1. HOME
  2. ブログ
  3. Blog
  4. 海外ブログ
  5. アプリケーションセキュリティの問題

Info.

お知らせ

海外ブログ

アプリケーションセキュリティの問題

the-trouble-with-application-security

トピック: DevSecOps(開発、セキュリティ、運用)ネットワークおよびアプリケーションセキュリティ

2021年4月13日、Mike Vizard

最近、ソフトウェアサプライチェーンに対する有名な侵害によって、必然的に、アプリケーションセキュリティへの注目がさらに高まっています。しかし、セキュリティプロフェッショナルがよく知っているとおり、懸念は必ずしも行動に直結するわけではありません。Forrester Researchが480人のITセキュリティ意思決定者を対象に実施した調査によると、今後1年間でアプリケーションセキュリティの強化を戦術的に最優先する回答者は、わずか4分の1以上(28%)です。

ほぼ間違いなく、アプリケーションセキュリティへの注目が不足している原因はアプリケーションセキュリティの実際の責任者です。多くのセキュリティ部門は管理している予算をインフラストラクチャの保護に留保する傾向があります。この前提は開発者がアプリケーションの保護に必要な対策を取ることです。しかし、残念ながら、このような場合はそれほどありません。Ponemom Instituteがオープンソースソフトウェアを保護するツールのプロバイダであるWhiteSource向けに企業の634人のITおよびセキュリティ担当者を対象に実施した調査によると、企業の約4分の3(75%)は過去1年間でアプリケーションポートフォリオがさらに攻撃を受けやすくなっていると述べています。

さらに厄介なことに、API(アプリケーションプログラミングインターフェース)を保護するツールのプロバイダであるSalt Securityが約200人のセキュリティ、アプリケーション、およびDevOps(開発と運用)のプロフェッショナルを対象に実施した別の調査によると、実稼働環境でAPIを使用している企業の半数以上(54%)はAPIセキュリティに関する基本的な戦略しか持っておらず、27%は戦略をまったく持っていません。

また、アプリケーションセキュリティの問題だけでなく、開発者が既知の脆弱性を含むコードを実稼働環境に組み込むこともよくあります。ESG(Enterprise Strategy Group)がアプリケーションコードの脆弱性をスキャンするツールのプロバイダであるSynopsys向けに378人のセキュリティおよびアプリケーション開発のプロフェッショナルを対象に実施した調査によると、回答者の約半数(48%)は、アプリケーションの納期に間に合うように、既知の脆弱性を含むコードを意図的に実稼働環境に組み込んでいます。

このような状況が継続する主な理由は、開発者がアプリケーションを保護するために使用しているプロセスが、ほとんど手動であるためです。セキュリティ自動化ツールのプロバイダであるSecurity Compassが実施した調査によると、回答者の4分の3(75%)は、手動のセキュリティおよびコンプライアンスプロセスによって、コードのリリースが遅延し、最終的に、市場投入までの時間が延長し、全体的な競争力が低下すると述べています。アプリケーションの納期が迫ると、まず問題になることはアプリケーションセキュリティです。

もちろん、理論上は、アプリケーションセキュリティの責任をさらに移行するDevSecOps(開発、セキュリティ、運用)ベストプラクティスが増加しているため、現在、実稼働アプリケーションに日常的に含まれている脆弱性は、削減するか、完全に排除できるはずです。残念ながら、DevSecOpsはまだ日が浅いため、特に平均的な開発者のセキュリティ知識のレベルを考慮すると、今のところ、この移行が及ぼす可能性がある影響は限定的でしかありません。

セキュリティプロフェッショナルは日常的に直面する問題のほとんどの根本原因が開発者であることを確信しています。開発者は必ずしも脆弱なアプリケーションを構築および導入しようとしているわけではありません。それどころか、開発者は何を調査すればよいかをまったく知りません。通常、アプリケーションがスキャンされる時期は導入される数日前であるため、どのような脆弱性に対処する必要があるかをメモするしかできません。このようなサイクルを断ち切るには、セキュリティ部門がアプリケーション開発のライフサイクルのさらに早い時期に開発者と有意義に関わる必要があります。

結局、開発者は、何をすればよいかをよく知らないため、最初に行動する可能性は低いです。長い間、セキュリティプロフェッショナルは開発者からの連絡を待つことになります。つまり、開発者を罰するのではなく、さらに教育するような建設的な方法で開発者と関わるかどうかはセキュリティプロフェッショナルしだいであるということです。

現在の企業は、これまで以上にソフトウェアに依存しています。企業は、セキュリティに関する懸念にかかわらず、多くのデジタルビジネスプロセスを推進するために、さらに多くのソフトウェアを引き続き構築および導入しています。現在、セキュリティ部門は、回避できない問題の発生をバックエンドで待つのではなく、アプリケーションを構築するプロセスのフロントエンドに身を置く責任があります。実際、開発者と関わらないセキュリティプロフェッショナルが、開発者自身と同様、上記の問題の大きな部分であることは、ほぼ間違いありません。

原文はこちら:

The trouble with application security

April 13, 2021 Mike Vizard

https://blog.barracuda.com/2021/04/13/the-trouble-with-application-security/

 

関連記事