ASPM によって可視性を向上させ、アプリケーションリスクを管理する方法

ソフトウェアアセットについて、存在すら知らなかった脅威や脆弱性に驚かされたことは、どのくらいの頻度でありますか？ 

多くの企業にとって、その答えは「思ったよりも頻繁にある」でしょう。なぜなら、見えないものを守ることはできないためです。アプリケーションセキュリティチームにとって、ソフトウェアサプライチェーン全体にわたる完全な可視性は不可欠です。しかし、その包括的な視点で攻撃対象領域全体を把握するのは簡単ではありません。 

この記事では、独自開発アプリケーションの保護に努めるチームが直面している問題と、それに役立つソリューションや手法についてご説明します。  

DevSecOps のジレンマ: アジリティとリスク管理のバランス 

アプリケーションが複雑化し、AI 活用によって開発ペースが加速するにつれて、恐ろしいゼロデイ攻撃のような深刻なセキュリティイベントのリスクが急増しています。そのため、アプリケーションセキュリティチームは常に開発にブレーキをかけ、市場投入までの時間を遅らせているように見えてしまいます。

DevSecOps 内で生じる避けられない対立のような状況は、いくつかの要因によって引き起こされます。

• 可視性の欠如: 成長中のアプリケーションセキュリティプログラムが直面する大きな問題の 1 つは、開発からランタイムに至るまでの各ソフトウェアアセットのコンポーネントに関するインサイトが不足していることです。これにより、アプリケーション全体にわたるエンドツーエンドの可視性を確保できません。

• 優先順位の競合: アプリケーションセキュリティチームはリスクの軽減を目指していますが、開発者はスピードを追求しています。両部門の目標が噛み合わないだけでなく、コミュニケーションや連携が十分にとれないことがよくあります。その間にコストと労力が増大し、フラストレーションが蓄積された結果、市場投入までの時間が遅くなり、開発コストも高くなります。これは企業にとって理想的ではありません。 

• セキュリティツールの急増\: 開発者は、増え続けるスキャンツールへの対応を迫られています。しかし、多くのツールは開発者を考慮せずに構築されており、ソフトウェア開発ライフサイクル (SDLC) のさまざまな段階で個別のサイロとして動作します。こうしたツールを開発者は実際に活用できているのでしょうか？仮に活用しているとしても、この断片化された状況からアセット全体を完全に把握できているのでしょうか？

• インサイトの欠如: 多くのアプリケーションセキュリティチームは、脆弱性の数と重大度を報告するのみで、セキュリティプログラムの有効性を伝えたり、対策が必要な問題を明確にしたりする手段を持っていません。また、開発者が重要な問題をすばやく修正できるよう、脆弱性に関するデータを開発ワークフロー内に組み込む方法もありません。

ASPM: 新たなタイプのセキュリティ管理

アプリケーション全体の可視性に関する新たな強力アプローチが登場しました。それが、アプリケーションセキュリティポスチャ管理 (ASPM) と呼ばれる、重要かつ拡大し続ける手法です。ASPM は、アプリケーションセキュリティプログラムの管理と拡張を目的とした、新しいタイプのセキュリティソリューションです。

ASPM ツールは、SDLC 全体のセキュリティ問題を収集、分析、優先順位付けすることで、アプリケーションリスクを継続的に管理します。また、アプリケーションの構築、導入、実行に関係するアセットの構造化されたインベントリを作成します。アセットには、アプリケーションおよび開発のコンテキストと、明確になった問題に関する情報が付加されています。これには、次のような重要な情報が含まれます。

• アセットの所有者

• ビジネス上の重要度

• 使用されている技術

• 導入状況

• ランタイム設定

• セキュリティテストの結果および検出結果

ASPM ツールの全体的な共有ビューにより、アプリケーションセキュリティテスト (AST) ツールの検出結果から、リスクの分析に必要なコンテキストが提供されます。リスクが把握できれば、アプリケーションセキュリティチームは開発者に対し、リスクを大幅に軽減できるセキュリティ上の問題のみに対応するよう依頼でき、より良い開発者エクスペリエンスにつながります。また、単に脆弱性の検出結果や修正を共有するのではなく、CISO や他のビジネスリーダーにとって重要な言葉で共有できるようになります。

Snyk AppRisk による開発者支援

Snyk AppRisk は、開発者ファーストの ASPM ソリューションであり、シフトレフトの実施を目指すアプリケーションセキュリティチームに最適です。AppRisk 設計時の目標はシンプルで、「開発者を支援し、生産性を高め、可視性を向上させ、効果的な管理と拡張を実現すること」でした。Snyk を活用すれば、可視性の欠如を解消する作業は難しいものではありません。 

多くの新しい ASPM ツールは、サードパーティの統合や、開発者の採用率が低い旧式の AST ツールに依存しています。残念ながら、そういったツールではアプリケーションについて幅広く正確に把握することはできないため、開発者が効果的に優先順位付けや修正を行うことが難しくなります。 

Snyk AppRisk ソリューションは、Snyk の信頼性の高いセキュリティおよび開発者フレンドリーの AST ツールとシームレスに統合され、開発からランタイムに至るまで、アプリとその関連リスクの高度かつ総合的なビューを提供します。これにより、アプリケーションセキュリティチームは開発者と緊密に連携し、自社にとって最大の脅威を排除できます。

さらなるメリットとして、Snyk の AppRisk ソリューションは、当社の AST ツールだけでなく、その他の対応するサードパーティのセキュリティコントロールによって保護されているすべての関連アセットもリスト化します。 

可視性とコンテキストがもたらす価値

ASPM の目的は、開発からクラウドに至るまで、すべてのエンタープライズアプリケーションにおいて明確な共通理解を得ることです。これには、導入されている (または導入されていない) セキュリティコントロールの理解だけでなく、各アプリケーションコンポーネントの担当チームに対する理解も含まれます。 

Gartner は、2026 年までに、自社でアプリケーションを開発している組織の 40% 以上が ASPM を採用し、セキュリティ上の問題をすばやく検出して修正し、厳格な基準を満たすために活用すると予測しています。

利用可能なデータと分析を組み合わせることで、リスク、ビジネスコンテキスト、プログラムの有効性を可能な限り正確に測定できます。これにより、アプリケーションセキュリティチーム、開発者、ビジネスリーダーの間で組織のソフトウェアアセットに対する理解が深まり、より効率的なリスク評価と管理の基盤となります。

よりスムーズな DevSecOps の実現

Snyk AppRisk は、次の機能を通じて開発プロセスを改善し、DevSecOps を実現します。

• 各アプリケーションの総合的なビュー: より優れた可視性を提供し、アプリケーションのセキュリティ状況を総合的に理解できるようにします。

• リスクごとの優先順位付け: 脆弱性がアプリケーションに与える影響をより深く理解でき、トリアージと対策が強化されます。

• 開発者とセキュリティチームの優れた連携: 開発者が使い慣れた製品およびワークフロー内で動作し、サイロを解消します。共通言語を提供し、開発プロセスの早い段階でセキュリティを統合します。

• アプリケーションセキュリティポリシーとコントロールのコンテキストに応じた適用: アプリケーションに合わせて調整されたアプリケーションセキュリティポリシーとコントロールを一貫して適用し、自動監視を実現します。

連携の鍵となる要素

私たちは皆、シフトレフト、つまり上流プロセスでのセキュリティ対策を試みていますが、最初からセキュリティ対策を組み込む、言わば「スタートレフト」を実施するのはどうでしょうか？ 

開発者は、開発者向けに構築された適切なセキュリティツールが提供されれば、セキュリティに関する上の問題をこれまでよりも早期に、高速かつ効果的に処理できるようになります。アプリケーションセキュリティチーム、開発者、ビジネスリーダーの全員がアプリケーションとそのビジネス上の重要性を理解していれば、この共通理解は、リスク評価だけでなく、ビジネス成功の鍵である「連携」の基盤にもなります。

多忙な開発者は、セキュリティの最前線を担っています。脆弱性を修正するために、最終的にコードを変更しなければならないのは開発者だからです。しかし、開発者が求められる成果を上げるには、製品の市場投入までのスピードも重要です。Snyk の AST は、セキュリティ分析やアプリケーションのデータを ASPM に提供して、開発者が注意すべき点を明確にし、ノイズを排除することで、最良の開発者エクスペリエンスを実現できます。それが、拡張性の高い優れた開発者セキュリティプログラムの構築につながります。

開発者を支援し、リスクを軽減

Snyk AppRisk を活用した ASPM スタイルの総合的なセキュリティアプローチは、可視性の欠如を解消するほか、アプリケーションセキュリティチームがビジネス上の問題や潜在的なリスクを理解し、管理するために必要な情報を提供します。ASPM の詳細については、Snyk と Accenture のホワイトペーパー Empower Developers, Reduce Risk: How ASPM Unlocks DevSecOps (開発者を支援し、リスクを低減: ASPM による DevSecOps の実現) をお読みください。

また、Snyk AppRisk の資料請求を行って、開発者ファーストの ASPM ソリューションを実際にご確認いただけます。