ASPM（アプリケーションセキュリティポスチャ管理）のユースケース

組織が複雑なソフトウェアアプリケーションを構築、提供、保守するようになり、アプリケーションセキュリティに対する包括的でプロアクティブなアプローチの必要性がますます重要になっています。このような背景から、ASPM（アプリケーションセキュリティポスチャ管理） が重要なプラクティスとして浮上しています。

ASPMとは

ASPMは、アプリケーションをセキュリティで保護して、レジリエンスを高め、ビジネスリスクを大幅に軽減する手法です。ASPMの目標は、本番環境で実行中のアプリケーションアーキテクチャの継続的かつ包括的なリスクポスチャを維持することです。これには、すべてのサービス、ライブラリ、API、依存関係、攻撃対象領域、機密データフローなどが含まれます。

サイバー脅威がより巧妙になるにつれて、脆弱性を悪用して機密データに不正アクセスしようとする攻撃者にとって、アプリケーションは魅力的な標的となっています。ASPMは、これらのリスクから組織を保護することを可能にします。チームが任意の時点で、アプリケーションに存在する重要な上位のビジネスリスクを迅速に特定し、優先順位を付けることができるようになります。堅牢なASPMソリューションを実装することで、組織は開発プロセスの早い段階でセキュリティの問題を検出して修正できます。これにより、貴重なデータが保護されることに加え、アプリケーションの全体的な信頼性も向上します。

要約して言えば、ASPMは以下のような質問への回答を提供します。

• どのようなアプリケーションを所有していて、それらはどこに存在していますか？
• 現在、本番環境における重要な上位のビジネスリスクは何ですか？
• 本番環境で悪用される可能性のあるマイクロサービスとAPIはいくつありますか？
• 本番環境のアプリケーションによって公開される機密データは何ですか？

ASPMのユースケース

ASPMは、多くの現実のシナリオにおいて、組織のアプリケーションセキュリティを強化するうえで重要な役割を果たしています。主なユースケースについて見ていきましょう。

アプリケーションインベントリと可視性

構成管理データベース (CMDB) は、ITチーム、運用チームなどが特定のインフラストラクチャ、ネットワーク、システムなどのコンポーネントを追跡するための重要な方法です。頻繁に変更される最新のマイクロサービスベースのアプリケーションの場合、このようなインベントリの維持ははるかに困難になります。ASPMは、すべてのマイクロサービスを、リンクされているビジネスアプリケーションはどれか、所有するユーザーまたはチームは誰か、展開先はどこかに関する関連情報と共に項目別に分類したSBOM（ソフトウェア部品表）を提供します。この正確で最新のインベントリは、大規模なアプリケーションを理解し、効果的に保護するための基盤となります。

ASPMは、包括的なSBOMを提供するだけでなく、アプリケーションの可視性を高めます。また、堅牢でスケーラブルなアプリケーション管理の要として機能します。このリアルタイムのインサイトは、開発者、アーキテクト、IT運用チームが古いドキュメントや図に依存することを排除するのに役立つだけでなく、アプリケーションの内容を簡単に理解できるようにします。この動的な可視性は、アプリケーションアーキテクトがアプリケーションの構造を明確かつ正確に把握するためにも重要です。同様に、詳細な可視性は、チームがセキュリティレビューを効率的に実施し、脅威モデリングの演習を実行するのにも役立ちます。

脆弱性のトリアージと優先順位付け

アプリケーションの複雑さが増し、頻繁に変更されるようになっています。潜在的な脅威を阻止して、データ侵害から保護するには、堅牢なアプリケーションセキュリティ対策への継続的な取り組みが不可欠になっています。ASPMソリューションを採用することで、組織は最もリスクの高い脆弱性を体系的に特定し、優先順位を付けて、軽減することができます。

ASPMは、他のアプリケーションツールやクラウドセキュリティツールからセキュリティの調査結果を取り込み、リスクの重大度、悪用される可能性、重要度に基づいてリスクの潜在的な影響を計算することで、組織が上位のリスクを特定する際に役立ちます。優先順位を明確に定義することで、セキュリティチームは開発者と効率的に連携してアプリケーションセキュリティの上位の問題を修正できるようになり、サイバー脅威に対する堅牢な防御が可能になります。

APIセキュリティ

APIは最新のソフトウェアの構成要素ですが、多くの組織は、作成および利用するAPIに関してAPIが何を処理しているのかを把握できていません。APIが実行している機能とその基盤となるプロトコルを理解し、通信の方向（アップストリームまたはダウンストリーム）をマッピングし、攻撃や侵害につながる可能性のある暗号化、承認、設定ミスを特定することが重要です。

ASPMツールは、すべてのAPIを識別し、それらが存在する場所を詳細に説明し、すべてのダウンストリームの依存関係と攻撃対象領域を可視化することで、このセキュリティの盲点の排除に役立ちます。

アプリケーション設定ミスの管理

アプリケーション設定ミスは、アプリケーションまたはその展開先の環境が、不正なアクセスを許可したり、脆弱性を引き起こしたりするように設定されている場合に発生します。 その結果、これらの設定ミスによって、システムやデータがサイバー攻撃や偶発的な露出に対して脆弱になる可能性があります。 ASPMソリューションは、コード内のアプリケーション設定ミスを検出し、アプリケーションが本番環境に安全に展開されることを確保します。

ASPMツールは、自動化されたルールとポリシーを使用します。これは、組織が大規模なアプリケーションセキュリティコントロールを実施する際に、大きな価値があります。このアプローチにより、セキュリティチェックリストやレビューなどの手動プロセスが合理化されます。

アプリケーションデータのプライバシーと保護

マイクロサービスベースのアプリケーションには、モノリシックなアプリケーションよりも多くのデータベースがあります。多くの場合、組織は機密データが含まれているデータベースや、アプリケーションのデータフローの状態を可視化できず、GDPRやCCPAなどのデータプライバシー規制に対するコンプライアンスリスクを引き起こします。

ASPMは、個人を特定できる情報 (PII)、保護対象保健情報 (PHI)、支払い情報、その他の重要な情報を格納しているデータベースを特定することにより、アプリケーションデータのプライバシーを保護する上で重要な役割を果たします。ASPMソリューションは、機密データの近く二存在する脆弱性と脅威を評価することで、アプリケーションデータのプライバシーを強化します。さらに、ASPMソリューションは、標準化されたポリシーを適用してコンプライアンスを確保し、コンプライアンス監査をサポートすることで、組織におけるGDPR、HIPAA、CCPAへのコンプライアンス維持に役立ちます。

アプリケーションレジリエンス

アーキテクチャにおける変更を効率的かつ正確に検出して優先順位を付け、修正することは、あらゆる企業にとって不可欠です。アプリケーションのコンポーネントや依存関係が変更され、ミッションクリティカルなアプリケーションがクラッシュした場合、計画外のダウンタイムが発生する可能性があります。ダウンタイムは顧客に不便をかけるだけでなく、コストがかさむものになる可能性があります。ASPMは、アプリケーションアーキテクチャに関する重要なインサイトを提供します。これは、組織がリスクを軽減する際に役立ちます。

ASPMは、アプリケーションの詳細かつ最新のアーキテクチャマップを提供します。これは、すべてのサービス、API、ライブラリー、依存関係、およびデータフローを細部まで可視化します。この知識により、チームはアプリケーションの依存関係を理解し、クラウドリージョンまたはアプリケーションサービスに関連する機能停止の影響分析を迅速に実行できます。同様に重要なことは、エンタープライズアーキテクトが、安全、スケーラブル、かつ柔軟なアプリケーションアーキテクチャをより効果的に設計、構築、および維持できることです。