、カルフォルニア州のアナハイムで開催されていた AWS re:Inforce に参加していますが、機内にハンドクリームを忘れてきて絶賛乾燥中です。

経験上、「忘れないように気をつける。」という努力論では解決せず（もちろん意識するようにはしていますが。）、忘れないような自分なりの 「ガードレール」 を作って自分自身をサポートして来ました。

例えば、以下の記事でもご紹介をしていますが、新宿で単身赴任を始めたときにベッドやテレビといった家具よりも先に、Qrio Lock を購入してスマートロック環境を準備しました。

techblog.forgevision.com

また、iPhone のリマインダーにチェックリストを登録しておき、出張時には
「ホテルの部屋を出る前にチェックリストを確認する。」ということだけひとつ覚えておくようにしています。

今は RV 車に乗っていますが、次に乗り換える車は車種はなんであれ、スマホで解錠しエンジンがスタートできる機能が搭載された車種にしようと思っています。

www.apple.com

業務を止めない方法を考える - ゲートキーパーからガードレールへ -

松本省吾さんの著書「AWSではじめるクラウドセキュリティ: クラウドで学ぶセキュリティ設計/実装」に見出しのセクションがあり、共感できましたのでご紹介したいと思います。

開発や運用に携わるエンジニアや業務部門とセキュリティを一緒に進めていくには、セキュリティの重要性を訴えるだけでは十分ではない。

セキュリティが与える負担を考慮する必要がある。

一緒に実現していく必要がある。

僕が「忘れないように気をつける。」で解決しなかったのと同様に、開発プロジェクトにおけるセキュリティも一方的に「セキュリティの重要性を訴える」だけでは不十分ではないでしょうか。例えば、鍵をスマホで一元管理したり、チェックリストでひとまとめにすることは、セキュリティのレビューを行ったり、監査対応や試験などを効率的に進められる手段を考え、一緒に実現していく、共に前進する考えに似ていると思いませんでしょうか。

AWS ではこうした進行を妨げる「ゲートキーパー型のセキュリティ」よりも、踏み外さないように道筋を作る「ガードレール型のセキュリティ」が推奨されています。

Orca Security の DevSecOps

Orca Security も業務を止めないセキュリティに貢献する機能が充実しています。例えば、エージェントレスで動作する SideScanning 機能。これは特許を取得しています。既存のAWS 環境に影響を与えることなく、稼働するサーバーに負担をかけることなく脅威を検出できるのは、数ある CNAPP 製品の中でもアドバンテージです。

数千、数万といった脅威、課題に対して優先順位づけを行いアラートのノイズをフィルタリングする機能は、フォージビジョン社内で Orca Security を利用してきた所感から、かなり的確だと感じています。

Shift Left Security も充実してきました。
CI/CD に Orca CLI を使ったスキャン機能を実装するとデプロイ前に脅威を検知できます。
CDR 機能は CloudTrail を読み込み、準リアルタイムな脅威検知を実現します。

これらのどれもがただ脅威検知を通知するだけではなく、どういった脅威なのか？どのように対処すれば防げるのか？といった対応方法まで表示します。
例えば、前者は Attack Path、Attack Vector でどのルートで情報が抜き取られる可能性があるかを示唆しますし、後者は Recommended Remediation にて対処方法を表示します。
脆弱性に関しては、CVSS スコアを前提に、文脈を汲みながら本当に問題があるか？を適切に指摘します。