アプリケーション・セキュリティー管理
セキュリティーの目的は、貴重な資産を保護することです。組織が所有する最も重要な資産のいくつかは、知的財産、戦略計画、顧客データなど、情報の形をとるものです。この情報を保護することは、組織の業務の継続、競争力の維持、および法規制要件への適合に不可欠です。
組織の IT インフラストラクチャーの大きな弱点の 1 つは、たいていの人が予期しない場所、つまりアプリケーション層にあります。多くのアプリケーションはセキュリティーを念頭に置いて構築されていないため、アタッカーがデータ侵害を実行するために利用する最も弱いリンクになります。
アプリケーション・セキュリティーを実現する際に組織が直面する課題にはどのようなものがあるでしょうか。
- コンプライアンス: 社外の規制と社内のポリシー要件
- アプリケーション・セキュリティーを実現するために社内のポリシー要件をどのように設定するか
- プライベート/機密データがアプリケーションによって露出されていないか
- アプリケーションのコンプライアンスをどのように検査し、実証するか
- ペース: ビジネス要件に対応するためのアプリケーション数とリリース数の急速な増加
- 最も大きなビジネス・リスクを伴うアプリケーションはどれか
- 迅速さを求められる DevOps/アジャイル開発の現場で、プロセスを遅らせることなくアプリケーションのセキュリティーをテストするにはどうすればよいか
- コストを削減し、ライフサイクルの初期にセキュリティー問題を把握して、実稼働環境での問題発生を未然に防ぐにはどうすればよいか
- リソース: リソースと認識の課題
- どこから着手すればよいか、作業の優先順位をどのように付けるか
- テストする対象と、テストの方法
- スタッフをどのように配置すればスキルと認識を向上できるか
企業レベルでアプリケーション・セキュリティーに取り組むという課題を成し遂げるには、セキュリティー・チームがリスク・ベースのアプローチを実行する必要があります。このリスク・ベースのアプローチは、チームが資産に優先順位を付け、最もリスクが高いエリアを識別して、そのリスクを軽減することに重点的に取り組む必要があることを意味します。企業レベルでのアプリケーション・セキュリティーに対する取り組みでは、脆弱性に対するアプリケーションのスキャン以上のことが行われます。大規模な組織には、さまざまな目的で使用される数千のアプリケーションがある場合があります。アプリケーション・セキュリティーの評価および対処の責任は、通常、小規模なセキュリティー・チームが背負います。
AppScan Enterprise を使用すれば、セキュリティー・チームはセキュリティー・テストをまだ開始する前の段階から、アプリケーション資産のインベントリーを作成し、資産を分類し、ビジネスへの影響に応じて資産に優先順位を付けることができます。組織のリソースは限られており、リスクの最も高いエリアに重点を置く必要があるので、この機能は重要です。アプリケーションのセキュリティー脆弱性の査定を行った後、セキュリティー・リスクのスコア別にアプリケーションにランクを付けることができます。これにより、セキュリティー・チームは、脆弱性が存在するアプリケーションとの関連において脆弱性に優先順位を付け、組織のセキュリティー・リスクを軽減するにあたって最も大きな影響がある修復処置を集中的に行うことができます。