サイトアイコン

アプリケーションセキュリティプログラムを最適化する4つの方法

Four ways to optimize Application security program

アプリケーションセキュリティ(AppSec)の提供者は、クライアントと協力してセキュリティプログラムを最適化しなければなりません。彼らの協力によって、レガシーアプリケーションからクラウド基盤の次世代アプリケーションに至るまでセキュリティプログラムを搭載する範囲が広がり、セキュリティが適用されたアプリケーション数が急増しました。

ハッカーの挑戦

強力なアプリケーションセキュリティの構築は、技術的な問題であると同時に文化的なプロセスでもあります。アプリケーションのセキュリティホールに関するテストには、ただハッカーの攻撃を防止する以上の意味が含まれています。アプリケーションのセキュリティホールによってデータ損失または盗難が発生するおそれがあり、これは潜在的に利害関係者の訴訟、広範囲な矯正費用の発生、ブランド評判の損傷など、非常に深刻な結果をもたらすからです。

この問題をより一層悪化させるのは、大半の会社が決められたリリース日程に従わないため、クライアントのテスト要求に常に一貫性があるとは限らないという点です。チームがアジャイルの開発環境で運営されている場合、組織の競争力の維持と顧客の要求を満たすためには、短いサイクルで結果を生み出すよう努力しなければならず、継続可能なリリースに差し迫られます。この時、開発者が古いコードを再利用すると、古いコードに隠れていたセキュリティバグや欠陥がそのまま受け継がれることになります。ハッカーは、組織のアプリケーションコードのセキュリティホールを攻撃できる最も簡単な攻撃方法を見出します。必要なアプリケーションのセキュリティ資源を確保できないままクライエントの要求が急増すると、テストとコード整理を急ぎ、最悪の場合はリリース済みのソフトウェアに対するパッチを配布せざるを得なくなります。

各セキュリティテストツールは、それぞれ異なるメリットを持っているため、このようなツールのうち一つまたは二つだけを制限的に具現化して使用すると、攻撃を受けるリスクが高まり、重要な問題を見逃すおそれがあります。同様に、テストプロセスの結果を分析・反映して確認する能力がないと、フォールス・ポジティブの原因追跡に長い時間を費やさなければならなくなります。例えば、標準自動化されたセキュリティ検査は、アプリケーションの保護とビジネス観点での重要な機能の管理、または機密データのアクセスなどを確認するための十分な方法ではありません。アプリケーションセキュリティは、新しいリスク、新しい攻撃、進化する遵守規定に従って変化を続けるため、開発者はアプリケーション全体のライフサイクルに対する包括的なテスト戦略を確立しなければなりません。

潜在的な損失

ソフトウェアは益々私たちの暮らしに定着しており、開発者はソフトウェアが機能的で安全だという確信を得られる責任を負わされるようになりました。すべての脆弱性は、アプリケーションセキュリティを損傷させるために悪用されるおそれのある、アプリケーションシステムの欠陥や弱点だと言えます。攻撃者がこの欠陥やアプリケーションの脆弱性を発見し、それにアプローチする方法を決定するということは、攻撃者がアプリケーションの脆弱性を悪用してサイバー犯罪を犯す潜在力を持っているこということです。このような犯罪は、アプリケーション、開発者、ユーザが所有するリソースの機密性、整合性、可用性を無力化することを目的とします。通常、攻撃者はアプリケーションの脆弱性を発見し、これを攻撃するために特定のツールや方法を使用します。

長期的なセキュリティサイクル

アプリケーションセキュリティプログラムの最適化には、4つの方法があります。(1)安全なソフトウェアを供給する文化を育成し、(2)分析に期待し、(3)脆弱性スクラムを通して開発者とコラボし、(4)アプリセキュリティをCI/CDパイプラインに統合する方法です。開発、セキュリティ、運営の全般にわたって担当者間で協力し合えるような組織を組み立てる必要があります。この過程には、アプリケーションに対する可視性、リード開発者の明確な所有権、適切なイシュー伝達プロセス、事例別にリスクに焦点を合わせた討論などが伴わなければなりません。組織は、分析法を用いて未来の優先順位に対する指針を提示しなければなりません。次の段階の措置項目は、プログラムの利益のため、各開発チームで使われるツールと彼等の努力がどこに集中すべきかを決める前に案内されなければなりません。そのため、CI/CDパイプラインは、安全でないコードの製品リリースを防止できる新しい形のファイヤウォールと言えます。

お勧めするこの4つの方法を用いた組織では、アプリセキュリティプログラムが会社全体の脆弱性管理プログラムの良いモデルとして拡大する傾向を示しています。彼らは、静的分析、動的分析、マニュアル侵入テストなどの改善活動により、以前公開された欠陥の数を急減させました。この4つのエリアは、組織のソフトウェア開発時に参考にすべきアプリケーションセキュリティパートの具現化において、最適の指針として活用されています。

 

モバイルバージョンを終了