SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp
こんにちは。株式会社エーアイセキュリティラボ カスタマーサクセス担当 日髙です。
こちらの記事では脆弱性診断ツール「AeyeScan」の機能や、脆弱性診断内製化のコツ、CIツールを使ったDevSecOps等を紹介していきます。
前回はGoogle Apps Scriptを使ってスキャンの定期実行を行う手順について紹介しました。
第7回目「AeyeScan+zapierを使ってbacklogに、危険度が高い脆弱性を自動で課題登録する」は以下のような内容でお送りします!
目次
■なぜ脆弱性診断の自動化が必要?
■zapierの紹介
■backlogの紹介
■作るものの説明
■自動化タスクの作成
・【backlog】課題登録用のメールアドレスを設定する
・【zapier】「Zap」を作成する
■スキャンの実行
■実行結果の確認
■利用上の注意
■おわりに
■なぜ脆弱性診断の自動化が必要?
システム開発において、開発と運用を短い周期で繰り返していく手法をDevOpsと呼び、生産性を上げる手法として広く採用されています。
システム開発のもう一つの重要な要素としてセキュリティ品質の担保がありますが、DevOpsのサイクルにセキュリティ診断を組み込んだものをDevSecOpsと呼びます。
DevSecOpsを実現するためには、システムの開発と運用のサイクルに合わせて高い頻度でセキュリティ診断を行う必要があります。
このような高い頻度でのセキュリティ診断を実現するための手法の1つとして、CIツールなどによるセキュリティ診断の自動化が有効になります。
■zapierの紹介
zapierとは、様々なサービスを連携させて、タスクの自動化を行うツールです。
例えば、Slackに来た通知をLineに連携するというタスクをzapierに設定することで自動で行ってくれます。また、コードを記述することなく容易に設定が可能です。
■backlogの紹介
backlogとは、様々な企業で利用されているタスク・プロジェクト管理ツールで、株式会社ヌーラボが提供しています。backlogでは、課題登録をメールから行う機能が提供されており、今回そちらを利用して課題登録を行います。
■作るものの説明
今回は、先日AeyeScanに追加された、「Custom Webhook通知設定」を利用して、zapierにWebHookを送信し、スキャン完了後に脆弱性が存在していれば、backlogに登録するという自動化タスクを作成します。
では早速作っていきましょう。
■自動化タスクの作成
・【backlog】課題登録用のメールアドレスを設定する
backlogへの課題登録を自動で行うため、事前に、課題登録用のメールアドレスを発行します。
設定方法は、backlogの「プロジェクト設定」>「インテグレーション」>「メールによる課題登録」より設定します。
※ここでは、設定名を「AEYE通知用」として設定しました。
・【zapier】「Zap」を作成する
次に、zapierにて自動化タスクを作成します。zapierでは、自動化タスクのことを「Zap」と呼んでいます。
zapierにログインし、画面左上の「Create Zap」をクリックします。
「トリガー」の作成
まずは、「トリガー」を作成します。
「トリガー」では、何が発生したらタスクを行うのかを設定します。
「1.trigger」画面の「App Event」から「Webhooks by Zapier」を選択します。
※「Webhooks by Zapier」は有償プランの登録が必要です。
「Trigger Event」で「Catch Hook」を選択し、「Continue」をクリックします。
次の画面で、「Custom Webhook URL」が表示されるので、値をコピーし、「Continue」をクリックします。
※このURLに対して、AeyeScanからのCustom Webhookが送信されます。
AeyeScanの「Custom Webhook」を作成
別タブでウィンドウを開き、AeyeScanにログインし、「スキャンメニュー」>「Custom Webhook通知設定」から「+Custom Webhook新規登録」をクリックします。
以下の画面の、「Webhook URL」に先ほどコピーしたzapierの「Custom Webhook URL」を貼り付けます。
今回は、スキャン情報、ステータス、各深刻度毎の検出数が必要なため
「Webhook Body」は以下のように設定しました。
{
"scanName":"$scanName",
"scanId":"$scanId",
"status":"$status",
"message":"$message",
"critical":"$critical",
"high":"$high",
"medium":"$medium",
"low":"$low"
}
※利用可能な変数は、設定画面からご確認可能です。また、Bodyには必ず$messageを含めるようにしてください。
Webhookのアクティベーション
Webhook作成後は、有効状態が「無効」となっているためアクティベーションを行います。
zapierの画面に戻り、「Test trigger」をクリックします。
以下の通り、AeyeScanから送られた、WebHookの内容が表示されるので、「message」内のアクティベーション用URLをコピーします。
先ほど、AeyeScanの「Custom Webhook」の設定を行ったブラウザを開き、アクティベーション用URLにアクセスします。
再度、AeyeScanの「Custom Webhook」の設定画面を開くと「有効状態」が「有効」となっていることが確認できます。
「フィルター」の作成
次に「フィルター」を作成します。
「フィルター」では、どういった条件の時に処理を実行するかを設定します。
「2.Action」の画面で右側の「Filter」を選択します。
複数条件設定したい場合は、「+And」や「+Or」ボタンをクリックして、条件を増やすことができます。
また、左側の「Choose field」には、設定項目としてWebHookパラメータを設定することができ、
「Choose field」の入力リストを展開すると、取得したWebHookパラメータが表示されます。
今回は、「脆弱性が存在したら」という条件のため、以下を条件として設定します。
・スキャンが完了している
・深刻度「Low」以上の検出数が「0」件より大きい
上記を設定し、「Continue」をクリックします。
「アクション」の作成
次に「アクション」を作成します。
アクションは、何をするかを設定します。
今回は、backlogへの課題登録のためのメールを送信します。
「Action」画面の「App Event」にて、「Gmail」を選択します。
「Action Event」にて、「Send Email」を選択し「Continue」をクリックします。
次に、Googleアカウントとの連携を行います。
「Choose an account...」をクリックします。
「+Connect a new account」をクリックします。
使用するアカウントを確認し、「Continue」をクリックします。
メールの送信先、件名、本文などを設定します。
ここでも、Webhookパラメータを設定することが可能です。
「TO」に【backlog】課題登録用のメールアドレスを設定するで作成した課題登録用のメールアドレスを設定します。
「Subject(件名)」と「Body(本文)」は以下のように設定します。
件名や本文は課題の内容としてbacklogに登録されるので、ご利用環境に併せてご設定ください。
テストメール送信後、以下の画面が表示されるので、「Turn on Zap」をクリックすることで、作成したZapが有効状態になります。
■スキャンの実行
スキャンを実行し、作成したZapが動作するかを確認します。
AeyeScanにて新規スキャンを作成します。
スキャン作成時の通知設定にて、以下のとおり作成した「Custom Webhook」を選択します。
スキャン作成について詳しくは第1回の記事をご覧ください。
■実行結果の確認
zapierの確認
zapierにて作成したZapのhistoryを表示します。
以下の通り、4回タスクが実行されていますが、最後の一回のみActionが実行され、「Success」となっていることがわかります。
backlogの確認
■利用上の注意
今回、zapierの「トリガー」として利用した「Webhooks by Zapier」機能や複数のアクションを設定する(マルチステップ)機能は、有償プランとなります。
業務にて継続的に利用する場合は、有償プランでのご利用が必要です。
■おわりに
今回は、zapierを利用して、脆弱性が存在していれば、backlogに登録するという自動化を行いました。
タスク登録の内容や条件は、今回ご紹介した手順をカスタマイズして利用可能ですので、ぜひご活用ください。
また、今回は、backlogへのタスク登録を行いましたがzapierから別のタスク管理ツールへの連携も可能ですので、手順をカスタマイズしてご活用ください。
AeyeScanのトライアル、脆弱性診断の自動化のご相談はこちら