Forrester の最新レポート : アプリケーションの保護と DevOps へのセキュリテイの統合が重要
多くの組織が Web アプリケーションセキュリティ (AppSec) に関する自社の取り組みの指標として Forrester の「Annual State of Application Security Report」を参考にしています。今年のレポートも非常に充実しています。同社の2021年のレポートでは、オープンソース、API、コンテナの普及拡大により、セキュリティの面でどのように複雑性が増しているのかについて検討されています。この記事では、同レポートで報告された主な調査結果をいくつか取り上げ、考察したいと思います。
アプリケーションは依然として攻撃ベクトルのトップ
アプリケーションへの依存度はここ数年着実に高まっていましたが、2020年の急なリモートワークへの移行により、企業のアプリケーションへの依存度がさらに急速に高まったのは当然の結果でした。Forrester は、主に以下の3つの理由から Web アプリケーションが今後も外部からの攻撃の主なベクトルであり続けると予測しています。
オープンソースの利用の継続的な増加
セキュリティ調査が大幅に増えた結果、多数の API の脆弱性を含むセキュリティ問題の報告が増加
コンテナ化された環境の普及拡大に伴うコードと設定に関する問題の増加
アプリケーションが引き続き攻撃の格好の標的となる中、来年は多くの企業が AppSec プロファイルの改善を優先すると報告しています。Forrester の調査に参加した、セキュリティ担当責任者の28%が自社のアプリケーションセキュリティ機能の強化を計画していると答え、21%はさらなる措置として、セキュリティを開発プロセスに組み込むことを優先すると答えています。
皆さんの組織はどうでしょうか?まずは全体的なセキュリティ体制との関連において自社の AppSec プロファイルを評価してみてください。以下では、セキュリティツールを選ぶ上でのガイダンスと、ソフトウェア開発ライフサイクルの早い段階でセキュリティを強化する方法をご紹介します。
セキュリティと開発者の間のギャップを埋める AppSec ツール
攻撃者自身も開発者です。つまり、悪用できるインフラストラクチャの脆弱性を見つけ出してマルウェアを構築し、常に攻撃手法を進化させています。攻撃者は素早く攻撃手法を変化させるため、組織は同じスピードで対応できるようにする必要があります。
DevOps パイプラインの一環として、開発の初期段階でアプリケーションのセキュリティテストを自動化することは重要ですが、今年のレポートではさらに、本番環境でセキュリティ問題が検出された場合に迅速に対処できるようにする方法を見つけることを推奨しています。Forrester のデータによると、セキュリティを左にシフトする、すなわち開発プロセスのより早い段階でテストと修正を実施することに力を入れているセキュリティ担当者は、修正時間の短縮に成功していることが分かっていま す。例えば、アプリケーションの静的テストと動的テストの結果を組み合わせることにより、組織は平均よりも24.5日早くセキュリティ上の欠陥を修正することができました。
リアルタイムに攻撃を防止するには、高速な可視化とコントロールの両方を可能にするセキュリティソリューションに投資する必要があります。またそのようなソリューションは、1つのロケーションやデプロイ場所に限られるものであってはなりません。ソフトウェアと人員は世界中に配置されているため、すべての場所に一貫したセキュリティを提供できるソリューションが必要です。(このトピックに関する詳細については、オンデマンドのウェビナー「API-First Security for Real-Time Attack Response (API ファーストのセキュリティ対策で攻撃をリアルタイムにブロック)」をご覧ください。API に対応したセキュリティ対策によってインシデントへの迅速な対応が可能になる理由をご説明します。)
左へのシフトは継続しているが、新しい AppSec ツールの採用に一貫性がない
API を利用したセキュリティ侵害の増加を受けて、セキュリティチームは API のセキュリティ強化を急いでいます。しかし課題は残っています。確実に新しいアプリケーションアーキテクチャに対応できるツールを使用する必要があります。
AppSec のツールとプロセスの更新 と改善に向けて、このレポートで強く薦められているのが「左へのシフト」です。Forrester によると、早期修正の価値を認識し、テスト段階ではなく開発段階でアプリケーションセキュリティのテストを実施する企業が増えています。
修正よりも予防の方が大切であることに気付くと、これまで以上にソフトウェア開発プロセスの左側、すなわち初期段階でセキュリティを取り入れる方法を求めるようになります。最近のセキュリティツールは CI/CD ツールチェーンにより簡単に統合できるため、ソフトウェア開発ライフサイクルのより早い段階のどの部分でこれらのツールを導入できるかを検討してください。また、多くの組織でセキュリティテストがおろそかにされがちなコンテナのセキュリティについても忘れないでください。左にシフトするということは、コンテナの保護に必要なセキュリティ対策を開発環境と本番環境のどちらに実装すべきかを検討することも意味します。
アジャイル開発プロセスに対応できる AppSec 戦略が必要
オープンソースやサードパーティのコンポーネントへの依存が増し、より多くの API が外部に公開される中、Forrester のレポートでは、セキュリティ担当者に対してセキュリティチームと開発チームの間のコミュニケーションを促進し、開発プロセス全体を通じて自動化されたセキュリティテストツールを導入することを推奨しています。
Forrester は、開発者を満足させられるセキュリティツールを使用することの重要性を強調しています。最近の AppSec ツールは開発者のニーズをより重視しているため、セキュリティ担当者は以前より簡単に開発チームと協力してセキュリティを開発ワークフローに組み込むことが可能になりました。アプリケ ーションを保護するためには、単なる脅威の検出にとどまらず、脅威のコンテキストや、対処方法に関するガイダンスを提供できるセキュリティツールを使用する必要があります。
次のステップ
ソフトウェア開発のエコシステムが進化するなか、同レポートでは「新しい開発方法論は、従来のセキュリティパラダイムに対する変更を意味する」と述べられています。今後を見据えて、将来のアプリケーション開発計画とアーキテクチャに簡単に統合できるアプリケーション・セキュリティ・ツールに投資する必要があると、お客様も私たち自身も考えています。
より俊敏で、優れたパフォーマンスを発揮する統合セキュリティソリューションを導入するためにスタックを一新するのは大変な作業かもしれませんが、それによる投資から得られる価値は計り知れません。