アプリケーションセキュリティとは、アプリケーションのライフサイクル全体を通してアプリケーションを脅威から守ることを目的としたプロセス、ツール、プラクティスにおける規律のことです。サイバー犯罪者は組織化され、専門化され、エンタープライズアプリケーションの脆弱性を発見して悪用し、データ、知的財産、機密情報を盗み出そうと狙っています。アプリケーションセキュリティは、顧客、ビジネスパートナー、従業員など、社内外の関係者が使用するあらゆる種類のアプリケーション(レガシー、デスクトップ、Web、モバイル、マイクロサービスなど)を保護するのに役立ちます。
数々の研究で立証されているように、成功した侵害行為の大部分がアプリケーション層にある悪用可能な脆弱性を標的にしており、企業のIT部門がアプリケーションのセキュリティに関して特に警戒する必要があることを示しています。さらに問題を大きくしているのは、アプリケーションの数と複雑さが増えていることです。10年前、ソフトウェアセキュリティの課題は、デスクトップアプリケーションや静的なウェブサイトを保護することでしたが、これらはほぼ無害で、簡単に検査して保護できました。しかし現在では、開発のアウトソーシング化、レガシーアプリケーションの数、さらには、サードパーティ、オープンソース、市販のソフトウェアコンポーネントを利用した社内開発を考慮すると、ソフトウェアのサプライチェーンは、はるかに複雑化しています。
社内で使用されるアプリケーションから、顧客の携帯電話で使用される人気の外部アプリまで、すべてを網羅するアプリケーションセキュリティのソリューションが企業には必要とされています。そのソリューションは、全開発段階をカバーしなければならず、起こりうる問題を監視するためにアプリケーションの使用を開始した後もテストを提供する必要があります。アプリケーションセキュリティソリューションには、悪用可能な脆弱性を調べるウェブアプリケーションのテストの機能がなければなりません。また、コードを分析する機能があり、さまざまな関係者間で協力してコラボレーションを実現することでセキュリティと開発管理プロセスを管理できることも必要です。また、簡単に使用でき、導入しやすいアプリケーションセキュリティテストも提供しなければなりません。
アプリケーションセキュリティソリューションは、サイバーセキュリティソフトウェア(ツール)と、アプリケーションを保護するプロセスを実行するプラクティスで構成されています。
オンプレミス
アプリケーションセキュリティテストのソリューションは、オンプレミス(社内)で実行し、社内チームによって運用、維持を行うことができます。このアプローチでは、組織がインフラストラクチャと人材を提供し、使用するアプリケーションセキュリティソリューションを購入する必要があります。オンプレミスのため、アプリケーションデータが第三者に共有されず、また社外に出ないことが保証されます。
SaaS
SaaSサービスとしてのアプリケーションセキュリティは、Webベースのユーザーインターフェイスを備えたクラウドベースのソリューションを提供し顧客がアプリケーションセキュリティを構成、実行、管理できるようにします。このオプションでは、組織は、さまざまなアプリケーションセキュリティテストツールを実行するために必要な人員と専門知識を提供する必要がありますが、インフラストラクチャ、メンテナンス、アップデートなどを提供する必要はありません。
マネージドサービス
アプリケーションセキュリティは、アプリケーションセキュリティプロバイダーからターンキーソリューションとして提供されるサービスを顧客が使用できるマネージドサービスの形をとることもできます。このアプローチでは、オンプレミスアプローチの前提条件は求められませんが、SaaSのベンダーに部分的、あるいは全面的に依存することになり、ほとんどの事例でベンダーにアプリケーションデータが共有されます。マネージドサービスとしてのアプリケーションセキュリティは、簡単に開始でき、スケーラビリティとスピードをもたらします。ハイブリッドな実装(プロジェクトやプラクティスに応じて、オンプレミス、SaaS、マネージドサービスを併用する)は、柔軟性、スケーラビリティ、コスト最適化を通じて、両者の利点を活用することを意図しています。
Open Web Application Security Project (OWASP)は、ソフトウェアのセキュリティ向上を目標に掲げるオープンソースアプリケーションセキュリティのコミュニティです。業界標準のOWASPトップ10のガイドラインでは、最も重要なアプリケーションセキュリティリスクのリストを提供しており、開発者が設計、導入するアプリケーションの保護に役立てることができます。
OpenTextのアプリケーションセキュリティソリューションは、レガシー、モバイル、サードパーティ、オープンソースアプリケーションを含む企業のソフトウェアアプリケーション保護に役立つアプリケーションセキュリティテストおよび管理を、オンプレミス、ホスト、アズアサービス(as-a-service)で提供します。
Fortifyは、静的コード分析、動的アプリケーションセキュリティテスト、ソフトウェア構成分析(SCA)、対話的なアプリケーションセキュリティテストツールを備えており、Webアプリケーション、API、モバイルアプリケーション、コードとしてのインフラストラクチャ、コンテナ、ソフトウェアサプライチェーンにコードセキュリティを提供します。
ソリューションには以下のものが含まれます。
Fortify Static Code Analyzer - 静的アプリケーションセキュリティテスト(SAST) - ソフトウェア開発ライフサイクルの初期段階でソースコードにおけるセキュリティの脆弱性を特定して指摘します。
Fortify WebInspect - 動的アプリケーションセキュリティテスト(DAST) - 実行中のアプリケーションに対する実際のセキュリティ攻撃をシミュレートし、複雑なWebアプリケーションおよびサービスの包括的な分析を実施します。
インタラクティブアプリケーションセキュリティテスト(IAST) - 動的テストとランタイム解析を組み合わせ、動的テスト単独の場合よりも攻撃面の範囲を拡大し、悪用可能性を暴くことにより、脆弱性をより強力に特定します。
Fortify on Demand - サービスとしてのセキュリティ - ソフトウェアのインストールや管理、または新たなリソースの追加をせずに、アプリケーションを厳密にテストするシンプルで簡単かつ迅速な方法です。
モバイルセキュリティ - クライアント、ネットワーク、サーバーの3つの層すべてをテストするモバイルテストの方法。
Fortify Insight - サイロ化されている多数のデータソースを集約して分析し、エンタープライズダッシュボードに可視化して実用的なインサイトを得ることができます。
ソフトウェアセキュリティ保証 - 集中管理型レポジトリが、セキュリティ脆弱性の解消に役立つ可視性が提供します。
Fortify Software Security Center - 集中管理型レポジトリが、アプリケーションセキュリティテストプログラム全体の可視性を提供します。セキュリティテストの優先順位をつけて管理、追跡し、企業全体のソフトウェアセキュリティリスクについて的確に把握できます。
ビデオ - AppSec 101 - アプリケーションセキュリティの基本を説明するYouTubeシリーズ。
ホワイトペーパー - 信頼できるソフトウェアサプライチェーンの構築
Webセミナービデオ - コードセキュリティWebセミナーシリーズ
レポート - Gartner ® Magic Quadrant™for Application Security Testing
ユースケース - DevSecOps、ソフトウェアサプライチェーンの確保、クラウドトランスフォーメーション、規模に応じた成熟度
OWASP Top 10 Most Critical Web Application Security Risks
レポート - AppSecトレンドレポート