成果を上げるためにWebアプリケーションやモバイル・アプリケーションを利用する企業が増加していることに伴い、アプリケーション・セキュリティの脆弱性が急速に蔓延し、データ侵害の主な原因となっています。このような状況下で、アプリケーションとコードを保護することの重要性がますます高まっています。
組織が現在直面している課題:
- クラウドおよびクラウドネイティブ・アプリケーション・テクノロジーへの移行が進むことにより、アプリケーションはますます複雑化している。
- 大規模な分散型のマイクロサービスやサーバーレス関数の場合、開発者が分担されたサービスのみに集中し、コードベース全体を完全に把握している人がいない。
- アプリケーションの数が増えるにつれて、クラウドにデプロイされるソフトウェア・コード全体が増大し、潜在的なアタックサーフェスが拡大する。
- デジタル・トランスフォーメーションに注力する組織が増えるにつれ、開発者の退職や職務変更によってレガシー・コードに関する知識が衰退していく。
- サードパーティー製ソフトウェアとオープンソース・ソフトウェアの普及により、アプリケーションの複合化が進み、組織の理解できる範疇を超える膨大な量のアプリケーション・コードが開発されている。
- DevOps手法は、スピーディーな開発に役立つ一方で、手動または従来の方法でセキュリティ・チェックを行う時間はほとんど取れない。
コード変更のスピードアップ、アプリケーションをホストする基盤となるアーキテクチャの変化、アプリケーションに対する攻撃の増大という 3つのパラダイム・シフトは、情報セキュリティ・チームとアプリケーション開発チームが連携して作業を進めるための、両者のニーズを満たす軽量でありながら包括的な使いやすいアプリケーション・セキュリティ・ソリューションが必要であることを如実に表しています。これを実現するには、作業中のプロジェクトのコンテキストでアプリケーション・セキュリティ・ツールを効率的に実行し、脆弱性とアプリケーションのセキュリティ状態を正確に報告する必要があります。また、特に困難な問題に関する相談に対応するエキスパートとSDLCに簡単に組み込めるソリューションを用意して、開発者教育をサポートする必要があります。
DASTの実装は、運用環境で実行されているアプリケーションのセキュリティ体制やエンドユーザーとのコミュニケーション方法を決定するために必要であるだけでなく、アプリケーションの進化や、絶えず変化する攻撃の手口に関する情報に後れを取らないようにするためにも不可欠になりました。効果的なDevSecOpsは、DASTで生成されたフィードバックを取得し、それをSecOpsおよびDevOpsツールに統合することから始まり、最終的に、組織とエンドユーザーをリスクにさらす実在の脆弱性を発見します。
- アプリケーションとコードを保護する
- 引き継がれた脆弱性と新しい脆弱性を特定する
- 質の高い脆弱性評価レポートにより修正を迅速化する
組織のクラウド・プラットフォームへの依存度が高まる中、セキュリティのあらゆる側面を考慮し、アプリケーション・セキュリティ層を見落とさないように注意する必要があります。新しいアプリケーション、API、機能の発展が進むにつれ、アプリケーションのアタックサーフェスは急速に拡大しています。これに伴い、悪意のあるアクターが食指を動かし、簡単にアクセスできるツールやユーティリティを利用して、既知の脆弱性や影響を受けやすいコードが存在するアプリケーションを悪用しようと狙っています。ひとたびアプリケーションが侵害されると、悪意のあるアクターは重要な顧客データ、個人識別情報、その他の悪用可能な企業資産に密かにアクセスできるようになり、組織は情報漏洩の被害を受けて顧客の信頼を裏切ることにもなりかねません。
開発環境のみでアプリケーションをテストしても、運用環境でのセキュリティ侵害からアプリケーションを保護することはできません。全体的なビジネス・リスクを軽減するためには、正式なアプリケーション・セキュリティ・プログラムが不可欠です。適切な戦略とテクノロジーにより、アプリケーションに対する攻撃に利用される可能性があるエクスプロイトを特定し、アプリケーションの侵害を未然に防止する方法を示すことができます。これが正しく実践されれば、チームに権限を与えて責任を持たせ、潜在的な問題を混乱なく速やかに修正することが可能になります。