ビジネス&テクノロジー

フォーティネット、DevSecOpsを推進するためにアプリケーションセキュリティを革新するSken.ai社を買収

投稿者 Fortinet | 2021年7月21日

DevSecOps界のアプリケーションセキュリティ

アプリケーション開発は長年にわたって「ウォーターフォール方式」から「アジャイル方式」に移行してきました。ウォーターフォール方式では、アプリケーション変更のデプロイは数ヵ月に1回で、開発チームは、前のステップが成功した場合のみ、開発の次のフェーズまたはテストに移行する連続的なアプローチです。一方で、アジャイル方式では開発作業とテスト作業は同時進行され、開発やテストを連続的に繰り返すことができます。また、アプリケーション変更は非常に頻繁で、場合によっては日次でクラウドに展開されるため、開発テスト、機能テスト、アプリケーションセキュリティ(AppSec)テストの各チームの連携とコミュニケーションが緊密になり、所要時間が迅速化します。このためには、アプリケーション構築やクラウドへの展開に関係するワークフローを自動化する必要があり、その結果として、CI / CD(継続的インテグレーション / 継続的デプロイメント)ツールを使用して自動化を実現するDevOpsの役割が高まっています。 

また、アプリケーションセキュリティ(AppSec)のテストは、このCI / CDパラダイムに適合するように自動化し、開発サイクルの初期段階に統合する必要があります(一般的にシフトレフトと呼ぶ)。多くのAppSecテスト製品では、AppSecの専門知識を通常持たず、これらの製品を効果的に使用できないDevOpsエンジニアや開発者のUXを考慮してネイティブ設計されていないため、この部分が不十分な場合が多くあります。つまり、これらの製品はDevSecOpsには対応していません。DevSecOpsとは、Development(開発)、Security(セキュリティ)、Operation(運用)の略語です。これは、初期設計から、統合、テスト、デプロイメント、ソフトウェアの配信まで、ソフトウェア開発サイクルの各フェーズにセキュリティを統合し、自動化することを意味します。

また、AppSecのテストは非常に細分化されています。アプリケーションの脆弱性を把握するために実施が必要なAppSecのスキャンには数多くの種類があり、これらは通常、複数の製品によって提供されます。複数製品のソリューションがあると断片化を招き、DevSecOpsにおいてAppSecを実現することが困難になります。

業界では、DevSecOpsがDNAに組み込まれた革新的なAppSec製品が求められています。セキュリティに関する専門知識を必要としない、DevOpsのエンジニアや開発者が簡単に使用できるものでなければなりません。また、AppSecのスキャンは、SAST、DAST、SCA、シークレットなど、あらゆるタイプのAppSecスキャンをカバーする包括的な製品サービスである必要があります。

フォーティネットのセキュリティポートフォリオ強化のためにSken.aiを追加

フォーティネットは増大する上記の課題に対応するため、サンフランシスコのベイエリアに本社を置く非上場のスタートアップ企業であるSken.ai社を買収しました。

Sken.aiは、DevOpsを重視したAppSec製品で、継続的なAppSecテストが可能です。DevOpsの担当者は、AppSecの専門知識がなくても、本製品を使用することができます。Sken.aiでは、コードを2行追加するだけで、すべての主要なDevOps CI / CDプラットフォームとシームレスに統合することが可能です。

また、Sken.aiは、すべての主要な言語やフレームワークについて、あらゆるスキャンタイプ(SAST、DAST、SCA、シークレットなど)をカバーする包括的なテストが可能です。Sken.aiは機械学習(ML)を使用して、さまざまなスキャンタイプやアプリケーションで発見された脆弱性のセキュリティリスクを個々に関連付け、評価を割り当てます。たとえば、異なるスキャンタイプで同様の脆弱性が発見された場合、その問題のリスク評価は増大します。各スキャンタイプの結果を全体として関連付けることで、誤検知を減らし、不要な情報を削減します。

Sken.aiは、スキャナの設定と管理が不要なため、使用が容易です。Sken.aiはアプリケーションを検出した後、使用する言語 / フレームワークに応じて、およびアプリケーションの現在の構築段階 / デプロイプロセスに応じて、対象のアプリケーションに関連するすべてのスキャナを自動的に検出します。その後、それらのスキャナの最新の安定版のDockerイメージを、お客様のCI / CDサーバーにシームレスにダウンロードします。スキャンが完了するとスキャナは破棄され、スキャン結果のみがSken.aiクラウドにアップロードされます。これにより、お客様は常に最適な最新版のスキャナを使用することが可能で、スキャナを管理する必要はありません。

結論として、Sken.aiは、お客様のあらゆるAppSecスキャンにおいて、一元的なオーケストレーションや構成が可能なほか、統合されたダッシュボードを備えています。

モダンアプリケーション開発における本番移行前後のセキュリティ

フォーティネットのFortiWebおよびセキュリティ ファブリックを利用すると、本番環境で稼働するお客様のWebアプリケーションを安全に保護することができます。フォーティネットはSken.ai社の買収と既存のFortiPenTest製品によって、アプリケーションの開発プロセス時にアプリケーションの脆弱性を修正することが可能な追加機能が備わり、アプリケーションの開発 / 運用フェーズ全体をカバーするセキュリティ ファブリックを提供しています。

Sken.ai社の前の創業者兼CEOであるSundar Krish氏は、DevOpsに対応したモダンなAppSecを提供するというフォーティネットのビジョンを推進するため、DevSecOps担当のジェネラルマネージャーとしてフォーティネットに加わりました。

DevOpsに関するお客様のコメントの紹介

ある大手保険会社のDevOpsディレクターは次のように述べています。「当社はいくつかの商用のアプリケーションセキュリティスキャナを利用しましたが、幅広い範囲のスキャンに対応しておらず(静的、動的、対話的など)、これらの異なるスキャナを当社のCI / CDパイプラインに統合すると完全に分断化され、DevOpsチームやセキュリティチーム間で不必要なやりとりが発生していました。当社は数百ものアプリケーションを利用していますが、これらすべてを処理するだけの帯域幅がありませんでした。Sken.aiを試したところ、Sken.aiはセキュリティ問題を包括的に可視化することが可能で、セキュリティギャップ全体を埋めることができるようになり、とても気に入っています。Skenは、DevOps担当者にとって非常に容易で、1回の設定で完了します」

ある大手インフラ企業のアプリケーションセキュリティマネージャーは次のようにコメントしています。「Sken.aiは、あらゆるスキャンタイプに対応するインテリジェントなセキュリティリスク評価メカニズムを備えており、注力すべき問題に優先順位を付けることができます。Sken.aiによって、アプリケーションセキュリティチームと、開発者およびDevOpsエンジニアとの関係は、これまで以上に良好になりました」

フォーティネット セキュリティ ファブリック プラットフォームは、組織のデジタル攻撃対象領域全体にわたりセキュリティ保護を幅広く統合 / 自動化することで、ネットワーク、エンドポイント、クラウド全体の一貫的なセキュリティを実現します。詳細はこちらをご覧ください。