Wiz
すべての記事

シフトレフトの説明:セキュリティレフトのシフトレフトの意味

Wiz エキスパートチーム
10 分で読めます
セキュアコーディング チェックリストWiz Code を試す

SBOMとは?

  • シフトレフトセキュリティは、SDLCの最も早い段階に保護を統合し、脆弱性を事前にキャッチします。

  • シフトレフトを早期に検出することで、コストを削減し、生産スケジュールを短縮し、アプリケーションを最初から強化します。

  • ノイズの多いアラート、競合する優先事項、スキルのギャップなどの課題には、コラボレーション、自動化、統一されたポリシーが必要です。

  • セキュリティテストを自動化し、開発チームのトレーニングを行うことで、セキュリティが遅れることなくリードするプロアクティブな文化が育まれます。

  • Wizは、エージェントレススキャン、コードからクラウドへのトレーサビリティ、および実用的なガイダンスにより、シフトレフト戦略を簡素化します。

シフトレフトセキュリティとは?

シフトレフトのセキュリティ は、ソフトウェア開発ライフサイクル (SDLC) のできるだけ早い段階でコードとソフトウェアのセキュリティ保証プロセスを実行するプラクティスです。 

典型的な DevOps フロー (計画 > コード > 建てる > 試験 > 展開 > Monitor) シフト レフト セキュリティは、計画、コード、テストの初期段階に飛び込みます。 なぜでしょうか。 それはすべてについてです キャッチ 脆弱 性 そして、雪だるま式に増える前に設定ミスをする、コストを節約し、コード品質を向上させ、最初からより強力な防御を作成します。

このアプローチにより、開発者はコードの記述や設計の際に、問題に正面から取り組むことができます。 ツールと責任を開発者に任せることで、開発者は本番環境に移行する前に脆弱性を特定して修正することができます。

そして、それはもはやセキュリティだけではありません。 「Everything as Code」(EaC)の動きは、DevOpsとDevSecOpsの台頭とともに、さまざまなプロセスを左にシフトさせました。 データベース管理やコンプライアンスチェックから、自動テストやインフラストラクチャのプロビジョニングまで、より多くの役割が早期に統合され、コア設計と開発の段階に近づいています。

The Secure Coding Best Practices [Cheat Sheet]

With curated insights and easy-to-follow code snippets, this 11-page cheat sheet simplifies complex security concepts, empowering every developer to build secure, reliable applications.

Download Cheat Sheet

Benefits of shift left security in the software development process

シフトレフトアプローチには、製品のリリース後にのみセキュリティに対処する従来のセキュリティプロセスに比べて多くの利点があります。

1. 修復コストの削減

デプロイ前に脆弱性と設定ミスを修正する 脆弱性が運用環境や一般向けサービスに侵入する可能性を低くすることで、全体的な脅威のフットプリントを減らすのに役立ちます。 これにより、時間とリソースの両方を節約できます。

2. 市場投入までの時間を短縮

配信パイプラインの後半でセキュリティの問題が検出されるほど、その可能性が高くなります アプリケーションのリリースを遅らせる. 権利と セキュリティの自動化 パイプラインでは、セキュリティの脆弱性がコードベースに追加されるとすぐに検出、優先順位付け、軽減を行うことができますが、これは、市場投入までの時間に悪影響を与える可能性のある SDLC の後半で検出するのとは対照的です。

プロのヒント

Wiz offers numerous ticket routing and alert automation workflows. Whether DevOps want to be notified via Jira, Slack, ServiceNow, or tools like Azure DevOps, CircleCI, or Jenkins, Wiz provides out-of-the-box support to ensure resolution is frictionless. Additionally, the Wiz API offers unlimited customizations to support any existing workflows.

詳細はこちら

3. 全体的なセキュリティ体制の改善

セキュリティをシフトレフトすることで、次のことが可能になります より安全なコードを作成し、アプリケーションがアクセスする必要があるデータをより適切に保護します. 自動化 コンプライアンス また、セキュリティテスト、ガードレールの設定、開発プロセスの最初から開発者に適切なセキュリティツールを提供することはすべて、アプリケーションが攻撃に対して回復力を持ち、機密データがあらゆる段階で保護されるようにするのに役立ちます。

4. ユーザーの信頼の向上

クライアントとユーザーの信頼を維持することは、あらゆるビジネスの成功にとって重要ですが、特に金融およびヘルスケアセクターでは重要です。 本番環境での侵害、漏洩、さらには悪用されていない脆弱性は、ブランドの評判に壊滅的な影響を与える可能性があります。 SDLC の早い段階で事前定義されたセキュリティ制御を厳密に適用することで、コストのかかる侵害を防ぐことができます。 また、エンド ユーザーは、機密情報をアプリケーションを信頼する可能性が高くなります。

Security Leaders Handbook: The Strategic Guide to Cloud Security

Learn the new cloud security operating model and steps towards cloud security maturity. This practical guide helps transform security teams and processes to remove risks and support secure cloud development.

Download Handbook

セキュリティのシフトレフトの課題

シフトレフトセキュリティアプローチを採用することには多くの利点がありますが、多くの組織はまだそれを完全には採用していません。 例えば、ある調査によると、 わずか37% の組織が、DevOpsプロセスにセキュリティを広範囲に組み込んでいると報告しています。 効果的なシフトレフトのセキュリティ保証プロセスを実装するためには、克服すべき多くの障害が存在する可能性があります。 

1. セキュリティファーストの文化を優先し、育てる 

エンジニアリングチームと開発チームの生産性は、多くの場合、作成するプルリクエストの数や新機能を提供する頻度で測定されます。 しかし、セキュリティのシフトレフトには、脆弱性の防止と早期の修復に焦点を当てたさまざまなパフォーマンス指標が必要であり、これは報われ、奨励されるべきです。

2. サイロ化されたツーリング

情報セキュリティチームが使用するツールは、ソフトウェアエンジニアやインフラストラクチャエンジニアが使用するツールとは範囲と機能の両方で大きく異なるため、セキュリティチームは開発者によってもたらされる潜在的なリスクに対する可視性を欠いていることがよくあります。 一方、開発者は、コーディングの決定がセキュリティに及ぼす潜在的な影響に対する可視性が限られており、多くの場合、迅速な修復に必要なコンテキストと知識が不足しています。

3. スキル不足

エンジニアリングチームと情報セキュリティチームの間のギャップは、ツールにとどまりません。 ほとんどの摩擦は、合意されたプロセスの欠如と、 「ゼロ日目」から InfoSec を開発プロセスに関与させなかったことに起因しています。 効果的なチーム間のコラボレーション.

4. アラートの疲労とツールの無秩序な増加

膨大な数の異なるツールやベンダーは、アプリケーションセキュリティのさらに別の課題です。 これらすべてがコンテキストや優先順位付けなしにセキュリティアラートを生成すると、アラート疲れにつながる可能性があります。 さらに、非常に多くのセキュリティツールをオーケストレーションするオーバーヘッドにより、ボトルネックが発生し、問題の検出と修復が遅れる可能性があります。 この問題に悩まされている非常に多くの組織にとって、それは驚くことではありません。 ガートナーの調査では、次のことが明らかになりました。 75% 2022年の企業のうち、ベンダーのセキュリティツールの統合を優先的に行っていた企業の割合は、 アラートノイズ.

シフト レフト セキュリティの実装: 5 つのベスト プラクティス

セキュリティのシフトレフトとは、脆弱性が本番環境に侵入して問題を引き起こす前に、脆弱性を早期に発見することです。 しかし、それを現実に機能させるにはどうすればよいでしょうか? ここでは、5つの実用的なヒントをご紹介します。

  1. 明確なセキュリティポリシーとガイドラインを確立する: セキュリティ要件を事前に定義し、すべての開発者が最新情報を把握していることを確認します。 シンプルで明確なガイドラインが一貫性を生むため、全員が初日から同じ認識を持つことができます。

  2. セキュリティテストとプロセスの自動化:反復的なタスクが好きな人はいないので、ツールに任せてください。 CI/CDパイプラインでセキュリティスキャンを自動化し、ペースを落とすことなく脆弱性を検出します。 1回限りの検査ではなく、継続的なチェックを考えてみてください。

  3. コード開発中にセキュリティ修正を実装する: バグを見つけるためにテストを待つ必要はありませんか? 開発者に次のことを奨励する コードを書くときに脆弱性に対処する. より速く、より安く、将来的に頭痛の種を大幅に軽減します。

  4. 開発者のトレーニング 安全なコーディング手法: 開発者は、安全なコードの書き方を知って生まれてくるわけではありません。 実践的なトレーニングとリソースを提供して、作業中に脆弱性を見つけて解決できるようにします。

  5. セキュリティチームと開発チーム間のコラボレーション: サイロ化を解消し、セキュリティチームと開発チームが連携できるようにします。 インサイトを共有し、目標を一致させ、セキュリティを後回しにするのではなく、共同作業にしましょう。

シフトレフトのセキュリティツールを探索する

シフトレフトとは、自分をバックアップするための適切なツールを持つことです。 ここでは、その仕事をこなすツールキットをご紹介します。

  • 静的アプリケーションセキュリティテスト (サスト):スキャン ソースコード また、アプリが実行される前に脆弱性を検出するための構成ファイルもあります。

  • 動的アプリケーションセキュリティテスト(DAST): アプリケーションをリアルタイムでテストし、実行時にインジェクションの欠陥や XSS などの問題を検出します。

  • ランタイム・アプリケーション自己保護 (RASP): アプリの公開中に脅威を監視およびブロックします。

  • インタラクティブ・アプリケーション・セキュリティ・テスト(IAST): SASTとDASTを組み合わせて、ライフサイクル全体を通じて正確で継続的な脆弱性検出を実現します。

  • Webアプリケーションファイアウォール(WAF): 有害な HTTP リクエストをその場で停止し、Web アプリを悪意のあるトラフィックから保護します。

  • ソフトウェア・コンポジション解析(SCA): サードパーティと オープンソース 脆弱性のライブラリを見つけるので、不意を突かれることはありません。

  • シークレットスキャン: コードに隠れている API キーや認証情報などの機密情報を検出し、露出リスクを軽減します。

  • コンテナ/ワークロードのスキャン: コンテナ化されたアプリを休息中および実行時に、次のようなツールを使用して保護します CWPPの そして KSPMの 物事をロックダウンするために。

  • クラウドセキュリティポスチャ管理 (CSPMの): クラウド環境を完全に可視化し、設定ミスや潜在的な脅威を浮き彫りにします。

シフトレフトセキュリティを実装するためのWizのアプローチ

Wiz は、ソフトウェア開発ライフサイクル (SDLC) の開始時にセキュリティを組み込むことで、セキュリティのシフトレフトを実現可能にし、チームが脆弱性を早期に発見し、安全なアプリケーションを構築し、手抜きをせずに迅速にリリースできるようにします。 その仕組みは次のとおりです。

1. 燃え盛るセキュリティ問題を可視化する

Wizのエージェントレススキャンテクノロジーは、単一のクラウドネイティブAPIコネクタを使用して、ワークロードのセキュリティを継続的に評価し、 脅威の状況を完全に可視化 継続的なメンテナンスの必要性を排除します。

Wizの包括的なスキャン技術は、 PaaS リソース、仮想マシン、コンテナ、サーバーレス機能、パブリック バケット、データ ボリューム、データベース. コンテキストに応じたインサイトと組み合わせることで、セキュリティチームは各レイヤーの脅威をプロアクティブに特定し、優先順位を付け、修復することができます。

2. ビルドからランタイムまで 1 つのセキュリティ ポリシーを採用

アプリケーションのセキュリティ体制を可視化することで、エンジニアリングチームと情報セキュリティチームの両方に対して、ソースから本番までの統一されたポリシーを定義し、ツールと組織のサイロ化を解消することができます。

ウィズガードレール CI/CD パイプラインのセキュリティ制御とプロセス、および Kubernetes クラスター内のリソースのデプロイを調整するための単一のポリシー フレームワークを有効にします。 これにより、セキュリティ チームは一元管理できると同時に、開発者は安全なコードを提供できるようになります。

3. リスク防止の自動化

Wiz Codeは開発ワークフローとシームレスに統合され、シフトレフトのセキュリティ戦略を強化します。 主な機能は次のとおりです。

  • リスクの早期検出のためのエージェントレススキャン: エージェントレス スキャンでは、コード リポジトリ、コンテナ イメージ、Infrastructure as Code (IaC) テンプレートの脆弱性、設定ミス、コンプライアンスのギャップが公開される前に強調表示されます。

  • シームレスな開発者統合: IDE やリポジトリに直接統合された Wiz Code は、開発者が執筆中に問題を簡単に修正できるようにし、時間を節約し、将来のコストを削減します。

  • クラウドからコードへのトレーサビリティ: クラウドからコードへのトレーサビリティにより、セキュリティの脅威を特定のコード行やチームにマッピングし、説明責任を果たし、修正を迅速化できます。

  • 迅速な修復のための実用的な洞察: コンテキストに応じたインサイトと優先順位付けされた修正により、チームは何に対処すべきか、そしてそれを迅速に行う方法を正確に把握できます。

Secure your workloads, from build-time to run-time

Learn how Wiz enables developers to ship faster and more securely.

デモを見る 

よくあるご質問(FAQ)