これまで以上に、組織はソフトウェアリスクがビジネスリスクであることを認識しており、アプリケーションセキュリティ・プログラムをスケーラブルで効率的にすることは、そのリスクを正常に管理するために最も重要です。脅威の状況が激化し続けるにつれて、急速に拡大するソフトウェアのフットプリントに歩調を合わせるために、テスト、トリアージ、リスク管理を簡素化する必要性が高まっています。
何が AppSecを簡素化するニーズを推進しているのか?
セキュリティツールの拡散
組織は、アプリケーションを保護するために幅広いツールを採用しています。実際、ESGによる最近の調査では、組織の 70%が 11以上のアプリケーションセキュリティテスト(AST)ツールを使用していること、脆弱性管理プラットフォーム、カスタムBIダッシュボード、手動テストなどにより、ツールの普及が増加し、組織の複雑さとコストが増加しています。そして、ソフトウェアのサイズが大きくなるにつれて、この技術とデータソースを継ぎ接ぎしただけの開発インフラでは、利用するツールのトレーニング、サポート、維持に必要な時間とリソースのために、開発の俊敏性を大きく低下させます。開発チームは技術を採用するのに苦労し、ツールで問題を解決できず、修正作業は非効率的になり、リスクの明確な姿は見えてきません。
リスクの断片化された姿
ソフトウェアとそのコンポーネントを保護することは大きな作業です。変更のサイクルはさらに短くなり、その対象となる何千もの分散したソースを追跡する必要があります。組織は、何をテストし、どの優先順位を上げ、どれを報告するかを理解するのに苦労しています。ポイントソリューション(用途が限定された解決策)では、ソフトウェアの問題に関する限定的な知見を提供し、それぞれがリスクを分類するための独自の手段を持っています。これにより、コンプライアンス態勢は不明確で断片化されることとなり、ツールやチーム間でAppSecを実装する統一された方法は実現されません。 ESGの過去の他のレポートによれば、組織の42%がテスト結果の可視性を得ることを最大の課題として挙げていることがわかりました。つまり、テストを定期的に実行する際の非効率性と相まって、多くのAppSecプログラムが失敗するということを意味しています。
企業はどのようにAppSecを簡素化することができるか?
ツールの統合
最近のガートナーの調査で、アナリストのJohn Wattsは次のように書いています。「セキュリティとリスク管理のリーダーは、運用上の非効率性と異なるセキュリティスタックが統合されないことに、ますます不満を抱いています。その結果、彼らは用いるセキュリティベンダーの数を減らしています。」
その結果、組織は、調達サイクル、トレーニング、実装、およびサポート全体で効率を高めることができます。この取り組みの一環として、企業はツール間で重複した機能を削除して、すでに展開しているものを最適化することも可能です。単一の管理ソリューション内でツールを統合することで、セキュリティワークフローが簡素化され、AppSecプログラムが上手くいくように設定できるわけです。
知見の統合
統合の取り組みにとって重要なのは、組織が信頼できる唯一の情報源を通じてリスク態勢を迅速かつ正確に理解するための効率的な方法です。セキュリティデータ、ソフトウェアリソース、ポリシー、および知見を繋ぎ合わせる一元化された方法により、組織は迅速に情報に基づいた意思決定を行い、セキュリティ態勢を即座に強化することができます。
アプリケーション・セキュリティ態勢管理を用いる
アプリケーション・セキュリティ態勢管理(ASPM)は、ソフトウェア開発のすべての段階で識別、優先順位付け、およびリスクの可視性を統一する方法を提供します。 ガートナーによれば、ASPMソリューションとは「ソフトウェア開発、展開、運用全体のセキュリティシグナルを収集し、可視性を向上させ、脆弱性をより適切に管理し、対策を実施できる」と説明しています。セキュリティリーダーは、ASPMを使用して、アプリケーションのセキュリティの有効性を向上させ、リスクをよりよく管理することができます。また「2026年までに、独自のアプリケーションを開発する組織の40%以上がASPMを採用し、アプリケーションのセキュリティ問題をより迅速に特定して解決するだろう」とも述べています。
ASPMソリューションが価値を加えるためには、オーケストレーション、相関、優先順位付け、リスク管理など、いくつかの核となる機能を達成するための忠実度の高い簡略化された手段を提供する必要があります。また、広範なサードパーティの統合を通じてすべての基礎となるツールを抽象化し、実用的な知見を提供し、パイプライン全体でテストと修正のワークフローを標準化するポリシーを実装できる必要があります。これが AppSecプログラムの有効性を高めるために不可欠なのです。
Software Risk Manager とは何で、どのように役立つのか?
シノプシスの Software Risk Managerは、セキュリティチームと開発チームがリスクを優先順位付けし、最も重要な問題に集中できるようにする、統合されたオンプレミスのASPMソリューションです。ポリシー、オーケストレーション、相関、組み込みの静的アプリケーション・セキュリティ・テスト(SAST)およびソフトウェア・コンポジション解析(SCA)エンジンを組み合わせてソフトウェア開発ライフサイクル全体におけるセキュリティ活動をインテリジェントかつ一貫して統合します。Software Risk Managerを用いることで、セキュリティ、リスク、および開発の各チームは、信頼できる唯一の情報源からの情報に基づいた意思決定を行い、回復力のあるアプリケーションを提供できるようになります。
Software Risk Manager によって実現できること:
- 管理の簡素化: セキュリティ・テストツールとの135以上の統合をサポートしており、既存のツールだけでなく、新しいセキュリティ・テスト・ツールの管理も統合し、手動および自動化AST全体で関連する結果を引き出すための唯一の信頼できる情報源を提供します。
- AppSecの価値実現の時間を短縮:ソースコードとオープンソースのテストを迅速に達成し、既存のパイプラインをほとんど中断することなく、パイプラインに業界をリードするSASTとSCAのエンジンによるスキャン機能を提供する唯一のASPMソリューションです。
- ソフトウェア・リスク態勢の評価を得る:チームは、個々の調査結果を規制基準まで追跡するコンプライアンス・マッピングとレポートを活用することで、監査時間を短縮することができます。
- 課題の優先順位付け:脆弱性のコンテキストリスクスコアリングを提供し、重要な問題の優先順位を上げ、これらの不具合を開発者が作業するツール内で直接開発者に通知します。また、バグ追跡システムとの双方向の同期をサポートします。
- すべてのツールと開発環境でAppSecワークフローを標準化:一元化されたポリシー管理により、テスト、トリアージ、および修正の基準を定めるポリシーの遵守を定義し、適用して追跡することができます。
Software Risk ManageがAppSecプログラム管理の簡素化にどのように役立つかを学びましょう。
Continue Reading
fAST Dynamic の紹介: 動的アプリケーション・セキュリティ・テストの能率化
Mar 22, 2024 / 1 min read
「世界のDevSecOps の現状 2023」レポートから日本の課題を読み解く
Nov 13, 2023 / 1 min read
