アプリケーション・セキュリティ態勢管理

効果的なASPMソリューションには、いくつかの重要な機能があります。

サードパーティー製ツールとの統合：ASPMソリューションが真価を発揮するには、開発、展開、運用など、さまざまなソースからデータを取り込むことができる機能が必要です。ASPMソリューションでAppSecプログラムの有効性を高めるには、既存の開発環境内で作業できることが重要です。そのためには、手動および自動のAppSecテスト・ツール、開発ツール、問題追跡ツールと統合する機能が必要です。ASPMソリューションによって異種開発環境間で可視性を確保するには、ソフトウェア資産、セキュリティ・データ、チケットをマッピングする主要なデータソースへの接続が主な役割を果たします。 

ポリシーの一元化：ASPMソリューションによりチーム、プロジェクト、ツール全体にわたってセキュリティ・プラクティスを標準化するためには、スケーラブルなAppSecワークフローが不可欠です。これを実現するには、テストと優先順位付けを調整するセキュリティ・ポリシーを一元的に定義、適用、監視するASPMソリューションが必要です。さらに、対象となるセキュリティ・ポリシーをコードで定義することにより、セキュリティ・チームと開発チームが問題の評価、統制、修正、検証をパイプライン内でシームレスに統合し、継続的なコンプライアンスを維持することができます。 

優先順位付けとトリアージ：AppSec管理の最初のハードルは、関連するデータ・ポイントを統合し、ワークフローを標準化する手段を得ることですが、開発チームの生産性を維持するためには、セキュリティ・チームにもこれらのASPM機能を活用する能力が必要です。ASPMソリューションは、ツール間の結果の重複を排除し、リスク基準に対して一元的に定義されたポリシーに基づいて、最初に取り組むべき問題を優先するために役立ちます。このリスク基準には、問題の重大度、ソフトウェアの重要度、修正のために定義されたSLAを含めることができます。これらの機能により、開発チームは不要なエスカレーションを排除し、重要なセキュリティ作業に集中できます。 

リスク管理：ASPMソリューションには、組織全体のソフトウェア・フットプリントを網羅したリスク態勢の全体像を捉える機能が必要です。これには、脆弱なソフトウェア・コンポーネントやアプリケーションが存在する場所、問題解決の状況、ポリシーおよびコンプライアンス違反の詳細を含める必要があります。セキュリティ・リーダーは、ASPMソリューションを活用してアプリケーションを監査し、ソフトウェアの観点から組織のリスクを把握し、AppSecプログラムの有効性に関する主要なKPIを生成する能力を備えている必要があります。

アプリケーションの高度化が進むにつれて、組織は、アプリケーションを保護するために構築されたAppSecプログラムの複雑さと運用コストに苦しむようになっています。この複雑さにより、一貫したAppSecプラクティスの実装、アプリケーションのリスク態勢の把握、プログラム全体の効果測定が困難になります。 ASPMツールは、AppSecプログラム全体を一元管理し、セキュリティ・チームと開発チームの連携を改善し、テスト内容、検出された結果、修正対象の内容を統合的に把握できるようにすることで、これらの課題に対処します。

包括的なASPMソリューションを提供するSynopsysのSoftware Risk Managerでは、次のことが可能です。

• テスト実行と脆弱性管理のパラメータを指定するセキュリティ・ポリシーを定義および適用することにより、ポリシー駆動型のAppSecを大規模に実装
• 異なるアプリケーション・セキュリティ・テスト・ツール間でユーザー・エクスペリエンスを統合し、リソースの調達と運用を簡素化するとともに、チーム間のツール統合を改善
• プロジェクト、チーム、ツール全体で脆弱性の報告と管理を統合し、正規化、重複排除、優先順位付けを実行してセキュリティ・リスクの全体像を提示
• 開発ワークフローにおけるAppSecの統合とオーケストレーション（調整）を簡素化して、セキュリティ・ワークフローを既存の開発ツールチェーンに統合し、既存のプロジェクトとビルドの迅速なオンボーディングを実現
• 一元化された統合ソリューションでコア・アプリケーション・セキュリティ・テストを最適化し、コア・アプリケーション・セキュリティ・テスト機能の効率的な展開、管理、レポート作成を実現