検査を最適化する
セキュリティ検査ツールによる検査は、自組織の目指すセキュリティレベルに対して厳しすぎたり、緩すぎたりすることがあります。 しかし、セキュリティリスクを可能な限り小さな人的コストで把握・管理していくためには、自社にとって必要十分なスコープが、必要十分な観点で評価されている 状態を目指していきたいものです。 不要な検査によるアラートに対応する必要がなく、必要な検査が可能な限り揃っている状態でこそ、安心してプロダクト運営を進めることができます。
ここで Shisho Cloud は、初期状態であっても、最高の体験を提供できるよう設計されています。 その上で、Shisho Cloud は、必要十分なスコープ・必要十分な観点 の検査の実現のため、以下のような前提のもと開発されました:
- Shisho Cloud では、ユーザーが自由に全ての検査ルールを変更・削除できるようにする(検査の最適化)
- Shisho Cloud では、ユーザーが自由に検査ルールを追加できるようにする(新規検査の実装)
- Shisho Cloud の初期検査ルールは、全て OSSとする(flatt-security/shisho-cloud-managed-workflows)
本チュートリアルでは、まず Shisho Cloud における検査ルールの最適化方法を、実際に手を動かしながら学んでいきます。
- パラメータ調整による検査の最適化
- ポリシーコードの改善による検査の最適化