業務システムからリテール、サービスビジネスまでクラウド利用はもはや常識になりつつある。要件上オンプレミスシステムも健在だが、それさえクラウドプラットフォームをベースに構築される時代だ。
クラウドシステムでは、Git のようなディレクトリレポジトリとの組み合わせで、アプリ開発のスピードアップ、効率運用が可能になる。スピード命の現代ビジネス環境において「DevOps」「DevSecOps」は要の存在だ。DevOps を支える三種の神器ともいえるのが「クラウドプラットフォーム(AWS や Azure)」「レポジトリ環境(GitHub / GitLab)」「CI/CDツール」だろう。
とくに CI/CDツールは、オープンソースを含むソフトウェアモジュール群のバージョン管理や統合(ビルド)、自動テスト、実環境展開(デプロイ)、運用、メンテナンスを自動化(CI/CDパイプライン)できる優れものであり、クラウド環境を DevOps たらしめる存在だ。
便利でありがたい存在だが、往々にして悪人もまたそんなツールをお気に召すものだ。CI/CDパイプラインに潜む攻撃ポイント、そして実際の攻撃とはどんなものか。6 年以上コンテナおよびクラウドペンテストに従事しているイアン・スマート氏:NCC グループ)と、同じくペンテスト歴 7 年のビクター・ガズダグ氏( Jenkins Security MVP、NCCグループ)が、昨夏 2022 年の BlackHat USA にて講演とデモを行った。
●攻撃者から見た CI/CDパイプライン
CI/CDツールは主だったものでも 100 種類以上あるといわれている。日本ならば煩悩の数 108 になぞらえるところだが、IT の世界では 118 個の周期律表になぞらえて CI/CDツールを一覧にした表が存在する。
