ASPM（アプリケーションセキュリティポスチャ管理）の5つのベストプラクティス

現代のビジネス環境は、ソフトウェアが主導しています。開発チームがより優れた製品、サービス、エクスペリエンスを実現するアプリケーションをいかに迅速に提供できるかによって、リーダーが決まります。

同時に、アプリケーションは組織にとって重要なアセットであるだけでなく、脅威アクターの潜在的な標的にもなっています。DevOpsライフサイクルにおけるセキュリティギャップは、時間とコストのかかる手作業によるレビューと相まって、アプリケーションやAPIを攻撃に対して脆弱なままにしてしまいます。これらの要因により、リスクを最小限に抑えるためにアプリケーションセキュリティを強化する重要性が注目されています。

ASPMツールの目的

ASPM（アプリケーションセキュリティポスチャ管理）とは、組織のカスタムアプリケーションのセキュリティを評価、管理、強化するプロセスです。ASPMツールを使用することで、組織は以下を実現できます。

• 展開されたアプリケーションに対する可視性の強化
• 従来のセキュリティレビューとテストの多くの側面の自動化
• 各アプリケーションの脆弱性のリスクと悪用される可能性に基づいた対応の優先順位付け
• 社内のセキュリティ標準の順守と、関連する規制へのコンプライアンスの維持
• 開発チーム全体に対するアプリケーションセキュリティの取り組みの拡大

サイバーセキュリティにASPMを組み込むことの重要性

組織が収益を上げ、カスタマーエクスペリエンスの差別化のためにソフトウェアへの依存度が高まるにつれて、アプリケーションセキュリティは現代の企業にとって重要な機能となりました。

また、脅威アクターは、現代のビジネス環境においてアプリケーションが果たす役割が非常に大きいことを認識しており、攻撃計画の一環としてアプリケーションやAPIを標的にすることが増えています。実際、2023年には、データ侵害の上位10件のうち8件がアプリケーションの攻撃対象領域に関連していました。

このようなセキュリティ環境の変化により、ASPMがDevOpsライフサイクルにおいて非常に重要なプラクティスになりました。アプリケーションのセキュリティを、すべての段階で一貫して継続的に評価することで、セキュリティチームはリスクが発生したときにリスクを特定し、優先順位を付けて、解決できるようになります。これにより、DevOpsチームは、スピードやイノベーションを損なうことなく、強力で安全なアプリケーションを構築して提供することが可能になります。

ASPMツールに関する考慮事項

他のサイバーセキュリティツールと同様に、すべてのASPMソリューションが同じように作られているわけではありません。このセクションでは、ASPMツールを評価する際に確認すべき主要な属性を確認します。

考慮事項1：そのツールは最新のインベントリ機能を提供していますか？

効果的なASPMツールは、組織のクラウドアプリケーションの包括的なインベントリを自動的にカタログ化して維持します。このツールは、マイクロサービス、データベース、API、データフロー、サードパーティサービス、ライブラリーなど、すべてのアーキテクチャ要素をカタログ化し、これらの要素間の依存関係を特定します。ASPMは、アーキテクチャを理解して潜在的なドリフトを特定するために、これらの要素にインデックスを付け、ベースラインを作成して格納することで、信頼できる基盤として機能します。

検索可能で継続的に更新されるアプリケーションインベントリにより、チームは次の強力な機能を利用できるようになります。

• あらゆるアプリケーションやサービスのSBOM（ソフトウェア部品表）のオンデマンド作成
• アプリケーション間の依存関係の特定と管理

考慮事項2：そのASPMツールは動的なコンテキストインサイトを生成しますか？

ASPMツールの主な目的は、チームがアプリケーションに対する脅威を特定し、それらの脅威がビジネス全体にどのように影響するかを理解できるようにすることです。動的なコンテキストとメタデータを提供するソリューションは、チームが開発ライフサイクル内でリスクに優先順位を付け、修正を管理する際の指針となります。

ASPMツールを評価する場合、チームは、クラウドインフラストラクチャ、オペレーティングシステム、ネットワーク、コンテナなどの静的なソースからのメタデータやコンテキストではなく、総合的なコンテキストに基づいてソリューションがタイムリーなインサイトを生成することを確認する必要があります。この動的なアプローチは、チームが実行すべきアクションとその理由について、適切に判断する際に重要な役割を果たします。

考慮事項3：そのソリューションはデータアウェアですか？

ASPMソリューションのもう1つの重要な機能は、アプリケーション内の機密データを識別し、組織のアプリケーションマイクロサービスとAPI全体でそのフローをマッピングする機能です。これは、公開される可能性のあるデータの種類に基づいてリスクを正確に評価するために重要です。

アプリケーションで使用されているデータの種類と、アプリケーション内およびシステム間におけるデータの移動経路の可視化は、強力なデータプライバシーとセキュリティを維持するために不可欠です。この可視性は、個人を特定できる情報 (PII)、ペイメントカード情報 (PCI)、保護対象保健情報 (PHI) など、さまざまな種類の機密データに関連するコンプライアンスを確保するためにも重要です。

考慮事項4：そのソリューションはドリフトをどのように管理しますか？

サイバーセキュリティの世界におけるドリフトとは、コードの変更や構成の変更による予期しないビジネスリスクの出現を意味します。これは、文字通り時間単位で変化する最新のクラウドネイティブアプリケーションにとって特に重要です。アプリケーションの絶え間ないコード変更により、攻撃対象領域の保護が限りなく困難になっています。

ASPMツールは、アプリケーションアーキテクチャのベースラインを確立し、バージョン管理を実装するため、チームがこの問題を管理しやすくなります。これにより、チームは依存関係がいつ導入、変更、または削除されたかを識別でき、アプリケーションのセキュリティを確保できるようになります。

考慮事項5：そのASPMツールはリスクベースのスコアリングをサポートしていますか？

ASPMツールの主要な機能の1つは、リスクの重要度、脆弱性が悪用される可能性、機密データやその他のアセットが露出した場合のビジネスへの影響に基づいて、チームが修復アクティビティに優先順位を付けるのに役立つことです。

ASPMソリューションは、本番環境内で実行されるアプリケーションのすべての属性とディメンションを関連付けるため、リスクを評価およびスコアリングする堅牢なフレームワークの確立に役立ちます。また、このツールは、チームがフォールスポジティブやノイズにリソースを浪費せずに、重要な問題に集中して取り組めるように、高品質で実用的なインサイトを提供します。

考慮事項6：そのツールは脅威の取り込みを統一していますか？

ASPMツールは、共通脆弱性識別子 (CVE) データベースを含む他の脅威インテリジェンスフィードと統合して、攻撃対象領域全体のリアルタイム分析を提供する必要があります。これにより、組織はリスクの特定、評価、スコアリング、優先順位付けに関連する手動プロセスを効果的かつ一貫性を保って自動化できます。

考慮事項7：そのソリューションは、関連するセキュリティポリシーの適用に役立ちますか？

ASPMツールは、チームが関連するセキュリティ標準、業界規制、コンプライアンス監査に基づいて1つ以上のリスクポリシーを定義、適用、管理する際に役立ちます。これらのルールは組織のガードレールとして機能し、アプリケーションの開発と設計にセキュリティファーストのアプローチを取ることができます。

理想的には、ASPMポリシーは、企業全体で再利用できるように構造化および実装され、スケーラビリティを向上させるものである必要があります。通常、そのためには、ポリシーをコードとして管理する必要があります。

考慮事項8：そのソリューションはワークフローに自動的に統合できますか？

開発ライフサイクル中に手作業によるセキュリティテストとレビューを行うと、スピードと効率が優先されるプロセスに、その時間とコストが追加されます。ASPMソリューションは、DevSecOpsワークフローにシームレスに統合され、チームによるセキュリティとエンジニアリングのタスクの自動化、合理化、拡張を支援します。

考慮事項9：そのASPMツールは、展開とスケーリングが容易ですか？

効果的なASPMツールとは、展開、構成、保守に大量のリソースを必要としないものであるべきです。ツールの価値は、採用されて継続的に使用されることにあります。スケーラビリティも重要な要素です。組織は多くのアプリケーションを保護する必要があり、そのリストは時間の経過とともに確実に拡大します。

そのため、ソリューションは、直感的なインターフェースと付随するダッシュボードを提供し、チームがツールを採用して効果的に使用し、投資から最大の価値を引き出すことができるものであるべきです。

ASPM 5つのベストプラクティス

アプリケーションの保護を支援するASPM（アプリケーションセキュリティポスチャ管理）の5つのベストプラクティスは、以下のとおりです。

• #1：セキュリティテストとレビューの迅速化
• #2：シフトレフトセキュリティの補完
• #3：脆弱性修復プログラムの採用
• #4：ワークフローへのASPMの統合
• #5：スケーリング

ベストプラクティス#1：セキュリティテストとレビューの迅速化

従来のセキュリティテストとレビューは、時間と費用がかかります。クラウドストライク2024年版アプリケーションセキュリティの現状レポートでは、回答者の81%がセキュリティレビューに1営業日以上かかると回答し、35%が3営業日以上かかると回答しています。これらのアクティビティには、正確なドキュメント、アーキテクチャ図、Jiraチケット、記入済みの調査票が必要であり、多くの場合、SDLC（ソフトウェア開発ライフサイクル）のボトルネックとなります。

ASPMソリューションは、セキュリティレビュー、テスト、脅威モデリングなど、DevSecOpsライフサイクル全体のタスクを加速および自動化する貴重な機会をチームに提供します。これにより、既存のタイムラインを数日短縮し、有益な効率の向上とコスト削減を実現できる可能性があります。

ベストプラクティス#2：シフトレフトセキュリティの補完

ASPMは、シフトレフトセキュリティを補います。シフトレフトセキュリティは、アプリケーション開発プロセスの初期フェーズにセキュリティを組み込み、開発中に脆弱なコードを特定します。

ASPMをシフトレフトセキュリティ戦略に統合することで、チームはソフトウェア開発ライフサイクル全体をカバーできるようになります。シフトレフトセキュリティでは、ライフサイクルの早い段階で脆弱性と設定ミスを特定しますが、ASPMは、(開発環境とテスト環境が本番環境と同じ構成を持つことが不可能であるために) 早期に検出されなかったセキュリティの問題に対処することに重点を置いています。シフトレフトのプロアクティブなアプローチとASPMのセーフティネットのバランスをとることで、チームはスピードやセキュリティを損なわずにアプリケーションを構築して展開できます。

ベストプラクティス#3：脆弱性修復プログラムの採用

クラウドストライク2024年版アプリケーションセキュリティの現状レポートによると、セキュリティ専門家は、開発チームとやり取りする際に、どのリスクを優先すべきかの特定を、最上位の課題として分類しました。同時に、これらの専門家は、重大なインシデントの70%が解決に12時間以上かかっていると報告しています。これは、組織が修正すべき最も重要な問題の特定に苦労していることを示唆しており、そのような問題の修復にかかる時間に影響を与えている可能性があります。

組織は、ASPMソリューションの助けを借りて、修復作業をさらに構造化し、ソリューションによって提供されるインサイトとスコアに基づいて作業に優先順位を付けることができるようになります。さらに、組織は、ASPMソリューションを他のセキュリティツールと統合することで、可視性とコンテキストを向上させ、セキュリティチームの全体的なセキュリティポスチャと緩和能力を強化できます。

ベストプラクティス#4：ワークフローへのASPMの統合

ASPMソリューションは、ワークフローを合理化し、開発チームとセキュリティチーム間のコラボレーションを強化するための貴重な機会も提供します。

例えば、ASPMツールを既存のワークフローに統合すると、セキュリティイベントが発生した際に関連するチームメンバーと直接共有されるアラートを生成できます。これにより、対応時間が改善され、全体的なセキュリティポスチャが強化されます。

さらに、前述のように、ASPMソリューションは、クラウドアプリケーションを含む組織のアプリケーションと、それらに関連する依存関係の正確かつ最新のインベントリを維持するうえでも重要な役割を果たします。ASPMソリューションは、すべての関連情報を自動的にインデックス化してベースライン化します。これにより、セキュリティにおける問題の効率的な特定と修正に必要な情報に、チームがアクセスできるようになります。

ベストプラクティス#5：スケーリング

ほとんどの組織は、ASPMをスケーリングする段階的なアプローチを採用することで利点が得られます。セキュリティチームは、1つのアプリケーションから始めて、ベストプラクティスを開発し、プロセスを改善した後、ツールを他の領域に拡張することができます。これは、価値を証明し、開発チームとDevSecOpsチームの全体から支持を得るために重要です。

大規模なロールアウトの際に、時間とコストの節約、特定されたリスク、検知された脆弱性、およびその他の主要なインジケーターに関連する特定のメトリックを収集して、ASPMツールの有効性を測定する必要があります。クラウドストライクでASPMの価値を探る

クラウドストライクでASPMの価値を探る

頻繁なアプリケーションの変更に対する可視性が欠けていると、組織にとって重大なリスクとなります。ASPMは、最新のアプリケーションを構築、提供、保守する組織に、アプリケーションの変更に関連するリスクを管理するスケーラブルな方法を提供します。

CrowdStrike Falcon^® ASPMを使用することで、企業はすべてのアプリケーションとAPIを確認して保護し、すべてのアプリケーションの依存関係と攻撃対象領域を自動的に検出してマッピングできます。