Application Security Orchestration and Correlationの概要と仕組み | シノプシス
目次

定義

Application Security Orchestration and Correlation(ASOC)はアプリケーション・セキュリティ(AppSec)・ソリューションに分類され、ワークフローの自動化による脆弱性のテスト・修正の効率化を支援します。ASOCソリューションは様々なAppSecソース(SAST、DAST、IASTツールなど)からデータを収集して1つのデータベースに統合し、結果の相関付けを行って重要な修正作業に優先順位を付けます。最終的な結果により、セキュリティ・チームは情報に基づいた効率的な方法でAppSec(アプリケーション・セキュリティ)のアクティビティを合理化できます。

ASOCの利点

大局的に見ると、ASOCの最大の利点はDevSecOpsの効率向上に役立つことです。アジャイル開発では迅速化とツールの向上が求められるため、セキュリティ・チームにとって適切なリソース管理と修復アクティビティが大きな課題となります。ASOCはその課題に取り組む上で重要な役割を果たします。

ASOCはセキュリティの取り組みに様々な利点をもたらします。

  • リソース割り当ての向上:ASOCを開発環境に導入すると、既存のプラクティスを妨げることなく、重要な修復の優先順位付け情報が得られます。AppSecツールが検出した膨大な脆弱性の中には、コードの修正が不要な誤検知が混在している可能性があります。そのため、指摘された問題に対して本当に注意が必要かどうかを判断するための評価が必要になり、作業の過負荷の原因となります。ASOCソリューションは結果の重要度に優先順位を付けてリソースとコストの節約を可能にします。
  • 脆弱性の一元管理:開発環境で使用する各AppSecツールはアプリケーション・セキュリティで重要な役割を果たしますが、結果の出力形式はツールによって異なります。また、複数のツールで同じ問題が発生する可能性があります。すべてのAppSecツールの結果から不要なデータを除去する作業は時間がかかり、開発が遅れる原因になります。ASOCソリューションでは、複数のAppSecツールと手動テストによる解析結果が集約されます。異なるツールで同じ問題が指摘された場合には重複が除去され、残りのすべての結果が自動的に相関付けされ、中央ハブに一元化されて優先順位が付けられます。 
  • リスクに対する理解の向上:ASOCソリューションにより、CISOおよび開発リーダーはアプリケーション・ポートフォリオ内の高リスクのプロジェクトを即座に発見できます。また、チームの脆弱性管理やAppSecのアクティビティがどの程度の成果を上げているかを時系列で示す指標が得られます。これらの指標を参照することで、アプリケーション・セキュリティの面でチームがどの程度の成果を上げているかを把握し、それに応じて調整を行うことができます。
  • 連続的な自動スキャン:ASOCソリューションには組織が使用するすべてのセキュリティ・ツールの自動スキャンをスケジュールする手段が用意されているので、アプリケーションを手動でスキャンする必要がありません。ツールの実行頻度と実行するアクションはすべて、ASOCソリューション内で定義および設定できます。これにより、断片的または個別のスキャン・アクティビティが不要になります。
  • AppSecプロセスの自動化:ASOCソリューションを使用すると、事前に定義されたチーム横断型のワークフローの設定および自動化が簡単にできます。セキュリティ・エンジニアと開発チーム間のコミュニケーションに頼るのではなく、合意されたプロセスから逸脱した場合には両チームに通知されます。

ASOCでアプリケーション・セキュリティとCI/CDとのギャップを埋める方法

AppSecの一般的な問題は、脆弱性管理とCI/CD(継続的インテグレーション/継続的開発)パイプラインの分離です。ASOCソリューションでは、複数のソースから得られた統合テスト結果を1つのツールに一元化して結果を関連付け、リスクの高い脆弱性に優先順位を付けることでギャップを埋めることができます。これにより、開発速度に遅れを生じることなく、CI/CDパイプライン内のセキュリティ・オーケストレーションが可能になります。


ASOCが将来のアプリケーション・セキュリティにもたらす意義

セキュリティ・チームに対する要求が増え続ける中、セキュリティ・チームと開発チームに課される脆弱性の過負荷を軽減するために、ASOCの役割は間違いなく重要性を増していきます。既存のパイプラインで継続的に自動スキャンを行うASOCソリューションでは、単一のソースから、組織で使用されるすべてのツールの自動スキャンをスケジュールできます。将来的には、AppSecは、ASOCを信頼できる唯一の情報源として採用し、その情報源を活用してAppSecポートフォリオを効果的かつ効率的に管理する方向に向かう可能性が高いでしょう。

Intelligent OrchestrationとCode Dx Application Security Orchestration and Correlation | シノプシス

シノプシスの支援方法

シノプシスのIntelligent Orchestration

Intelligent Orchestration(IO)を使用することで、テスト実行のタイミング、結果内容、結果を受け取る人を適切に管理できます。ソフトウェア開発ライフサイクル(SDLC)全体にわたって、カスタマイズされたアプリケーション・セキュリティ・パイプラインによりセキュリティ・テストを自動化し、コード変更の重要度、リスクスコアの合計、会社独自のセキュリティ・ポリシーに基づいて、適切なセキュリティ・ツールを自動的に実行するか、手動テスト・アクティビティをトリガします。

シノプシスのCode Dx

Code Dxは自動化の機能を活用して、セキュリティやスピードを損なうことなく最先端のイノベーションを実現するASOCソリューションです。

すべての開発パイプラインでアプリケーション・セキュリティ・テストを一元化し、自動化によるスケーラブルで反復可能な方法で調整する機能を備えています。Code DXは結果の集約、相関付け、優先順位付けを行います。

Code Dx Correlation Engineを利用すれば、すべてのアプリケーション・セキュリティ・スキャン・ツール(静的および動的解析、商用およびオープンソース・コンポーネント)の結果を1つのコンソールに統合し、重複排除して関連付けることで、問題の解決にかかる時間を短縮し、脆弱性を効果的に管理することができます。

優先順位付けされた結果と修正箇所を追跡する機能により、チームの責任が明確になり、主要なステークホルダーは組織のセキュリティ義務がどの程度履行されているかを簡単に把握できます。

当社の製品と支援方法の詳細は下記のサイトでご覧ください
www.synopsys.com/blogs/software-security/intelligent-orchestration-code-dx-integration/


続きを読む

ソリューション
ASOC(Application Security Orchestration and Correlation)ソリューション

AppSecテスト・ツールの結果を集約、相関付け、優先順位付け

ブログ
シノプシスに独自機能をもたらすCode Dx

Code Dxにより新たに加わったソフトウェア脆弱性の相関付け、優先順位付け、リスク報告書の機能の詳細はこちら

ソリューション
ASOC(Application Security Orchestration and Correlation)ソリューション

IOでAppSecパイプラインをカスタマイズしてSDLC全体のテストを自動化

ブログ
IOによるパートナー統合でDevOpsの摩擦を解消

Atlassian、CloudBees Jenkins、GitHub Actions、SonarQubeとのIOパートナー統合の詳細はこちら


ブログ
Intelligent Orchestrationを使用して大規模でスピーディーなDevSecOpsを実現

IO(Intelligent Orchestration)によってDevOpsツールチェーン内でAppSecテストを最適化する方法はこちら​

ブログ
Intelligent OrchestrationでDevOpsにセキュリティを組み込む

SASTおよびSCAソリューションによってDevOpsにセキュリティを組み込む方法はこちら