みなさん、セキュリティ対策していますか?弥生CTOの佐々木です。 セキュリティ対策にもDAST、SAST、SCAなど色々ありますが、今日は弥生でも利用中のSCA(Software Composition Analysis)の機能を持つオールインワン脆弱性管理クラウド「yamory」についてご紹介します。
yamoryですが「オールインワン脆弱性管理クラウド」ですのでSCA以外の機能も持っています。
SCA以外の機能もフル活用しつつ、重複なく漏れなく対策を行うためにセキュリティ担当者にyamoryで出来る事を調査してもらいました。
以下、調査結果です。
yamory とは
yamory は IT システムに潜む脆弱性を自動で検知し対応フローを構築する、脆弱性管理クラウドです。 利用しているサーバーホストのOSや開発言語やビルドシステム / パッケージ管理システムに合わせて、最適な脆弱性スキャン方法を提供しています。
yamoryが見るファイル等は以下のものです。
- アプリケーションのマニフェストファイル
- ホストのパッケージのメタデータ(パッケージ管理コマンドの結果)
- コンテナのイメージにインストールされているパッケージのメタデータ
- クラウド環境の設定
- 詳細: https://yamory.io/docs/scan-targets/
スキャンについて
スキャン種別
現在(2024/02時点)、以下のスキャンが用意されています。
- アプリライブラリスキャン
- ホストスキャン
- コンテナイメージスキャン
- クラウドアセットスキャン
- IT資産登録
目的と対応するスキャンの状況
脆弱性管理
- OSSの脆弱性を検出・管理する機能です
| スキャン種別 | アプリ(ライブラリ) | MW(パッケージ) | OS(カーネル) |
|---|---|---|---|
| アプリライブラリスキャン | ○ | × | × |
| ホストスキャン | × | ○ | ○ |
| コンテナイメージスキャン | ○ | ○ | ○ |
| クラウドアセットスキャン | ○ | ○ | ○ |
| IT資産登録 | ○ | ○ | ○ |
ライセンス管理
- OSSのライセンスチェックが可能です(例:GPL、LGPL...)
- ライセンス管理されるソフトウェアはアプリライブラリスキャンをされたもののみです。
| スキャン種別 | アプリ(ライブラリ) | MW(パッケージ) | OS(カーネル) |
|---|---|---|---|
| アプリライブラリスキャン | ○ | × | × |
| ホストスキャン | × | × | × |
| コンテナイメージスキャン | ○ | × | × |
| クラウドアセットスキャン | ○ | × | × |
| IT資産登録 | × | × | × |
EOL管理
- 利用しているOSSのEOL(サポート終了)をチェックしてくれます。サポートがもうすぐ終わりそうなものも検出対象です。
- EOL管理されるソフトウェアは、それぞれのスキャンの中でソフトウェアとして検知されたものすべてが対象です。
| スキャン種別 | アプリ(ライブラリ) | MW(パッケージ) | OS(カーネル) |
|---|---|---|---|
| アプリライブラリスキャン | ○ | × | × |
| ホストスキャン | × | ○ | ○ |
| コンテナイメージスキャン | ○ | ○ | ○ |
| クラウドアセットスキャン | ○ | ○ | ○ |
| IT資産登録 | × | × | × |
スキャンの網羅性
- 以下、AWSの場合です。
| - | アプリ | MW (パッケージ) |
OS(カーネル) | |||
|---|---|---|---|---|---|---|
| 対象 | EC2 | ECR | EC2 | ECR | EC2 | ECR |
| アプリライブラリスキャン | ○ | ○ | × | × | × | × |
| ホストスキャン | × | × | ○ | × | ○ | × |
| コンテナイメージスキャン | × | × | × | ○ | × | ○ |
| クラウドアセットスキャン※3 | △※1 | △※1 | ○ | ○ | ○※2 | ○ |
- ※1 クラウドアセットスキャンでEC2、ECRから検出するアプリライブラリは実モジュールから抽出できる情報を扱っているため、広く、素早く、簡単に検出することができますが、その分パッケージ管理マネージャー経由で抽出できるスキャンよりも荒いスキャンとなっております。現時点では置き換えるというよりは、アプリライブラリスキャンを補足するような位置付けになります。
- ※2 インスタンスにAWS Systems Manager エージェント (SSM Agent)がインストールされている必要があります。
- ※3 EBSスナップショットを取得するため料金がかかる可能性があります。
ライセンスについて
| スキャン対象 | カウント方法 |
|---|---|
| アプリライブラリ | パッケージ管理システムで管理している1プロジェクトを1アセットとします。 |
| ホスト(Windows / Linux) | 1台 / 1インスタンスを1アセットとします。 |
| コンテナイメージ | 1コンテナイメージを1アセットとします。 |
| クラウド(CSPM) | 1アカウントを1アセットとします。 |
| IT資産 | 5レコード(ソフトウェア、ハードウェア)を1アセットとします。 |
- 参考) アセット数とはなんですか?
Amazon Inspector とyamoryの違い
- EC2環境では Inspector はパッケージ管理コマンドで管理されているソフトウェアのみを収集します。
- https://docs.aws.amazon.com/ja_jp/inspector/latest/user/scanning-ec2.html
- アプリケーションで利用しているライブラリ等は検知しません。
- ECR環境では、Inspector は 拡張スキャンを行うと各言語のスキャンも行います。
一緒に働く仲間を募集しています
弥生では一緒に働く仲間を募集しています! herp.careers
