アプリケーションセキュリティは、アプリケーションのライフサイクル全体を通して、アプリケーションを脅威から守ることを目的としたプロセス、ツール、プラクティスの分野の知識を指します。 サイバー犯罪者は、エンタープライズアプリケーションの脆弱性を見つけて悪用し、データ、知的財産、機密情報を盗むよう組織化、専門化され、動機付けられています。 アプリケーションセキュリティは、顧客、ビジネスパートナー、従業員など内外の利害関係者が使用するあらゆる種類のアプリケーション(レガシー、デスクトップ、ウェブ、モバイル、マイクロサービスなど)を組織が保護するためのサポートを行います。
数々の研究で立証されているように、成功した侵害行為の大部分がアプリケーション層にある搾取可能な脆弱性を標的にしており、企業のIT部門がアプリケーションのセキュリティに関してさらに警戒する必要があることを示しています。 問題が悪化するほど、アプリケーションの数と複雑さが増えていきます。 10年前、ソフトウェアセキュリティの課題は、デスクトップアプリケーションや静的なウェブサイトを保護することで、これらはかなり無害だったため、簡単に検査して保護できました。 現在は、アウトソース開発、レガシーアプリケーションの数、サードパーティやオープンソースおよび市販のすぐに使えるソフトウェアコンポーネントを利用する社内開発も合わせて考慮すると、ソフトウェアのサプライチェーンが相当複雑化しています。
組織は、社内で使用されるアプリケーションから、カスタマーの携帯電話で使用される人気の外部アプリまで、すべてを網羅するアプリケーションセキュリティのソリューションを必要としています。 ソリューションは、全開発段階をカバーしなければならず、潜在的な問題を監視するためにアプリケーションの使用を開始した後、テストを提供する必要があります。 アプリケーションセキュリティソリューションには、悪用可能な脆弱性を調べるウェブアプリケーションのテストの機能がなければなりません。また、コードを分析する機能があり、さまざまな関係者間で協力してコラボレーションを実現することでセキュリティと開発管理プロセスを管理する必要があります。 ソリューションは、簡単に使用でき、展開しやすいアプリケーションセキュリティテストも提供しなければなりません。
Static Application Security Testing(SAST)は、アプリケーションソースファイルをスキャンして、内在するセキュリティの不具合の根本原因を正確に突き止め、修正します。
Static Application Security Testingの開発者側の利点:
Dynamic Application Security Testing(DAST)は、実行中のウェブアプリケーションまたはサービスで制御されている攻撃をシミュレートし、悪用されやすい脆弱性を実行環境で特定します。
Dynamic Application Security Testingの利点:
アプリケーションセキュリティソリューションは、サイバーセキュリティソフトウェア(ツール)と、アプリケーションをセキュリティ保護するプロセスを実行するプラクティスで構成されています。
アプリケーションセキュリティテストのソリューションは、オンプレミス(社内)で実行でき、社内チームによって運用、維持が行われます。 このアプローチでは、組織がインフラストラクチャと人材を提供し、使用するアプリケーションセキュリティソリューションを購入する必要があります。 オンプレミスは、組織にアプリケーションデータが第三者に共有されず、また構内から出ないことを保証します。
アプリケーションセキュリティは、SaaS(またはアプリケーションセキュリティ・アズ・ア・サービス)としても提供されています。顧客は、アプリケーションセキュリティのプロバイダーからターンキーソリューションとして提供されているサービスを利用できます。 このアプローチでは、オンプレミスアプローチの前提条件は求められませんが、SaaSのベンダーに部分的、あるいは全面的に依存することになります。またほとんどの事例で、ベンダーにアプリケーションデータが共有されます。 SaaSは、アプリケーションセキュリティを始める簡単な方法と、スケーラビリティおよびスピードを提供します。ハイブリッドな実装(オンプレミスとSaaSを合わせて、異なるプロジェクトやプラクティスに用いる)は、柔軟性、スケーラビリティ、コスト最適化の機会をもたらし、両者の利点を提供することを意図しています。
現代のビジネスはどれも、ソフトウェアのビジネスです。 そのため、ウェブアプリケーションやモバイルアプリケーションの数は急激に成長し、アプリケーションのリリース頻度も増えています。 ビジネスの需要に遅れないために、多くの組織が簡易的なセキュリティスキャンを実行しており、重要な脆弱性を検知するために必要な精度が犠牲になっています。 セキュリティにおけるアジリティは、徹底した正確なスキャンを実行することと、修復を止めかねない関連性のある誤検出とのバランスです。
オープンウェブ アプリケーションセキュリティプロジェクト(OWASP)は、ソフトウェアのセキュリティ向上を目標に掲げるオープンソース アプリケーションセキュリティのコミュニティです。 業界標準のOWASP Top 10のガイドラインでは、開発者が設計、展開するアプリケーションのセキュリティ保護に役立つ最重要アプリケーションセキュリティのリスクを記載したリストを提供しています。 OWASP Top 10の各項目の概要と実用的なヒントは、OWASP Top 10の開発者ガイドをご覧ください。
Micro Focusアプリケーションセキュリティソリューションは、レガシー、モバイル、サードパーティ、オープンソースアプリケーションを含む企業のソフトウェアアプリケーション保護に役立つアプリケーションセキュリティテストおよび管理を、オンプレミスとアズ・ア・サービスで提供します。
Micro Focus Fortifyの製品には、静的、動的、インタラクティブなアプリケーションセキュリティテスト、ランタイムアプリケーション自己保護セキュリティがあります。また、ビジネスに欠かせないアプリケーションの保護・安全を確保するソフトウェアセキュリティ保証プログラムのサポートサービスも含まれています。
ソリューションには以下が含まれます。
Fortify Static Code Analyzer ー 静的アプリケーションセキュリティテスト(SAST)は、ソフトウェア開発ライフサイクルの初期段階でソースコードにおけるセキュリティの脆弱性を特定し、指摘します。
Fortify WebInspect -動的アプリケーションセキュリティテスト (DAST) –実行中のアプリケーションに対する実際のセキュリティ攻撃をシミュレートし、複雑なWebアプリケーションおよびサービスの包括的な分析を提供します。
インタラクティブアプリケーションセキュリティテスト(IAST)ー動的テストとランタイム解析を組み合わせ、動的テスト単独の場合よりも攻撃面の範囲を拡大してエクスプロイトをさらすことにより、より多くの脆弱性を特定します。
Fortify Application Defender - ランタイムアプリケーション自己保護セキュリティ(RASP) –既知および未知の脆弱性を持つ本稼働中のアプリケーションをアクティブに監視し保護します。
Fortify on Demand – サービスとしてのセキュリティ – ソフトウェアのインストールや管理、または新たなリソースの追加をせずに、アプリケーションを正確にテストするシンプルで簡単かつ迅速な方法です。
モバイルセキュリティ - クライアント、ネットワーク、サーバーを含む3つの層すべてをテストするモバイルテストの方法。
ソフトウェアセキュリティ保証ー集中管理型レポジトリが、セキュリティ脆弱性の解決に役立つ可視性を提供します。
Fortify Software Security Centerー集中管理型レポジトリが、アプリケーションセキュリティテストプログラム全体の可視性を提供します。 セキュリティテストの優先順位をつけ、管理、追跡し、企業全体のソフトウェアセキュリティリスクについて的確な情報を提供します。
ホワイトペーパー - アプリケーションのセキュリティに関する2019年版TechBeaconバイヤーズガイド
ホワイトペーパー - シームレスなアプリケーションのセキュリティ:DevOpsのスピードのセキュリティ
ビデオ - 1日でアプリケーションセキュリティを導入
ウェビナー - シフトレフト: 開発者がセキュリティに関わるための3つのステップ
ホワイトペーパー - アプリケーションセキュリティリスクレポート
ウェビナー - ソフトウェアライフサイクルにセキュリティを適用: 自動化と統合
ホワイトペーパー - エンタープライズにおけるアプリケーションのセキュリティ状況
OWASP 最重要ウェブアプリケーションのセキュリティリスク トップ10