インタラクティブ アプリケーション セキュリティテスト(IAST)を使用する場合、どのように請求されるかを知っておくことが重要です。 この機能に対しては、計算アドオンと呼ばれるオプションのアドオンを通じて課金されます。 これは、New Relic の 3 つの課金要素のうちの 3 つ目です。
- 取り込むデータ量
- 課金対象ユーザーの数
- 購入したオプションのアドオン
このアドオンを入手すると、New Relic は消費した計算容量ユニット (CCU)に基づいて IAST コストを計算します。
IAST のコストについて学ぶ
CCU は、IAST 機能を使用してアプリケーションの悪用可能な脆弱性を分析するときに消費されます。 アプリケーションの潜在的な脆弱性を評価するために、攻撃シミュレーションを使用してアプリケーションからの応答が生成されます。
それぞれの応答が分析されて、動作の性質が判断されます。 動作が安全でない場合、テスト実行のステータスはExploitableに設定されます。 これは、本番環境において、攻撃者がこれらの脆弱性のいずれかを利用して、アプリケーション、インフラストラクチャ、またはデータを悪用する可能性があることを意味します。 IAST を使用する場合は、アプリケーションの複雑さ、テストの効率、テストの実行数など、最適な CCU の消費を確保するためにこれらの要素を考慮することが重要です。
one.newrelic.com > All capabilities > IASTに移動し、左側のナビゲーション ペインでTests & Applications [テストとアプリケーション]をクリックします。
IAST が CCU を生成する方法を学ぶ
IAST はアプリケーションに悪用可能な脆弱性がないか分析します。 実際の攻撃シミュレーションの実行を分析しながら、テスト中に実行された API、メソッド呼び出し、トレースの動作を観察します。 各シミュレーションは、テストされたパラメーターの数に基づいて応答を生成します。 実行される API とメソッド呼び出しが増えるほど、正確なリスク評価のためにテストが必要なパラメーターの数も増えます。 アプリケーションが複雑になり、テスト カバレッジの有効性が高くなるほど、各テストの実行で消費される計算容量ユニットが増加します。
IAST の使用状況を理解し、コストを最適化します。
IAST にはガバナンス制御が組み込まれています。 この機能が誤って使用されないようにするためのエージェント設定。 たとえば、許可されたユーザーは、アプリケーションごとにこの機能を明示的に有効にする必要があります。
IAST を構成すると、アカウント、ユーザー、API ごとに分類された可視性が提供されます。 アドミニストレーターは、組織全体で協力してコストを最適化できます。 テスト中に IAST を実行する頻度とテスト内容を確認すると、IAST コストを制御できます。
IAST のコストを最適化する場合、次の 3 つの主な変数があります。
- リスク許容度
- テスト効率
- テストの実行またはビルド
リスク許容度
リスクを軽減するために、ビルドごとにすべての重要なアプリで IAST を実行することをお勧めします。 完全なテスト範囲により、リリース後に問題を修正する必要性が軽減されます。 リスク許容度は組織によって異なり、セキュリティ テスト方法に影響します。 アプリ ビルドの IAST 結果の例を次に示します。
one.newrelic.com > All capabilities > IASTに移動し、左側のナビゲーション ペインでTests & Applications [テストとアプリケーション]をクリックします。 アプリケーションを選択すると、その詳細が表示されます。
テスト効率
Test efficiency [テスト効率は]テスト カバレッジの推定値であり、分析に消費される CCU に影響します。 テスト ケースに基づいて、各実行中に実行および分析された API、メソッド、およびトレースを表示できます。
one.newrelic.com > All capabilities > IASTに移動し、左側のナビゲーション ペインでTests & Applications [テストとアプリケーション]をクリックします。 アプリケーションを選択して詳細を表示し、 APIs [API]タブを選択します。
テスト効率が高くなるほど、カバーできる範囲が広くなり、CCU の消費量が増加する可能性があります。 何をテストするかを決めることでコストを管理できます。 特定の懸念がある場合は、テスト ケースを手動または自動で実行していることを確認してください。 必要な API またはメソッド呼び出しを使用して、IAST が分析できるようにします。 特定の API またはメソッド呼び出しを実行しないことを選択するとコストを削減できますが、これによりさらなるリスクが生じる可能性があることに注意してください。
テストの実行またはビルド
テストの実行は、アプリケーションのビルドをステージング、QA、統合テストなどの環境にデプロイすることと考えることができます。 イメージが再起動されるたびに、新しい固有の IAST テストの実行も開始されます。
- 実行するたびにカバレッジを確認して、IAST がアプリケーションを評価するために行った分析の量をより深く理解することができます。
- 分析された API、メソッド、トレースの数と、それぞれの評価を確認できます。
各テストの実行では、分析作業とアプリケーションの複雑さに応じて CCU が消費されます。 APM 設定で IAST をオンまたはオフにすることで、どのアプリケーションが IAST を使用するか、および IAST を実行する頻度を管理できます。 これにより、IAST の使用を制御できるようになります。
security.enabled
とsecurity.agent.enabled
が true に設定されている場合、IAST 分析がオンになります。- IAST 分析はオフになっており、
security.enabled
とsecurity.agent.enabled
が false に設定されている場合、CCU は消費されません。
IAST の使用状況を確認する
機能ごとに分類されたコストを表示し、アカウント管理で IAST の使用状況を詳しく調べることができます。 毎日の使用量と 30 日間のローリング使用量を確認する機能が提供されます。 また、これを特定のアカウントまたはユーザーと API に対するプロパティの使用状況に分類します。 IAST CCU の消費量はone.newrelic.comから確認できます。
one.newrelic.com > (ユーザーメニュー) > Administrationに移動し、左側のナビゲーションペインでCompute Management [計算管理を]クリックします。
IASTを選択し、Accounts [アカウント]またはUsers/API Keys [ユーザー/API] キーごとにファセットすると、使用状況をより詳細に追跡できます。
one.newrelic.com > (ユーザーメニュー) > Administrationに移動し、左側のナビゲーションペインでCompute Management [計算管理を]クリックします。 Users/APIS Keys [ユーザー/APIS キー]別のファセット。