Issue #1

fuzzuf / PolicyGlass / syft / SpiceDB / OPA 等の気になったツールの動向と、年始のマーケットの動向についてざっくばらんについて紹介します。

Takashi Yoneuchi

Written by Takashi Yoneuchi

Published at January 09, 2022

Share this article with:

あけましておめでとうございます。もっと楽にセキュアなプロダクト開発/運用を実現できるようにしたい米内(@lmt_swallow)です。「あまり難しいことを考えずに、日ごろ目にしたものの中で気になったプロダクトセキュリティ関連動向を発信してみるか」という気持ちになったので、これからほぼ週一で Security Engineering Weekly と題して気になった情報をまとめていきます。この記事はその記念すべき第一弾です。

今回は fuzzuf / PolicyGlass / syft / SpiceDB / OPA 等の気になったツールの動向と、Money Forward 様における Policy as Code の実践事例、そして年始のセキュリティスタートアップの動向についてざっくばらんについて紹介します。

📶 Tech

⚒️Application Security

👀
プロダクトコードのセキュリティを保っていくためのツールや、セキュリティフレームワークに関する情報を整理するセクションです

fuzzuf, a Brand-New Fuzzing Framework by Ricerca Security

リチェルカセキュリティさんが年末 fuzzuf という Fuzzing Framework をリリースされてました:

fuzzuf: Fuzzing Unification Framework

TL;DR が fuzzuf が解決する課題と fuzzuf の概要をよく説明しています。とりわけ fuzzuf が解決する課題は以下のように説明されています:

Numerous fuzzing methods, such as AFL and libFuzzer, have been developed until today. When a fuzzing researcher develops and implements a new method, the common practice is to patch such existing fuzzers to reduce the implementation cost. However, the disadvantage of this approach is that as the original fuzzer is revised, it cannot keep up with the changes in the code, which reduces its reusability.

どの領域においても、この手の抽象化を “うまく” やるフレームワークは基盤技術として重要になってきがちなものだと思うので(”うまく” というのが鬼ムズパートなのはよく分かるけれど)、個人的には今後の展開が非常に楽しみです。私はあまり Fuzzing の領域に明るくないので、これより細かいことには触れません/触れられませんが、引き続き 彼らの Twitter をウォッチしていきたいですね。CEO のツイート(screen_name は相変わらずすごいけど)曰く「今後はfuzzufの開発を続けつつ、同時並行で動いている様々な研究プロジェクトの成果やサービスを公開していく予定」とのことです。

あとメタの部分で ドキュメント類を見ていると会社の文化が見えて面白いですね。”Why we didn't move to Rust” とか読み物として面白かったです。

☁️ Platform Security

👀
プロダクト(とりわけ一般的な Web プロダクト)のインフラストラクチャ/プラットフォームのセキュリティを保っていくための情報を整理するセクションです

AWS Announced CloudTrail Lake, a Managed Audit and Security Lake

CloudTrail のログ分析環境を作るのはめんどくさいがちでしたが、その辺を解決する CloudTrail Lake というデータレイクサービスが GA になりました:

Announcing AWS CloudTrail Lake - a managed audit and security Lake | Amazon Web Services

クラスメソッドさんが早速チュートリアルを公開されているので、具体的なイメージを掴みたい方は、こちらを読むのがよさそうです:

[アップデート] CloudTrailログ分析環境が超絶簡単に手に入る!「CloudTrail Lake」がリリースされました | DevelopersIO

AWS Recapped re:Invent 2021 Security Tracks

AWS から re:Invent の便利なまとめが出てました:

AWS re:Invent 2021 security track recap | Amazon Web Services

PolicyGlass, a Human-Friendly Parser/Aggregator For AWS IAM Policies

PolicyGlass という小さなユーティリティがリリースされていました。これはAWS の IAM Policy をパースしたり、その合併を取ったりできる Python ツール/ライブラリです。

GitHub - CloudWanderer-io/PolicyGlass: PolicyGlass allows you to analyse one or more AWS policies' effective permissions in aggregate, by restating them in the form of PolicyShards which are always Allow, never Deny.

ポリシーのレビューやポリシーのリファクタの際には、このツールが行うような形でポリシー同士のいい感じ合併を取りたくなることもあると思います。そういうレビュー/リファクタをよくやる人にとっては便利かもしれません(この合併を取るアルゴリズム自体は、そこまで難しいものではないにせよ、実装が億劫がちなので作ってなかった人もいそう)。

余談ですが、これはどうやら CloudWanderer というツールの基盤として実装されているものなようなので、今度見てみるリストに足しておきました。もし特筆すべき面白いことがあったらレポートしてみようと思います。パッと見だとよくあるソリューションっぽいけどどうだろう。

🛣️ Supply Chain Security

👀
プロダクト開発のサプライチェーンのセキュリティに関する情報を整理するセクションです

Continuous Audit for GitHub Org at Money Forward

以下の記事では、Money Forward さん内での、OPA/Rego を用いた GitHub Organization に対する継続的監査の取り組み事例が紹介されています:

OPA/Regoを活用して継続的監査を実現して、楽をしよう | Money Forward Kessai TECH BLOG

このような開発環境周りの監査/ガバナンス体制の構築は、チームのサイズが大きくなってくるにつれて、やっておきたい度が増していく取り組みなのではないでしょうか。このへんの領域では Cycode というプレイヤー(最近同僚に教えてもらった)などがいて、まだまだ Cycode 以外のソリューションも増えていくのではと思っています。

ところで、個人的には記事内の以下の箇所には赤べこと同じくらい頷きました。

監査は「自社で定める正しさに則って運用できている事を確認する」ということが本質だと考えると、スポットではなく短いサイクルでチェックし続ける事が一番いいのかもしれません。現実それは人力では難しいのが現実だと思います。

これからの時代、(1) この手の監査の対象・観点・基準を誰でも閲覧できるものにする (2) 監査というプロセスを高速に行えるようにする (3) 監査というプロセスを自動化する (4) 監査というプロセスを継続実行する、という 4 つの目的をもって、Policy as Code の周辺技術を活用する取り組みが今後増えていくのではないかと予想しています。またその背景として、以下の 2 つが今年~来年あたりで進んでいくのではないかとも予想しています:

  • ポリシーエンジン/ポリシー言語のラーニングコストの低下(≒ OPA/Rego がもう少しとっつきやすくなる or 新たなポリシー評価エンジン/ポリシー言語が登場する)
  • 継続的にセキュリティポリシーを適用したい対象(例: GitHub 等の各種 SaaS や、自社開発物・自社インフラなど)と、ポリシーエンジンとの連携の易化

そもそもセキュリティ監査/セキュリティテストの領域はプレイヤーの多いレッドオーシャンですが、近年は参入アングルとして Policy as Code 的考え方を入れるプレイヤーも増えてきています。各社の今年の動きが楽しみですし、個人的にもこの辺の領域にはがっつり向き合っていきたいね~と思っているところです。 がんばりたい。

syft, a SBOM Generator for Container Images and File Systems

syft という SBOM 生成につかえるツールがあるのを知りました。開発元は anchore という Supply-chain Security 周りのソリューションを提供している企業です。とくに最近(2021 年末)新しくリリースされたというわけでもないのですが、個人的にウォッチしておきたいと思ったツールです:

GitHub - anchore/syft: CLI tool and library for generating a Software Bill of Materials from container images and filesystems

⚙️Security(-Aware) Components for Products

👀
プロダクトのコンポーネントとして使えるようなセキュリティプロダクト(例: 認証認可に関するコンポーネントを提供する Auth0)についての情報を整理するセクションです

Wildcard Support of SpiceDB

Zanzibar の OSS 実装である SpiceDB に wildcard permissions という便利機能が追加されていました。これ地味にほしいと思ってたやつでした:

Unveiling wildcard permissions in SpiceDB

Zanzibar は Google 内部で使われている(らしい)、分散システム内で高速かつ整合性のとれた Authorization を行うための基盤です。そして SpiceDB とは、Authzed という最近シード投資を受けた US のスタートアップが、この Zanzibar のような仕組みを一般提供することを目指して開発している OSS のことです。

やや語弊があるかもしれない表現をすると、Okta や Auth0 が「認証」「アイデンティティ」に関するプロダクトコンポーネントを提供することで周辺のややこしい実装から開発者を解放したように、SpiceDB は「認可」に関するややこしい実装から開発者を解放することを目指しています。

この「プロダクト内 Authorization のマイクロサービス化」的な取り組みは、今後もじっくりと進んでいくのではと思っています。例えば Auth0 は(中の人ではないので細かい動向は知らないですが)じっくりと Project Sandcastle というのを進めていそうで、見える範囲だと https://zanzibar.academy/ のような Public Relation 活動も行っています。ORY Keto も SpiceDB と同じように Zanzibar の OSS 実装の提供を目指して進んでいるプロジェクトの一つです。

領域的には、急にシェアを獲得するのが難しいソフトウェアだと思いますし、特に流行ることなく廃れる世界線も全然あると思いますが、引き続きウォッチしていきたいところです。

Feasibility Analysis of Open Policy Agent

OPA に関するベンチベンチマークが Twitter で流れてきました。実は自分でベンチマークを取ったことがなかったので今度ちゃんとやろうの気持ちに:

Open Policy Agent Musings

「ポリシーを用いたジャッジに必要なデータ」がポリシーエンジンから遠いと、ある程度レイテンシを下げるのに限界あるよね論は、AuthZ に関する意思決定に特化した Zanzibar か ORY Keto が最初のデザインを考えるときの議論にあった気がしますが、どこで言及してたか忘れちゃいました。誰か詳しい人いたら教えてください><

anderseknert/awesome-opa

いまさらながらOPA に関する便利リンク集(よくある awesome-hoge 系リポジトリ)の存在を知りました。盛り上がっていていいですね:

GitHub - anderseknert/awesome-opa: A curated list of OPA related tools, frameworks and articles

🧪 Security Research / Vulnerability Disclosure

👀
そのとき筆者が気になったセキュリティ研究やソフトウェアの脆弱性についての情報を整理するセクションです

Attacking Java RFI via SSRF

Java RMI に対する SSRF 攻撃についてのリサーチ記事が出ていました。SSRF 攻撃としてすごく独特なことをしているわけではないですが、Java RMI に対する攻撃可能性の評価は初めて目にしたものだったので、読み物として面白かったです:

Attacking Java RMI via SSRF

RCE in H2 Console

Log4j の類似脆弱性の例らしいです。これ系って探すと案外出てくるのかなあ(直感的にはそんなにあるタイプの実装じゃないと思うのだけれども):

Build software better, together

Nominations for Top 10 Web Hacking Techniques of 2021 are Now Open

一年の Web Security 領域の Offensive Research に関する表彰を行う “Top 10 Web Hacking Techniques of 20XX” のノミネーションが開始されました。2021 はどんなリサーチが Top 10 に入るか楽しみです:

Top 10 web hacking techniques of 2021 - nominations open

📶 Market

🏢 Startup

👀
セキュリティスタートアップに関する、acquisition や funding を中心にした雑多な動向を整理するセクションです

TechCrunch Rounded Up Israel’s Cybersecurity Market 2021

よくあるマーケット概観にちろっと触れる記事です:

TechCrunch+ roundup: VC advice for CEOs, 2022 e-commerce trends, OpenSea's valuation

TechCrunch+ roundup: 2022 enterprise predictions, Justworks IPO, startup theses to watch for

Google Acquired Siemplify, a Cloud Native SOAR Platform

Siemplify という SOAR プラットフォームを提供しているスタートアップが Google に Acquire されていました:

Siemplify is Joining Forces with Google Cloud - Siemplify

Google confirms it acquired cybersecurity specialist Siemplify, reportedly for $500M, to become part of Google Cloud's Chronicle

Google Acquires Siemplify | Google Cloud Blog

Acquisition 後のビジョンに関しては、上述の 3 つのページの中でも最後の Google Cloud Blog の記事で語られています:

Providing a proven SOAR capability unified with Chronicle’s innovative approach to security analytics is an important step forward in our vision. Building an intuitive, efficient security operations workflow around planet-scale security telemetry will further realize Google Cloud’s vision of a modern threat management stack that empowers customers to go beyond typical security event and information management (SIEM) and extended detection and response (XDR) tooling, enabling better detection and response at the speed and scale of modern environments.
We plan to invest in SOAR capabilities with Siemplify’s cloud services as our foundation and the team’s talent leading the way. Our intention is to integrate Siemplify’s capabilities into Chronicle in ways that help enterprises modernize and automate their security operations.

既に持っている Google Cloud の諸々を考えると、Google Cloud のラインナップに SOAR 的な方向性のものがほしいのもそれはそうという感じなので、この Acquisition 自体は自然そう。あまり詳しくないんですが、他のクラウドベンダはこの辺の領域でどう展開していくつもりなのかが気になったので、時間を作って調べてみたいと思っています。

Xage Raised $30M in Series B Funding

IT の中でもコーポレートインフラ系の部分から OT 方面にかけてのセキュリティソリューションを展開している Xage が Series B の調達リリースをしていました:

Xage snags $30M Series B to help secure critical infrastructure

このラウンドはリードが Piva(SF の VC; 浅学で存じ上げていませんでしたが)で、Momenta / Valor Equity Partners / OurCrowd がフォローという感じらしいです。こういう OT やコーポレート IT 方面のスタートアップ動向はあまり追えてないんですが(自分が所属している Flatt Security ではあまりこの方面に手を広げていないのもあり)、こういう領域も参入アングルが多そうで面白そうです。

Aqua Security Launched a New OSS Community on Slack

タイトル通り Aqua が Slack ワークスペースを生やしていました。こういうワークスペースは Join しておくとラフな会話を始めやすいのでありがたい:

Welcome to Aqua's Open Source Developer Slack Community!

🗺️ Public Sector

👀
パブリックセクター(やそれに準ずるような組織)の動向を整理するセクションです

FTC Warned About Log4j Security Vulnerability

FTC より Log4j に関するアナウンスが出ていました:

FTC warns companies to remediate Log4j security vulnerability

以下のようなことを言っているのが注目ポイントですね:

The FTC intends to use its full legal authority to pursue companies that fail to take reasonable steps to protect consumer data from exposure as a result of Log4j, or similar known vulnerabilities in the future.

✅ Wrapping Up

年末年始は(情報収集を含め)ゆっくり休んでいたので点レベルでの情報が多いですが、今年も頑張っていくぞいの気持ちです。いいプロダクトを作るぞ。本年もどうぞよろしくお願いします!

Share this article with:

Read More