SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp
こんにちは。株式会社エーアイセキュリティラボ インターンの大桶です。
こちらの記事では脆弱性診断ツール「AeyeScan」の機能や、脆弱性診断内製化のコツ、CIツールを使ったDevSecOps等を紹介していきます。
前回はGithub Actionsを使ってAeyeScanの診断を自動化する手順について紹介しました。
第3回目「日々の診断スケジュール(開始・停止)をGASとAeyeScanで自動化」は以下のような内容でお送りします!
#目次
■なぜ日々の診断スケジュール(開始・停止)の自動化が必要?
■Google Apps Script(GAS)の紹介
■作るものの説明
・スキャン作成
・APIキー作成
・スプレッドシート用意
・トリガー作成
・スキャンの自動実行
■利用上の注意
■おわりに
#■なぜ日々の診断スケジュール(開始・停止)の自動化が必要?
AeyeScanをご利用の方の中には、企業のCSIRTやセキュリティ担当の方が、AeyeScanを使って脆弱性診断を実施するケースもあります。このような場合、対象サイトが運用中またはステージング環境など、診断の実施日時に配慮が必要なサイトが多いと思います。
配慮が必要なサイトの要件としては、共有環境のため診断負荷の低減や、診断の実施可能な時間帯が限定されている事が挙げられます。負荷はAeyeScanで”ゆっくり”などスピードの調整が可能です。
しかし、スケジュールについては、例えば、「平日の10:00~18:00の間に診断可能、ただし特定の日程はテストで使うのでこの期間は診断を実施してはならない」というスケジュールで診断を実施する場合、GUIから定められた時間にAeyeScanの開始と停止ボタンを毎日押して制御する必要があります。
今回は、この毎日決められた時間に行う作業を、Google Apps Script(GAS)+APIを使って自動化していきます。
#■Google Apps Script(GAS)の紹介
Google Apps Script(GAS)とは、業務の自動化やアプリケーションの統合のためのプラットフォームで、Google社が提供しています。
GASを利用することで、Gmail とスプレッドシートの連係や自動化が可能です。
Gmailアカウントがあれば無料で利用でき、本格的な開発経験が無くても簡単にソリューション開発ができます。
#■作るものの説明
まず、これからどのようなものを作るかを説明します。
一言で言えば「スプレッドシートにスキャンIDと開始、停止時刻を書き込めば自動でAeyeScanでスキャンを開始&停止してくれるもの」を作ります。
こちらのスプレッドシートを使用します。
色々と項目がありますが、図中の赤枠で囲った部分と除外日のシートが人間が入力する項目、図中の青枠の部分はスクリプトが自動で入力する部分となります。
「自動再開」のチェックボックスはスクリプトが自動で生成しますが、手動での操作が必要です。
これについては「■利用上の注意」で説明します。
- ユーザは、「コピー元ID」、「スキャン開始日付/時刻」、「スキャン停止日付/時刻」を入力する。
- スキャン開始時刻に自動でコピー元IDのスキャンをコピーしてスキャンが開始。この時に「コピー先ID」、「スキャンID」が自動で入力される
- スキャン中は「ステータス」、「進捗」が自動で更新される
- スキャン停止時刻に自動でスキャンが停止される
- 次の日のスキャン開始時刻にスキャンが再開され、停止時刻にスキャンが停止される。ただし、「除外日」として指定した日はこの動作を行わない。
- スキャンが終了すると「スキャン結果」、「終了時刻」が自動で入力される
では早速作っていきましょう。
#■GASでAeyeScanを自動実行
##・スキャン作成
まずはAeyeScanでスキャンを作成いたします。
スキャン作成について詳しくは第一回の記事をご覧ください。
##・APIキー作成
次に、AeyeScanでAPIキーを作成します。
APIキーはAeyeScanのメニューバーの「アカウント管理」→「APIキー管理」から作成できます。
APIキーを作成する際には書き込み・実行権限を「あり」に設定します。
作成したAPIキーとトークンは後から確認できないため、安全な場所に保管してください。
ここまでの手順は前回と同じです。
##・スプレッドシート用意
次に、前章(■作るものの説明)で述べたスプレッドシートを用意します。
以下のリンクからスプレッドシートを開き、メニューバーの「ファイル」→「コピーを作成」からご利用のGoogle Driveにファイルをコピーしてください。以下、コピーされたファイルを編集していきます。
編集する箇所は3つです。
1つめに、メニューバーの「ツール」→「スクリプトエディタ」を開き、スクリプトの7, 8行目のXXXXXの部分を作成したAPIキーとAPIトークンの値にそれぞれ置き換えてください。
2つめに、シートにスキャンの情報を入力します。
まず、注意書きの通りに2~4行目のサンプルをすべて削除してください。
次にコピー元のスキャンIDと開始、停止時刻を入力していきます。
例として、スキャンID60をコピーして2021/10/13から2021/10/18まで毎日10時から18時にスキャンを実行したい場合、以下のように入力します。
3つめに、除外日を指定します。
適当な名前でシートを作成し、そこにスキャンを実施できない日を書いていきます。
今回は「除外日_デモサイト」という名前にしました。
先ほどの例で、例えば11/16と11/17はスキャンを実施できないとすると、除外日指定シートは以下のようになります。
最後に先ほどのスキャン情報を入力したシートの「除外日指定シート名」のセルにこの除外日指定シートの名前を入力します。
診断したいサイトが2つ以上ある場合には3行目以降に同様に入力してください。
これでスキャンに必要な情報が入力できましたが、まだスキャンは自動で実行されません。
##・トリガー作成
最後に、GASのトリガーを作成します。
スプレッドシートから再び「ツール」→「スクリプトエディタ」を開き、サイドバーから「トリガー」を選択して「トリガーの追加」を押します。
以下の画像のようなウィンドウが表示されるので、トリガーの設定を「時間主導型」、「分ベース」、「5分おき」に変更して保存します。
ここで、はじめてトリガーを追加する際には以下のような警告が表示されます。
これは、このスクリプトがGoogle Drive内のスプレッドシートの参照と編集(スキャン時刻や除外日などの参照とスキャンステータスの更新など)と、外部サービス(AeyeScan)への接続を行うことに対しての警告です。
必ず本スクリプトと警告の内容を理解したうえで続行してください。
##・スキャンの自動実行
自動実行のログはGASのページのサイドバーの「実行数」から確認できます。
また、スキャン終了後には「スキャン結果」のURLからAeyeScanによるスキャン結果を確認できます。
#■利用上の注意
**・手動でAeyeScanを停止する場合、事前にスプレッドシートの「自動再開」の列の該当するチェックボックスを手動でオフにしてください。**このチェックボックスがオンの場合、開始時刻から停止時刻の間でスキャンが停止している場合自動で再開されます。
・GASのコードなどご自由に編集し利用してください。ただし、無償無保証のため不明点の質問やカスタマイズについてのサポートはできません。コードの改善、不具合については、是非ご連絡ください。
#■おわりに
今回はGASを使用して診断の開始と停止を自動化してみました。
前回のGitHub Actionsより少し手順が増えましたが、その分停止も自動化できるようになってより便利になったと思います。
次回はCircle CIを使ってAeyeScanの診断を自動化していこうと思います!
AeyeScanのトライアル、脆弱性診断の自動化のご相談はこちら