SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp
こんにちは。株式会社エーアイセキュリティラボ カスタマーサクセス担当 日髙です。
こちらの記事では脆弱性診断ツール「AeyeScan」の機能や、脆弱性診断内製化のコツ、CIツールを使ったDevSecOps等を紹介していきます。
前回はAWS lambda+Amazon EventBridgeを使ってAeyeScanの診断を自動化する手順について紹介しました。
第6回目「AeyeScan+Google Apps Scriptを使ったスキャンのキュー対応」は以下のような内容でお送りします!
(2022/4/11追記)本記事でお伝えする「キュー機能」は、2022/4/10のリリースにて、AeyeScanに実装されました。
現在は、AeyeScanのキュー機能で対応可能です。
目次
■なぜ脆弱性診断の自動化が必要?
■Google Apps Script(GAS)の紹介
■作るものの説明
・スキャン作成
・APIキー作成
・スプレッドシート用意
・トリガー作成
・スキャン状況の自動更新
■利用上の注意
■おわりに
■なぜ脆弱性診断の自動化が必要?
システム開発において、開発と運用を短い周期で繰り返していく手法をDevOpsと呼び、生産性を上げる手法として広く採用されています。
システム開発のもう一つの重要な要素としてセキュリティ品質の担保がありますが、DevOpsのサイクルにセキュリティ診断を組み込んだものをDevSecOpsと呼びます。
DevSecOpsを実現するためには、システムの開発と運用のサイクルに合わせて高い頻度でセキュリティ診断を行う必要があります。
このような高い頻度でのセキュリティ診断を実現するための手法の1つとして、CIツールなどによるセキュリティ診断の自動化が有効になります。
■Google Apps Script(GAS)の紹介
Google Apps Script(GAS)とは、業務の自動化やアプリケーションの統合のためのプラットフォームで、Google社が提供しています。
GASを利用することで、Gmail とスプレッドシートの連係や自動化が可能です。
Gmailアカウントがあれば無料で利用でき、本格的な開発経験が無くても簡単にソリューション開発ができます。
■作るものの説明
今回は、タイトルに「キュー対応」とある通り、
スプレッドシートにスキャンしたいスキャンIDを書いておけば、先頭から自動でスキャンを行うよう設定します。また、スキャンの進捗状況をシートに反映するよう設定しています。
・キュー対応とは
キューとは、待ち行列のことを言います。
キュー対応とは、行列に並んだデータを先頭から順次実行していく処理のことを指しています。
コンビニのレジをイメージすればわかりやすいと思います。
AeyeScanがレジ、会計を待っているお客がスキャンIDです。並んでいる順番に処理を実施していきます。
・AeyeScanのスキャン同時実行数の制約
AeyeScanでは、ライセンスの制約により、同時にスキャンを行うことができる数が限られています。
例えば、同時に1つしかスキャンを実行できない場合、スキャンを複数実行する際は、1つのスキャンが終了したら、
次のスキャンを実行するためAeyeScanにログインして、スキャン実行を行う必要があります。
これは面倒です。
そこで、今回は、キュー対応の「待ち行列」をスキャンIDリストとし、リストの先頭から順番にスキャン実行していく自動化を行います。
こちらのスプレッドシートを使用します。
図中の赤枠で囲った部分にスキャン対象の「スキャンID」をリストで入力します。
そのほかの項目は、スクリプトによってAeyeスキャンから情報を取得し、自動で入力されます。
では早速作っていきましょう。
■GASでAeyeScanを自動実行
・スキャン作成
まずはAeyeScanでスキャンを作成いたします。
スキャン作成について詳しくは第1回の記事をご覧ください。
作成したスキャンIDを後で使うのでここで控えておきます。
・APIキー作成
次に、AeyeScanでAPIキーを作成します。
APIキーはAeyeScanのメニューバーの「アカウント管理」→「APIキー管理」から作成できます。
APIキーを作成する際には書き込み・実行権限を「あり」に設定します。
作成したAPIキーとトークンは後から確認できないため、安全な場所に保管してください。
・スプレッドシート用意
次に、前章(■作るものの説明)で述べたスプレッドシートを用意します。
以下のリンクからスプレッドシートを開き、メニューバーの「ファイル」→「コピーを作成」からご利用のGoogle Driveにファイルをコピーしてください。以下、コピーされたファイルを編集していきます。
編集する箇所は2つです。
1つ目に、メニューバーの「ツール」→「スクリプトエディタ」を開き、スクリプトの6, 7行目のXXXXXの部分を作成したAPIキーとAPIトークンの値にそれぞれ置き換えてください。
2つ目に、シートにスキャンIDを入力します。
・トリガー作成
最後に、GASのトリガーを作成します。
スプレッドシートから再び「ツール」→「スクリプトエディタ」を開き、サイドバーから「トリガー」を選択して「トリガーの追加」を押します。
以下の画像のようなウィンドウが表示されるので、トリガーの設定を「時間主導型」、「分ベース」、「5分おき」に変更して保存します。
ここで、はじめてトリガーを追加する際には以下のような警告が表示されます。
これは、このスクリプトがGoogle Drive内のスプレッドシートの参照と編集(スキャンIDの参照、スキャン時刻やスキャンステータスの更新など)と、外部サービス(AeyeScan)への接続を行うことに対しての警告です。
必ず本スクリプトと警告の内容を理解したうえで続行してください。
・スキャン状況の自動更新
スクリプト実行後、GASにより、スプレッドシートの内容が自動で更新されます。
また、スキャン終了している場合には「スキャン情報」が更新され、出力されたURLからAeyeScanによるスキャン結果を確認できます。
スキャン作成時に、メールやSlackへの通知設定を行っておくことで、スキャンのお知らせを受け取ることが可能です。
■利用上の注意
・GASのコードなどご自由に編集し利用してください。ただし、無償無保証のため不明点の質問やカスタマイズについてのサポートはできません。コードの改善、不具合については、是非ご連絡ください。
■おわりに
今回はGASを使用してスキャンの定期実行(Queuing対応)を自動化してみました。
AeyeScanのトライアル、脆弱性診断の自動化のご相談はこちら