シフトレフトとシフトライトの概要

機密データを扱うアプリケーションとサービスでは、そのデータを保護し、顧客の信頼を維持して、サービス運用の継続性を確保するために、堅牢なセキュリティ対策が必要です。開発者は、これらの要件を満たすソリューションを実装する際に、「シフトレフト」または「シフトライト」のいずれかを選択できます。 

「シフトレフトとシフトライト」とは、ソリューションがSDLC（ソフトウェア開発ライフサイクル）と技術スタックに統合される方法を指します。シフトレフトは、計画からコーディング段階まで、SDLCの早い段階でセキュリティ対策を組み込み、展開前に脆弱性に対処して特定することに重点を置いています。

シフトライトは、本番環境のアプリケーションを保護するために、リアルタイムモニタリング、脅威検知、インシデント対応などの展開後のセキュリティ対策の実装に重点を置いています。

近年、「シフトレフト」がテクノロジー業界で注目を集めることが多くなりましたが、どちらの戦略にも利点があります。重要なのは、シフトレフト戦略とシフトライト戦略は相互に排他的ではないということです。実際、シフトレフトとシフトライトを組み合わせる組織は、包括的なセキュリティを実現し、SDLC全体にわたってリスクに対処することができます。 

この記事では、シフトレフトとシフトライトの両方のアプローチについて詳しく説明します。また、その利点と相違点を比較し、各アプローチがセキュリティポスチャ全体をどのように強化できるかについて説明します。

シフトレフトの理解：開発初期段階におけるプロアクティブセキュリティ

シフトレフトアプローチは、SDLCの初期段階からセキュリティを統合することに重点を置いています。シフトレフトアプローチにより、チームはセキュリティを考慮してソリューションを設計し、プロジェクトの計画段階および開発段階の初期に問題を検出することで、セキュリティ上の問題のコストと複雑さを軽減できます。 

シフトレフトで使用される手法

シフトレフトアプローチでは、さまざまな手法が使用されます。シフトレフトアプローチの手法には、次のようなものがあります。 

• SAST（静的アプリケーションセキュリティテスト）：アプリケーションを実行せずに、アプリケーションセキュリティツールを使用してソースコードをスキャンし、脆弱性を見つけます。SASTツールは、XSS（クロスサイトスクリプティング）やSQLi（SQLインジェクション）などの影響の大きい問題を検知するのに役立ちます。 
• 脅威モデリング：アプリケーションとサービスを評価して脅威を特定し、軽減手法を特定します。脅威モデリングには、サイバーセキュリティの専門知識とソフトウェアのドメイン知識が必要となるため、コストがかかる可能性があります。
• セキュアコーディング手法：開発者を教育し、サイバーセキュリティの規範とベストプラクティスに準拠したコーディングパターンを実装します。セキュアコーディングを実施するためのシンプルで効果的な手法は、サイバーセキュリティ要件をコードレビューの一部にすることです。 

セキュリティギャップを検知するためのツールと手法

ソフトウェア開発チームは、CI/CD（継続的インテグレーションと継続的デプロイ）の統合により、上記の手法を既存のSDLCプロセスに自動的に実装できます。CI/CDは静的分析ツールとコードスキャンツールを統合して、潜在的な問題を報告し、コードの改善を提案します。 

コードレビュープロセス中にこの情報を利用することで、開発者は見落とされがちなキュリティの問題を障壁の低い方法で検知し、対処できるようになります。

シフトライトの理解：本番環境におけるセキュリティレジリエンス

セキュリティに対するシフトライトアプローチは、展開後のアプリケーションの保護に重点を置いています。このアプローチでは、セキュリティイベントが発生したときにそれをキャプチャし、実際の環境で進化する脅威を追跡するために、アプリケーションの継続的モニタリングとリアルタイム保護が必要です。 

シフトライトで使用される手法

シフトライトアプローチでは、次のようなさまざまな手法が使用されます。 

• DAST（動的アプリケーションセキュリティテスト）：コンパイル済みで実行中のアプリケーションに対して実行され、意図しない振る舞いや安全でない振る舞いをチェックするためのパラメータインジェクションなどのセキュリティテストが含まれます。DASTは手動で実行することも、アプリケーションの悪用を試みる自動ツールを使用して実行することもできます。
• ランタイム保護：例としては、RASPやコンテナランタイムセキュリティツールがあります。どちらもソフトウェアランタイム環境の保護に重要です。コンテナイメージの信頼できるソースと署名付きバイナリのみの実行により、ランタイムのリスクを軽減できます。
• ASPM（アプリケーションセキュリティポスチャ管理）：これらのプラットフォームでは、組織はアプリケーションとクラウドプラットフォーム全体で特定されたすべての脆弱性を包括的に把握できます。ASPMを使用すると、チームは最初に軽減する必要がある問題を効果的に評価、トリアージ、優先順位付けし、軽減する必要があるアセットとそれに関連する脆弱性のインベントリーを提供できます。 

展開後のツールとプロセス

展開後に脅威を特定、軽減、対応するためのツールとプロセスには、検知された問題をチームがトリアージ、割り当て、修復するための完全なワークフローを提供するインシデント検知および対応プラットフォームが含まれます。 

UEBA（ユーザーとエンティティの振る舞い分析）を使用すると、組織は異常検知を活用し、従来のスキャナー手法では見逃されていた未知の脅威を明らかにすることができます。

シフトレフトとシフトライト：競合ではなく補完的

シフトレフトとシフトライトのアプローチは競合する視点ではなく、むしろ補完的な戦術です。両方のアプローチの長所を取り入れることで、セキュリティの脆弱性を迅速かつ早期に検知できると同時に、展開後のソフトウェアの継続的なセキュリティを確保し、貴重なフィードバックループを作成できます。 

これらの補完的なアプローチにより、チームは展開とアプリケーションパターンに集中し、セキュリティを考慮してアプリケーションをゼロから構築できるため、より優れたDevSecOps文化が育成されます。また、アプローチを組み合わせることで、組織はプロアクティブセキュリティとリアクティブセキュリティのバランスを保ち、ライフサイクル全体をカバーできるようになります。

バランスの取れたアプローチでセキュリティレジリエンスを最大化

シフトレフトとシフトライトは、SDLCの異なる側面に焦点を当てた補完的なアプローチです。クラウドストライクのFalconプラットフォームは、シフトレフトとシフトライトに対する包括的なアプローチを提供します。シフトレフトでは、Falcon Cloud Securityがクラウドネイティブアプリケーションにセキュリティとコンプライアンスの継続的モニタリングを提供し、ビルドフェーズ中に脆弱性を特定して修復します。ASPMは、開発サイクルの初期段階で設定ミスや脆弱性をプロアクティブに検知します。 

シフトライトでは、Falcon OverWatchが継続的モニタリングと脅威検知を通じてマネージド脅威ハンティングを提供し、リアルタイムで特定して対応します。 Falcon Insight XDRは、脅威インテリジェンスとネイティブAIを活用した拡張EDR（エンドポイント検知・対応）も提供し、セキュリティインシデントの迅速な検知と修復を促進します。

セキュリティの強化を進めるなら、15日間の無料トライアルでクラウドストライクのプラットフォームを試し、統合セキュリティソリューションの力を体験してください。