Your browser is not supported

For the best experience, use Google Chrome or Mozilla Firefox.

アプリケーションセキュリティとは何か

bg

概要


アプリケーションセキュリティとは、アプリケーションのライフサイクル全体を通してアプリケーションを脅威から守ることを目的としたプロセス、ツール、プラクティスにおける規律のことです。サイバー犯罪者は組織化され、専門化され、エンタープライズアプリケーションの脆弱性を発見して悪用し、データ、知的財産、機密情報を盗み出そうと狙っています。アプリケーションセキュリティは、顧客、ビジネスパートナー、従業員など、社内外の関係者が使用するあらゆる種類のアプリケーション(レガシー、デスクトップ、Web、モバイル、マイクロサービスなど)を保護するのに役立ちます。  

アプリケーションセキュリティ


アプリケーションセキュリティが必要な理由

数々の研究で立証されているように、成功した侵害行為の大部分がアプリケーション層にある悪用可能な脆弱性を標的にしており、企業のIT部門がアプリケーションのセキュリティに関して特に警戒する必要があることを示しています。さらに問題を大きくしているのは、アプリケーションの数と複雑さが増えていることです。10年前、ソフトウェアセキュリティの課題は、デスクトップアプリケーションや静的なウェブサイトを保護することでしたが、これらはほぼ無害で、簡単に検査して保護できました。しかし現在では、開発のアウトソーシング化、レガシーアプリケーションの数、さらには、サードパーティ、オープンソース、市販のソフトウェアコンポーネントを利用した社内開発を考慮すると、ソフトウェアのサプライチェーンは、はるかに複雑化しています。

社内で使用されるアプリケーションから、顧客の携帯電話で使用される人気の外部アプリまで、すべてを網羅するアプリケーションセキュリティのソリューションが企業には必要とされています。そのソリューションは、全開発段階をカバーしなければならず、起こりうる問題を監視するためにアプリケーションの使用を開始した後もテストを提供する必要があります。アプリケーションセキュリティソリューションには、悪用可能な脆弱性を調べるウェブアプリケーションのテストの機能がなければなりません。また、コードを分析する機能があり、さまざまな関係者間で協力してコラボレーションを実現することでセキュリティと開発管理プロセスを管理できることも必要です。また、簡単に使用でき、導入しやすいアプリケーションセキュリティテストも提供しなければなりません。


SAST、DAST、SCAとは何か

SASTとは何か

Static Application Security Testing (SAST)は、アプリケーションソースファイルをスキャンして、内在するセキュリティの不具合の根本原因を正確に突き止め、修正します。 

 


Static Application Security Testingの利点は次のとおりです。

  • ソース、バイナリ、バイトコードの脆弱性を特定して解消
  • 静的分析スキャン結果のリアルタイムのレビューと、推奨、脆弱性を迅速に検知できるコード行ナビゲーション、共同監査機能へのアクセス。
  • 統合開発環境(IDE)への完全な統合。

DASTとは何か

Dynamic Application Security Testing (DAST)は、実行中のウェブアプリケーションまたはサービスに対する制御された攻撃をシミュレートし、悪用されやすい脆弱性を実行環境で特定します。 


Dynamic Application Security Testingの利点は次のとおりです。

  • 悪用されやすいものに注目し、すべてのコンポーネント(サーバー、カスタムコード、オープンソース、サービス)を網羅することによって、アプリケーションセキュリティの包括的なビューを提供。
  • 開発、QA、プロダクションと統合可能で、継続的に総合的な視点を提供。
  • 動的分析により、ポートフォリオリスク(数千のアプリケーションにわたる)を管理する幅広いアプローチが可能で、レガシーアプリもリスク管理の一環としてスキャン。
  • SASTとは異なり、機能アプリのテストは言語の制約がなく、ランタイムや環境関連の問題も検知可能。

SCAとは何か

Software Composition Analysis (SCA)は、アプリケーションで使用されるオープンソースコンポーネントを特定して追跡するための自動化されたプロセスです。より堅牢なSCAツールは、セキュリティリスク、ライセンスコンプライアンス、コード品質について、すべてのオープンソースコンポーネントを分析できます。


ソフトウェア構成分析の利点は次のとおりです。

  • 組織内のオープンソースコンポーネントの可視性と理解が得られる(ソフトウェア部品表を提供)。
  • セキュリティとライセンスの問題を防止するためのポリシーの自動化。
  • 脆弱性に対する修正案とライセンスリスクに関するアドバイス。
  • オープンソースプロジェクトの健全性を分析し、コミュニティの弱体化や衰退によるリスクを排除。

オンプレミス、SaaS、マネージドサービスの比較

アプリケーションセキュリティソリューションは、サイバーセキュリティソフトウェア(ツール)と、アプリケーションを保護するプロセスを実行するプラクティスで構成されています。

オンプレミス

アプリケーションセキュリティテストのソリューションは、オンプレミス(社内)で実行し、社内チームによって運用、維持を行うことができます。このアプローチでは、組織がインフラストラクチャと人材を提供し、使用するアプリケーションセキュリティソリューションを購入する必要があります。オンプレミスのため、アプリケーションデータが第三者に共有されず、また社外に出ないことが保証されます。

SaaS

SaaSサービスとしてのアプリケーションセキュリティは、Webベースのユーザーインターフェイスを備えたクラウドベースのソリューションを提供し顧客がアプリケーションセキュリティを構成、実行、管理できるようにします。このオプションでは、組織は、さまざまなアプリケーションセキュリティテストツールを実行するために必要な人員と専門知識を提供する必要がありますが、インフラストラクチャ、メンテナンス、アップデートなどを提供する必要はありません。

マネージドサービス

アプリケーションセキュリティは、アプリケーションセキュリティプロバイダーからターンキーソリューションとして提供されるサービスを顧客が使用できるマネージドサービスの形をとることもできます。このアプローチでは、オンプレミスアプローチの前提条件は求められませんが、SaaSのベンダーに部分的、あるいは全面的に依存することになり、ほとんどの事例でベンダーにアプリケーションデータが共有されます。マネージドサービスとしてのアプリケーションセキュリティは、簡単に開始でき、スケーラビリティとスピードをもたらします。ハイブリッドな実装(プロジェクトやプラクティスに応じて、オンプレミス、SaaS、マネージドサービスを併用する)は、柔軟性、スケーラビリティ、コスト最適化を通じて、両者の利点を活用することを意図しています。


OWASPトップ10とは何か

OWASPトップ10

Open Web Application Security Project (OWASP)は、ソフトウェアのセキュリティ向上を目標に掲げるオープンソースアプリケーションセキュリティのコミュニティです。業界標準のOWASPトップ10のガイドラインでは、最も重要なアプリケーションセキュリティリスクのリストを提供しており、開発者が設計、導入するアプリケーションの保護に役立てることができます。


アプリケーションセキュリティソリューション

OpenTextのアプリケーションセキュリティソリューションは、レガシー、モバイル、サードパーティ、オープンソースアプリケーションを含む企業のソフトウェアアプリケーション保護に役立つアプリケーションセキュリティテストおよび管理を、オンプレミス、ホスト、アズアサービス(as-a-service)で提供します。   

Fortifyは、静的コード分析動的アプリケーションセキュリティテストソフトウェア構成分析(SCA)、対話的なアプリケーションセキュリティテストツールを備えており、WebアプリケーションAPIモバイルアプリケーションコードとしてのインフラストラクチャコンテナソフトウェアサプライチェーンにコードセキュリティを提供します。         

ソリューションには以下のものが含まれます。

Fortify Static Code Analyzer - 静的アプリケーションセキュリティテスト(SAST) - ソフトウェア開発ライフサイクルの初期段階でソースコードにおけるセキュリティの脆弱性を特定して指摘します。

Fortify WebInspect - 動的アプリケーションセキュリティテスト(DAST) - 実行中のアプリケーションに対する実際のセキュリティ攻撃をシミュレートし、複雑なWebアプリケーションおよびサービスの包括的な分析を実施します。

インタラクティブアプリケーションセキュリティテスト(IAST) - 動的テストとランタイム解析を組み合わせ、動的テスト単独の場合よりも攻撃面の範囲を拡大し、悪用可能性を暴くことにより、脆弱性をより強力に特定します。

Fortify on Demand - サービスとしてのセキュリティ - ソフトウェアのインストールや管理、または新たなリソースの追加をせずに、アプリケーションを厳密にテストするシンプルで簡単かつ迅速な方法です。

モバイルセキュリティ - クライアント、ネットワーク、サーバーの3つの層すべてをテストするモバイルテストの方法。

Fortify Insight - サイロ化されている多数のデータソースを集約して分析し、エンタープライズダッシュボードに可視化して実用的なインサイトを得ることができます。

ソフトウェアセキュリティ保証 - 集中管理型レポジトリが、セキュリティ脆弱性の解消に役立つ可視性が提供します。

Fortify Software Security Center - 集中管理型レポジトリが、アプリケーションセキュリティテストプログラム全体の可視性を提供します。セキュリティテストの優先順位をつけて管理、追跡し、企業全体のソフトウェアセキュリティリスクについて的確に把握できます。

リソース


Micro Focusのソリューション

アプリケーションセキュリティ

今すぐ始める

release-rel-2023-9-2-9373 | Wed Sep 20 05:02:54 PDT 2023
9373
release/rel-2023-9-2-9373
Wed Sep 20 05:02:54 PDT 2023
AWS