ソフトウェア・インテグリティ

 

マネージド・サービス・プロバイダーとの連携によるアプリケーション・セキュリティ・プログラムのスケーリングと成熟化

マネージド・サービス・パートナーの役割は、指定されたテストを実行するだけではありません。最適なパートナーがアプリケーション・セキュリティ・プログラムの構築を支援します。

最適なマネージド・サービス・パートナーがアプリケーション・セキュリティ・プログラムの構築をサポートします。

最近社内にセキュリティ専門家を雇用しようとした企業の採用担当者は人材不足を実感しています。

  • 現在、米国で約50万人のサイバーセキュリティ人材が不足(CBS News
  • 2025年までに、全世界でサイバーセキュリティ人材が350万人不足(Cybersecurity Ventures
  • 2030年までに、情報セキュリティ・アナリストの需要が33%増加する見込み(米国労働統計局

インフォグラフィックで見るサイバーセキュリティ労働力の状況 | Synopsys

セキュリティ専門家の雇用・維持は困難かつ高コスト

企業は、マルウェア、脅威の軽減、暗号化やフォレンジック、さらに、業界固有の知識、クラウドモバイル・セキュリティ、高度な分析やネットワーク仮想化などの幅広いスキルを求める傾向がありますが、それは一人の専門家に求めるには過大な要求です。さらに仕事に必要なソフトスキル(コミュニケーション、管理、報告の能力など)が採用条件のリストに加わるとなると、人材探しはネス湖の怪獣を探すようなものと言えるかもしれません。

人材不足によってサイバーセキュリティ専門家の報酬が急騰したため、幻のような人材がたとえ見つかったとしても、コストは高くつきます。給与、福利厚生、間接費、さらに新しいセキュリティ専門家が仕事に精通するためのトレーニングにかかるコストを合計すると、特殊なスキルセットに対してかなりの投資が必要になることは明らかです。

希少価値の高いセキュリティ資産(人材)の補充にはさらに多くの時間がかかる

この貴重な人材が、より高い報酬と充実した福利厚生に惹かれて他社に転職するリスクもあります。CyberSeekが報告した新しいデータによると、サイバーセキュリティの人員補充には、他のIT系職種の場合と比べて21%長い時間がかかります。

高度なスキルを持つ少数精鋭の内部チームに依存していると、その人材が転職する際に組織のアプリケーション・セキュリティに関する知識や情報を失ってしまうことにもなりかねません。これに対し、社内の戦略チームがアウトソーシングによってマネージド・サービス・パートナーと協力している場合、その知識は委託先ベンダーの組織内で体系化されているため、失われることはありません。

マネージド・サービス・パートナーの利点

社内でアプリケーション・セキュリティの専門家の少数精鋭チームを確保するのも賢明な方法ですが、アウトソーシングにはキャパシティを増やしてより多くのテストを行うことができるという大きな利点があります。テストを増やすことで、ポートフォリオのカバレッジが拡大し、経験豊富なベンダーと提携することによって予算を有効活用できます。

テストの網羅性と詳細度を高める

アプリケーション・セキュリティ・テスト・ベンダーにアウトソーシングすることで、キャパシティが増加するとともに、テストサービスのカバレッジと詳細度を高め、組織にスキルを取り入れることができます。

幅広いサービスにより、従来の自動化された動的アプリケーション・セキュリティ・テスト(DAST)からビジネスロジック・ベースのペネトレーション・テストや静的アプリケーション・セキュリティ・テスト(SAST)へと速やかに展開し、モバイルなども含めてプラットフォームの範囲を拡大できます。

深度を用いることで、アプリケーションのリスクプロファイルに基づいてテストをより適切に調整できるため、予算をより細かく管理できます。社内のソフトウェア・セキュリティ・プログラムの戦術的なテスト要素の管理をマネージド・サービス・パートナーに委託することで、社内チームは戦略が適切に実行されていることを確認でき、開発チームとより緊密に連携できるという利点もあります。

優先順位付けと調整による能力向上

さらに、データを方針と戦略の決定に援用する必要があります。マネージド・サービス・パートナーが委託されたテストを開始した後、社内チームは検出された脆弱性を継続的に調査し、その結果に応じてプログラムを進化させることができます。アプリケーション・セキュリティ・テストの拡張により、社内チームは結果を監視し、条件に基づいて優先順位を付け、脆弱性管理に効果的に対処することができます。

また、社内チームが解放されることで、組織のSSIをどのように成熟させていくかを決定し、開発チームに優れたコーディング・プラクティスを説明し、ソフトウェア・セキュリティのトレーニングとポリシーを調整するなど、ソフトウェア・セキュリティ対策の一環として他の社内ステークホルダーを指導することも可能になります。

これまでご紹介したように、マネージド・サービスは、一連のアプリケーションをテストするだけでなく、組織にはるかに広範な影響をもたらします。

マネージド・サービスにより能力と知識の共有が進む

マネージド・サービス・パートナーを採用することで、人材豊富な専門家集団の能力を利用できます。セキュアなアーキテクチャに詳しい専門家もいれば、ビジネスロジックのテストや脅威モデリングに関する高度な知識を持つ専門家やモバイルの第一人者もいます。

個々の分野でフルタイムの専門家を雇うのではなく、必要に応じて専門家の知恵を活用することができます。必要なときだけ稼働するマネージド・サービス・チームは、福利厚生費の支出を伴わず、職場と一連のツールも独自に備えています。しかも、これらのツールを最大限に活用するための経験とスキルも備えています。一度に複数のテストやプロジェクトを扱うことができるのも重要な利点です。さらに、人員やツールは必要なときに必要なだけ利用することが可能で、料金は利用した分だけ発生します。

テスト・カバレッジの拡大を支援するマネージド・サービス

マネージド・サービス・パートナーは、テストの実行をサポートするだけではなく、豊富な経験を通じてプログラムの実現を支援する パートナーです。その関係を通じて、ソフトウェアやアプリケーションのセキュリティに関する専門家の知識と経験を活用できます。

この投稿は2016年3月3日に発表され、2022年1月24日に更新されました。