ソフトウェア・インテグリティ

 

クラウドベースのアプリケーション・セキュリティ・テストに関する5つの重要な要素

アプリケーションをクラウドに移行できるのなら、セキュリティ・テストもクラウドに移行できるのではないか。

クラウドへの移行に積極的な人からよくこのように問いかけられます。この記事では、5つの重要な要素に着目し、アプリケーション・セキュリティ・テストにクラウドベースの手法を選択する場合の手法内容、テスト方法、選択する理由、適しているケースを中心に説明します。

クラウドベース(オンデマンド)のアプリケーション・テストは比較的新しいタイプのテスト方法であり、クラウド上で提供されているソリューション/ツール/スキャナーによってアプリケーションをテストします。このテスト方法は従来のアプリケーション・セキュリティ・テストとはいくつかの点で異なります。

  1. 従来のアプリケーション・テストにはオンプレミスのツールが必要です。
  2. 不具合の発見を目的とする点で両者は共通していますが、クラウドベースのテストの方が拡張性、スピード、コストパフォーマンスに優れています。ただし、詳細で堅牢なテストを求める場合には、あまり適さない可能性があります。そのような場合には静的解析手動による倫理的ハッキングアーキテクチャ・リスク解析の方が適しているかもしれません。

クラウドにデプロイされるアプリケーションが増え、あらゆる種類のエンドポイントに対応するようになるにつれ、単なる「アプリケーションのセキュリティ保護」から「アプリケーションのスピーディーで大規模なセキュリティ保護」へと注目の変化が見られるようになりました。クラウドベースのアプリケーション・セキュリティ・テストは現実的な選択肢であり、大企業や中小企業の幹部から多く寄せられる質問に答えを示すことができます。

クラウドベースのアプリケーション・セキュリティ・テストの概要

スキャン対象のアプリケーションをアップロードするか(通常はモバイル・アプリケーション、シック・クライアント、静的コードの場合)、オンライン・ポータルのURL(Uniform Resource Locator)を入力します。必要に応じて利用者が認証ワークフローを指定し、それをスキャナーが記録します。内部アプリケーションの場合、適切なネットワークの例外を指定して、スキャナーがアプリケーションにアクセスできるようにする必要があります。 その後、利用者がテストのコンフィグレーションおよびカスタマイズを行ってテストを開始します。テストが完了すると、スキャナーはテスト結果と共に詳細な所見と修正ガイダンスを提示します。

5つの重要な要素

クラウドベースのアプリケーション・セキュリティ・テスト戦略を導入する場合、次の5つの重要な要素を検討する必要があります。

  1. 拡張性 – 業務要件の変化に迅速に対応できる拡張性を備え、コンフィグレーションやパフォーマンスの問題が生じないソリューションが必要です。
  2. 可用性 –グローバルなチームによる24時間の協働体制にあっては、オンライン・ソリューションは24時間年中無休で稼働する必要があります。それには、一元管理され、共同作業を容易に行える機能を備えたダッシュボードによる強力なアプリケーション・ポートフォリオ管理が求められます。
  3. スピード – 短い反復時間で並列スキャンの実行機能を備えている高速スキャナーが必要です。組織の大部分でアジャイル手法を導入している場合は特に、この点が重要です。
  4. 品質 – 最も重要な要素といえるスキャナーは、高精度のスキャンを実行し、誤検知(フォールス・ポジティブとフォールス・ネガティブ)のトリアージ(優先順位付け)を簡単かつ迅速に行う機能を備えている必要があります。結果レポートには、発見された問題の解決に役立つ、具体的な事例に応じた実践的なガイダンスが含まれている必要があります。
  5. コスト – アジャイル手法では、スキャンを迅速に行うだけでなく、セキュリティ・テストを何度も反復する必要があります。こうした反復によって過大な追加コストが発生しないようにすることも必要です。

クラウドベースと従来型のアプリケーション・セキュリティ・テストの比較

組織によって要件や目的は異なるので、個別のケースの実態を把握しないまま、どちらかの方法をお勧めすることはできませんが、前述した5つの重要な要素以外にも、いくつか考慮すべき点があります。

クラウドベースのアプリケーション・セキュリティ・テストの方が適している場合:

  • 大規模なアプリケーションベース
  • アプリケーションのリスクが低~中程度
  • 予算と時間の制約が厳しい組織

従来型のアプリケーション・セキュリティ・テストの方が適している場合:

  • より詳細な解析が必要
  • アプリケーションのリスクが中~高程度
  • 専門的なセキュリティ・ガイダンスの入手が必要

NFLのプレイオフを観るかどうかは簡単に決められても、クラウドベースのアプリケーション・セキュリティ・テストを選択するかどうかは簡単には決められません。その判断をシノプシスがお手伝いします。

アプリケーション・セキュリティ・テストの詳細はこちら
 

この著者によるその他の情報