更新日:2024年6月5日
寄稿者:Matthew Finio、Amanda Downie
アプリケーション・セキュリティー(AppSec)はソフトウェア・エンジニアリングとアプリケーション管理の不可欠な部分です。軽微なバグに対処するだけでなく、アプリケーションの深刻な脆弱性が悪用されることも防ぎます。アプリケーション・セキュリティー(AppSec)は、単一のテクノロジーではなく継続的なプロセスのことであり、サイバーセキュリティーの重要な要素として、不正アクセス、データ侵害、アプリケーション・ソフトウェアのコード操作を防止する対策が含まれます。アプリケーションがより複雑になるにつれて、AppSecはますます重要かつ難易度が高くなっていきます。この進化により、安全なソフトウェア開発における新しいアプローチが必要になります。DevOpsとセキュリティーの実践には、ソフトウェア開発ライフサイクル(SDLC)を深く理解している専門家のサポートを受け、協力しながら取り組む必要があります。
アプリケーション・セキュリティーの中核は、機密データとアプリケーション・コードを盗難や改ざんから保護することです。これには、アプリケーションの開発と設計段階でのセキュリティー対策の実装と、デプロイメント時とその後の保護の維持が含まれます。
これらの対策は、ルーターなどのハードウェア保護からアプリケーション・ファイアウォールなどのソフトウェア・ベースの防御に至るまで、定期的なセキュリティー・テスト・ルーチンを含む一連の手順によって補完されます。徹底的なコード・レビューや分析ツールなどの追加の手法により、コードベース内の脆弱性を特定して軽減します。強力な認証メカニズムや暗号化技術などの防御手段により、不正アクセスやサイバー攻撃から保護されます。定期的なセキュリティー評価とペネトレーション・テストにより、プロアクティブな脆弱性管理がさらに確実なものとなります。
組織は、ニーズに応じてアプリケーション・セキュリティーを管理するためにさまざまな戦略を使用します。コスト、専門知識、さまざまな環境で生じる特定の課題(クラウド・セキュリティー、モバイル・アプリのセキュリティー、ブラウザー・インターフェースを通じてアクセスされるアプリのWebアプリケーション・セキュリティーなど)といった要素がその方法に影響を与えます。一部の組織では、アプリケーション・セキュリティーを内部で管理することを選択しています。これにより、内部チームによるプロセスの直接制御やカスタマイズされたセキュリティー対策が可能になります。
オンプレミスで管理されていない場合、組織はマネージド・セキュリティー・サービス(MSS)の一部であるアプリケーション・セキュリティーを、マネージド・セキュリティー・サービス・プロバイダー(MSSP)にアウトソーシングします。MSSPは、高度なセキュリティー・オペレーション・センター(SOC)、セキュリティー情報およびイベント管理(SIEM)ソリューション、専門的なスキルおよびアプリケーション・セキュリティー・ツールへのアクセスを提供できます。これらは、内部リソースや専門知識が不足している組織にはメリットとなります。内部で管理されているとしてもアウトソーシングされているとしても、進化するサイバー脅威や脆弱性からアプリケーションを保護するには、強力なセキュリティー対策が不可欠です。
セキュリティー・チームとITチームがより適切にリスクを管理し、潜在的な損失を制限するのに役立つ重要な洞察を得ることができます。
データ侵害は重大なリスクをもたらすため、顧客データを扱う組織にとってアプリケーション・セキュリティーは重要です。これらのアプリケーション・セキュリティー・リスクを軽減し、攻撃対象領域を減らすには、強力なアプリケーション・セキュリティー・プログラムを実装することが重要です。開発者は、顧客情報、専有の機密情報、従業員の機密データなど、貴重なデータを不正な目的で狙う攻撃者を阻止するために、ソフトウェアの脆弱性を最小限に抑えるよう努めています。
今日のクラウドベース環境では、データはさまざまなネットワークにまたがり、リモート・サーバーに接続されています。ネットワークの監視とセキュリティーは不可欠ですが、個々のアプリケーションの保護も等しく重要です。ハッカーがアプリケーションをターゲットにすることが増えており、アプリケーションのセキュリティー・テストとプロアクティブな対策が保護のために不可欠となっています。アプリケーション・セキュリティーへのプロアクティブなアプローチにより、業務や顧客に影響が及ぶ前に組織が脆弱性に対処できるので、優位に物事を運ぶことができます。
アプリケーション・セキュリティーをおろそかにすると、重大な結果が生じる可能性があります。セキュリティー侵害は蔓延しており、一時的または永続的な事業停止につながる可能性があります。顧客は、個人の機密情報が安全かつ非公開に保たれることを期待しながら組織にそれを託します。アプリケーションを保護しないと、個人情報の盗難、経済的損失、その他のプライバシー侵害が発生する可能性があります。こうした失敗は顧客の信頼を損ない、組織の評判を傷つけます。組織とその顧客の両方を潜在的な危害から保護するには、適切なアプリケーション・セキュリティー・ソリューションへの投資が不可欠です。
アプリケーション・セキュリティーには、潜在的な脅威や脆弱性からアプリケーションを保護することを目的としたさまざまな機能が含まれます。それには次のようなものがあります。
認証:アプリケーションにアクセスするユーザーの身元を確認するために開発者によって実装されます。認証により、許可された個人だけがアクセスできるようになります。認証には、パスワード、生体認証、物理トークンなどの要素を組み合わせた多要素認証が必要になる場合があります。
承認:認証に続いて、検証済みのIDに基づいて特定の機能にアクセスする権限がユーザーに付与されます(IDアクセス管理)。承認では、事前に定義された承認済みユーザーのリストに照らし合わせてユーザー権限が検証され、アクセス制御が保証されます。
暗号化:アプリケーション内での送信中または保存中に機密データを保護するために適用されます。クラウドベースの環境では、暗号化によってデータを隠蔽し、不正なアクセスや傍受を防止することが特に重要です。
ログ記録:アプリケーション・アクティビティを追跡し、セキュリティー侵害を特定するために不可欠なアプリケーション・ログ・ファイルには、ユーザーとのやり取りが記録されます。ログ記録には、アクセスされた機能とユーザーIDのタイムスタンプ付きの記録が記載されており、事故後の分析に役立てることができます。
テスト:セキュリティー対策の有効性を検証するために不可欠です。静的コード分析や動的スキャンなどのさまざまなテスト方法を通じて、脆弱性を特定して対処し、強力なセキュリティー制御を確実に実施します。
アプリケーション・セキュリティーは、組織にとって次のようなさまざまなメリットがあります。
中断の減少:セキュリティーの問題によって事業運営が中断される可能性があります。アプリケーション・セキュリティーを確実なものにすると、コストが高く付くダウンタイムにつながるサービス中断のリスクを最小限に抑えることができます。
問題の早期認識:強力なアプリケーション・セキュリティーによって、アプリの開発段階で一般的な攻撃ベクトルとリスクを特定し、アプリの起動前に解決することができます。デプロイメント後には、アプリケーション・セキュリティー・ソリューションによって脆弱性を特定し、潜在的な問題について管理者は警告を受け取ることができます。
顧客の信頼の強化:セキュリティーと信頼性に定評のあるアプリケーションを使用すれば、ブランドに対する顧客の信頼を高め、ブランド・ロイヤルティーを向上させるのに役立ちます。
コンプライアンスの向上:アプリケーション・セキュリティー対策により、組織はGDPR、HIPAA、PCI DSSなどのデータ・セキュリティーに関連する規制およびコンプライアンス要件に準拠できるようになります。これにより、組織はコンプライアンス関連の罰金、罰則、法的問題を回避できます。
コスト削減の強化:開発プロセスでのアプリケーション・セキュリティーへの投資は、長期的なコスト削減につながります。通常、このフェーズの早い段階でセキュリティーの問題を修正する方が、デプロイメント後に対処するよりも費用対効果は高くなります。さらに、強力なアプリケーション・セキュリティーは、調査、訴訟費用、規制違反の罰金など、データ侵害に関連する金銭的コストを回避するのに役立ちます。
サイバー攻撃の防止:アプリケーションは、マルウェアやランサムウェア、SQLインジェクション、クロスサイト・スクリプティング攻撃など、サイバー攻撃の標的になることがよくあります。アプリケーションのセキュリティー対策は、組織がこれらの攻撃を防止したり、その影響を最小限に抑えたりするのに役立ちます。
機密データの保護:堅牢なセキュリティー対策により、顧客情報、財務記録、知的財産などの機密データを不正アクセス、変更、盗難から保護することで、組織の機密性と完全性を維持できます。
リスクの低減:脆弱性を排除することで、攻撃を回避できる可能性が高まります。コード・レビュー、セキュリティー・テスト、パッチ管理などのプロアクティブなアプリケーション・セキュリティー対策により、セキュリティー・インシデントの可能性が軽減され、潜在的な侵害の影響を最小限に抑えることができます。
ブランド・イメージの維持:セキュリティー侵害は、組織に対する顧客の信頼を損なう可能性があります。アプリケーション・セキュリティーを優先すれば、組織は信頼を維持して顧客データを保護することへの取り組みを実証でき、その姿勢は顧客の維持と新規顧客の獲得に役立ちます。
アプリケーション・セキュリティーのプロセスには、セキュリティー脆弱性の特定、軽減、防止を目的とした一連の重要なステップが含まれます。
この初期フェーズには、徹底的な脅威モデリングを通じて、アプリケーションに特有の潜在的なセキュリティー・リスクを特定することが含まれます。これには、アプリケーションの機能、データ処理プロセス、および潜在的な攻撃ベクトルのアセスメントが含まれます。このアセスメントに基づいて、特定されたリスクを軽減するために必要な対策を概説するセキュリティー計画が策定されます。
設計と開発の段階で、セキュリティーに関する考慮事項がアプリケーション・アーキテクチャーとコーディングの実践に統合されます。開発チームは、コードベースへの脆弱性の侵入を最小限に抑えるために、安全なコーディング・ガイドラインとアプリケーション・セキュリティーのベスト・プラクティスに従います。これには、入力検証、認証メカニズム、適切なエラー処理の導入、および安全なデプロイメント・パイプラインの確立が含まれます。
アプリケーション・コードのセキュリティー脆弱性を特定して対処するために、包括的なコード・レビューとテストが実施されます。これには、ソース・コード内の潜在的な欠陥を特定するための静的コード分析と、現実世界の攻撃シナリオをシミュレートしてエクスプロイテーションに対するアプリケーションのレジリエンスを評価するための動的テストの両方が含まれます。
セキュリティー・テストは、実装されたセキュリティー制御の有効性を評価し、残っている脆弱性を特定するために実行されます。これは主に、レッド・チーミングにより、ペネトレーション・テスト、脆弱性スキャン、セキュリティー・リスク評価などの機能を利用して行われます。このテストにより、アプリケーションの防御の弱点が特定され、セキュリティー標準および規制への準拠が保証されます。
アプリケーションのデプロイメントの準備ができたら、継続的なセキュリティーを確保するために、継続的な監視と保守が必要になります。これには、セキュリティー・インシデントを迅速に検知して対応するためのロギングや監視の仕組みの実装も含まれます。また、新たに発見された脆弱性に対処したり新たな脅威を軽減したりするために、定期的にセキュリティー・アップデートとパッチが適用されます。
開発者は、ソフトウェア開発プロセスの一環としてアプリケーション・セキュリティー・テスト(AST)を実行し、ソフトウェア・アプリケーションの新しいバージョンまたは更新されたバージョンに脆弱性がないことを確認します。アプリケーションのセキュリティーに関連するいくつかのテストとツールを以下に示します。
静的アプリケーション・セキュリティー・テスト(SAST):このASTは、プログラムを実行することなく、アプリケーションのソース・コードを分析するソリューションを使用します。SASTによって、開発ライフサイクルの早い段階で、潜在的なセキュリティー脆弱性、コーディング・エラー、アプリケーションのコードベースの弱点を特定できます。開発者は、デプロイメント前にこれらの問題を修正できます。
動的アプリケーション・セキュリティー・テスト(DAST):SASTとは異なり、DASTツールは、アプリケーションを実行中に評価します。本番環境でのアプリケーションのセキュリティー体制に関する洞察を提供し、実世界の攻撃シナリオをシミュレートして、攻撃者がエクスプロイトする可能性のある入力検証エラー、認証の欠陥、構成の弱点などの脆弱性を特定します。
インタラクティブ・アプリケーション・セキュリティー・テスト(IAST):IASTは、SASTとDASTを組み合わせたものであり、動的でインタラクティブなテストに重点を置き、制御され監視されている環境で実際のユーザー入力とアクションを使用してアプリケーションを検査することで改善を図ります。脆弱性はリアルタイムで報告されます。
OWASPトップ10:OWASPトップ10は、Webアプリケーションが直面する最も重大なセキュリティー・リスクのトップ10のリストです。このリストは、ソフトウェア・セキュリティーの向上に焦点を当てている国際非営利組織であるOpen Web Applications Security Project(OWASP)によって編集されており、開発者、セキュリティー専門家、および組織に対して、セキュリティー侵害につながる可能性がある、蔓延度が高く影響の大きい脆弱性に関するガイダンスを定期的に更新しています。
ランタイム・アプリケーション自己保護(RASP):RASPソリューションは、疑わしいアクティビティーや悪意のあるアクティビティーの兆候がないかを、実行時にアプリケーションの動作を監視することで保護します。リアルタイムで攻撃を検出して対応でき、RASPの形式によっては、悪意のあるアクションが検出されたときにブロックできます。
ソフトウェア構成分析(SCA):SCAツールは、アプリケーションで使用されるオープンソース・コンポーネントやサード・パーティー・ライブラリーを特定し、管理します。それにより依存関係を分析し、既知の脆弱性やライセンス、コンプライアンス上の問題など、セキュリティー体制を評価できます。
セキュア開発ライフサイクル(SDL)ツール:SDLツールは、セキュリティーを開発プロセスに統合します。これらは開発者にガイドラインと自動チェックを提供し、ソフトウェア開発ライフサイクル(SDLC)全体でセキュリティー上の考慮事項に確実に対処できるようにします。
Webアプリケーション・ファイアウォール(WAF):WAFは、Webアプリケーションとインターネット間のHTTPトラフィックをアプリケーション層でフィルタリングおよび監視することにより、WebアプリケーションとそのAPIを保護するように設計されています。SQLインジェクション、クロスサイト・スクリプティング(XSS)、クロスサイト・リクエスト・フォージェリー(CSRF)などの一般的なWebベースの攻撃を検出してブロックできます。これにより、データ侵害や不正アクセスのリスクを軽減できます。
これらのツールやテクノロジーは、暗号化、認証メカニズム、セキュリティー・テスト・フレームワークなどの他のツールと同様に、幅広いセキュリティー上の脅威や脆弱性からアプリケーションを保護するために重要です。組織は多くの場合、アプリケーション・セキュリティー戦略の一環として、これらのテストとツールを組み合わせて使用します。
あらゆるデバイスやモバイル・アプリでモバイル・セキュリティーの脅威を阻止し、モバイル・ワーカーの安全を実現します。
ファイル、データベース、アプリケーションを暗号化し、データ・セキュリティーとプライバシーの規制に対処した、クラウドベース・データの暗号化キーを制御します。
DevOpsを人、プロセス、ツールで構成されるDevSecOpsに変換することで、アプリケーションを安全に構築、デプロイし、この作業をどこでも再現できるようにします。
生成AIを活用したインサイトに基づいて、アプリケーション管理とテクノロジー運用を簡素化し、最適化します。
Forrester社のTEI方法論での検証で示された、IBM MaaS360 with Watson UEMを導入することで企業が達成可能な投資収益率(ROI)についてお調べください。
組織がAI主導の統合エンドポイント管理でモバイル・ワーカーをどのように管理および保護しているかをご覧ください。
IBM® Watson AIが活用するこの統合エンドポイント管理(UEM)プラットフォームが、ITやセキュリティーのリーダーにとって、ユーザー、デバイス、アプリ、データの安全性を保つのにどのように役立っているかをご覧ください。
世界中のセキュリティー・チームが経験した課題と成功から学びましょう。
先進的なITリーダーがAIと自動化を活用してどのように競争力を高めているかをご覧ください。
組織が(ブルー・チームとパープル・チームとともに)ITセキュリティーのギャップと弱点をプロアクティブに特定して修正するために利用できる、このセキュリティー・リスク・アセスメント・サービスについて説明します。