セキュリティをコードからクラウドまで。Wiz Code が発表されました！

IaaS/PaaS向けクラウドセキュリティのWizが、新たに開発環境向けのセキュリティソリューション Wiz Code を発表しました！どんなソリューションなのか解説していきます。

Wiz Codeを発表

CNAPPソリューションを提供しているWizが、新たに開発者のAppSecを支援するアプリ・コードセキュリティソリューション Wiz Code を発表しました。

引用元Wiz Blog:

Wiz Codeって何？

Wizはアプリを実行するインフラとして使うIaaS/PaaSを保護するために、クラウドのミスコンフィグレーション(リスクとなる設定)を特定するCSPM、クラウド上で実行されているワークロードを保護するCWPP、クラウドのアイデンティティと権限に潜むリスクを特定するCIEMなど、様々なセキュリティ機能をCNAPPのカテゴリの下で提供しています。

CNAPPについては、以下の過去記事をご参照ください：

これらの対象はクラウドに構築され、実行されているもの。つまりはすでに設定・構築・デプロイが終わっており、実体として稼働しているリソースやアセットが対象です。
今回のWiz Codeはそれよりも前の段階が対象です。開発したアプリがクラウド上に配置されるよりも前の段階でも、同様に安全性の確認やリスクの所在特定などを行います。「クラウドからコード」および「コードからクラウド」まで、セキュリティによる保護範囲を拡張していくものになります。これにより、リスクを持ったリソースやアセットがクラウド上にデプロイされるのを予防することが可能になります。時系列を遡るという意味で使われる「シフトレフト」を実現するソリューションです。

Wiz Codeは具体的に何ができるの？

Wiz Codeは以下のツールを利用して、そこに存在するアプリやIaCのコードを解析します。

VCSコネクター: バージョン管理システムであるGitHub、GitLab、Azure DevOpsとの接続・連携機能
Wiz CLI: コマンドラインツール。CI/CDパイプラインに組み込むことが可能
IDEエクステンション: Visual Studio Code (VSCode)にインストールするエクステンション

引用元：Developers Deserve Better: Why Wiz Code Is Built for You.

これらツールを使い、以下のユースケースを実現可能にします。

「クラウドからコード」および「コードからクラウド」まで横断して、Wizのセキュリティグラフで可視化

Wizの特徴的機能のひとつセキュリティグラフでは、クラウド上のリソースやアセット、そしてその上にあるリスクまで含めて、それぞれの相関性を人が直感的に理解しやすいグラフ形式で可視化します。Wiz Codeを使うことで、可視化の範囲をコードのリポジトリやCI/CDパイプラインまで拡張することが可能になります。クラウドの設定ミスから、コードの中で使われているライブラリの脆弱性、シークレット情報の平文保持まで含めて、スタック全体を横断してマッピングすることで、最も危険なセキュリティ上の問題を特定し、優先順位をつけることが可能になります。そして同時に、問題を抱えたアプリの開発者を明確化して修正案を提示することで、問題の迅速な修正対応を支援します。

引用元：Introducing Wiz Code: transform your AppSec with Wiz

単一のポリシーエンジンで、コードからクラウド、ランタイムまで保護

Wizの統合ポリシーエンジンをソフトウェア開発ライフサイクル(SDLC)全体に拡張し、セキュリティによる制御を実施します。以下の分析結果を単一の画面に統合することで、様々なチームがセキュリティ上の問題の原因を迅速に特定し、対処できるよう支援します。

SCA (Software Composition Analysis – ソフトウェア構成分析)
SBOM (Software Bill Of Materials – ソフトウェア部品表)
オープンソースソフトウェアの脆弱性診断
マルウェア診断
IaCで定義されたクラウド構成のリスク分析
シークレット情報の平文利用の特定
機密情報の平文利用の特定 – 個人情報(PII)、クレジット情報(PCI)、ヘルスケア情報(PHI)など

クラウドのリスクとなる設定や脆弱性などの修正を加速

Wiz Codeは開発者のワークフローに深く組み込むことで、ワンクリックで修正方法の候補を生成できます。見るツールをあちこち切り替える必要も無く、問題を迅速に修正して被害が発生する可能性を低減できます。リスクが混入したリポジトリや担当者まで遡ることが可能なため、迅速な修正と、修正前後の状態の比較が可能です。

Wizのガードレールにより、セキュリティを意識したコード開発を支援

Wiz CodeはIDEやVCSのプルリクエストと直接連携し、リアルタイムでフィードバックを提供できます。これにより、リスクを抱えたコードがデプロイされてしまった場合の影響を予測することが可能です。開発の初期段階からコードのセキュリティを確保することで、セキュリティに関する負債の蓄積を回避し、迅速な開発サイクルを維持しながら、価値提供に集中することが可能です。

コードセキュリティの検出結果 – IaC およびディレクトリスキャンの検出結果として、ファイルごとにリスクの内容、種別、重大度といった情報が一覧表示されます。
引用元：Developers Deserve Better: Why Wiz Code Is Built for You.

検出結果の詳細 – 検出結果をクリックすると詳細が表示されます。
引用元：Developers Deserve Better: Why Wiz Code Is Built for You.

セキュリティ態勢管理をCI/CDパイプラインに拡張

Wiz CodeはCSPMによるミスコンフィグレーション分析機能を、バージョン管理システムやCI/CDシステムのような開発者ツールに向けて拡張します。開発者ツールをセキュリティグラフに統合することでより正確なリスク分析と優先順位付けが可能となり、攻撃経路の可視化が可能になります。さらに、OWASP トップ10 CI/CDセキュリティリスクや、OpenSSFセキュアコード管理ベストプラクティスといったフレームワークに則った安全性の評価が可能になります。

参考Wizブログ記事:
Security Posture Management for GitHub: spotting and fixing risks in your GitHub organization just got a lot easier
(訳: GitHub向けセキュリティ態勢管理: GitHub Organization内のリスクを特定し、修正するのがとても簡単になりました)