大局的に見ると、ASOCの最大の利点はDevSecOpsの効率向上に役立つことです。アジャイル開発では迅速化とツールの向上が求められるため、セキュリティ・チームにとって適切なリソース管理と修復アクティビティが大きな課題となります。ASOCはその課題に取り組む上で重要な役割を果たします。
ASOCはセキュリティの取り組みに様々な利点をもたらします。
- リソース割り当ての向上:ASOCを開発環境に導入すると、既存のプラクティスを妨げることなく、重要な修復の優先順位付け情報が得られます。AppSecツールが検出した膨大な脆弱性の中には、コードの修正が不要な誤検知が混在している可能性があります。そのため、指摘された問題に対して本当に注意が必要かどうかを判断するための評価が必要になり、作業の過負荷の原因となります。ASOCソリューションは結果の重要度に優先順位を付けてリソースとコストの節約を可能にします。
- 脆弱性の一元管理:開発環境で使用する各AppSecツールはアプリケーション・セキュリティで重要な役割を果たしますが、結果の出力形式はツールによって異なります。また、複数のツールで同じ問題が発生する可能性があります。すべてのAppSecツールの結果から不要なデータを除去する作業は時間がかかり、開発が遅れる原因になります。ASOCソリューションでは、複数のAppSecツールと手動テストによる解析結果が集約されます。異なるツールで同じ問題が指摘された場合には重複が除去され、残りのすべての結果が自動的に相関付けされ、中央ハブに一元化されて優先順位が付けられます。
- リスクに対する理解の向上:ASOCにより、CISOおよび開発リーダーはアプリケーション・ポートフォリオ内の高リスクのプロジェクトを即座に発見できます。また、チームの脆弱性管理やAppSecのアクティビティがどの程度の成果を上げているかを時系列で示す指標が得られます。これらの指標を参照することで、アプリケーション・セキュリティの面でチームがどの程度の成果を上げているかを把握し、それに応じて調整を行うことができます。
- 連続的な自動スキャン:ASOCソリューションには組織が使用するすべてのセキュリティ・ツールの自動スキャンをスケジュールする手段が用意されているので、アプリケーションを手動でスキャンする必要がありません。ツールの実行頻度と実行するアクションはすべて、ASOCソリューション内で定義および設定できます。これにより、断片的または個別のスキャン・アクティビティが不要になります。
- AppSecプロセスの自動化:ASOCソリューションを使用すると、事前に定義されたチーム横断型のワークフローの設定および自動化が簡単にできます。セキュリティ・エンジニアと開発チーム間のコミュニケーションに頼るのではなく、合意されたプロセスから逸脱した場合には両チームに通知されます。