アプリケーションセキュリティポスチャ管理 ― 購入ガイド

Gorodenkoff | shutterstock.com

サイバー脅威が複雑化しているのと同様、企業のアプリケーションも時とともにますます複雑になっています。その主な理由は、クラウド、コンテナ、オンプレミスなど、さまざまなドメインで運用されているためです。従来型のセキュリティツールは、こうした状況に多くの課題を抱えています。

そこで登場したのがApplication Security Posture Management（ASPM）です。これはアプリケーションのライフサイクル全体を通じて保護するための包括的なアプローチです。ASPMは、データ、クラウド、AIなど、他のセキュリティポスチャ管理ツールとも関連しています。これらのセグメントを組み合わせて提供するベンダーも存在します。

ASPMツールやプラットフォームには、一般的に次の3つの重要な機能が求められます。

• ソフトウェア開発ライフサイクルおよびサプライチェーンパイプラインの保護
• ソフトウェアテストの自動化
• さまざまなリスク低減のためのアプリケーションとの統合

市場にある各ASPM製品の機能範囲はかなり異なります。そのため、ASPMと他のセキュリティツールカテゴリとの境界が曖昧になり、購入判断をさらに難しくしています。

本ガイドでは、以下の内容を解説します。

• ASPMのアプローチの種類
• この分野で主導的なベンダー
• 投資前に検討すべき質問

アプリケーションセキュリティポスチャ管理のアプローチ

アプリケーション環境が進化し、セキュリティ課題が増大する中で、Application Security Posture Managementの重要性も高まっています。IDCのリサーチマネージャー、ケイティ・ノートン氏は次のように強調しています。「ASPMはここ数年で大きく進化し、拡大しています。企業はアプリケーションに関するより多くのコンテキスト情報を必要としています。開発チームだけでは対応しきれないほどの脆弱性の洪水に直面しているのです。主要な脆弱性を優先順位付けし、修正するためにASPMツールが必要です。」

ガートナーのアナリストは、ASPMカテゴリを4つの主要なタスク領域に分類しています。

• 脆弱性に関連するイベントの相関
• 優先順位付けとトリアージ
• コードスキャンのオーケストレーション
• リスク管理

「適切な設定を行えば、ASPMツールによって、アプリケーションライフサイクル全体で他の監視リソースが特定したセキュリティギャップを効果的にトリアージし、優先順位付けするための有意義な評価が得られます」と市場観測者は述べています。彼らの見解では、ASPMはあらゆるソフトウェアパイプラインの中心で意思決定を行い、全体のセキュリティ対応を制御すべきだとしています。

これは企業の要望や要件に合致する場合もあれば、そうでない場合もあります。良い点としては、ASPMソリューションを導入することで、従来は独立して動作していた複数のセキュリティ製品を手動で連携させてアラートのトリアージや優先順位付けを行う必要がなくなることです。一方で、すでにオーケストレーションツールをAppSecのハブとして利用しているユーザーは、ASPM導入により一部またはすべての既存の連携や自動化を見直す必要が生じるかもしれません。

ASPMツールやプラットフォームの評価が難しい理由のひとつは、ベンダーが2つの異なるアプローチからソリューションを構築しているためです。

• コードファースト
• クラウドファースト

前者は、主にDevOps環境を反映しており、まずソフトウェア開発やパイプラインテストに重点を置きます。後者はクラウド環境やオンプレミスアプリケーションから始め、そこから特定のアプリケーションに「戻る」形です。いずれの場合も、大量のデータが収集されます。主な目的は以下の通りです。

• 潜在的なセキュリティ侵害の記録と修正
• コンプライアンス方針の策定
• さまざまなデジタルシークレットの適切な管理

ASPMベンダーとソリューション

以下のASPM（アプリケーションセキュリティポスチャ管理）分野のベンダーおよびソリューションは注目に値します。

• ArmorCode
• CrowdStrike Falcon ASPM
• Cycode ASPM
• Ivanti Neurons for ASPM
• Legit Security ASPM
• Nucleus Security
• Wiz

ASPM投資前の5つの質問

Application Security Posture Managementの購入を検討する際、選択したベンダーに以下の質問をしましょう。

• どのような種類・数のインテグレーションが可能ですか？
• 統合されたアプリケーションスキャンで何が検出されますか？
• どれだけ多くのクラウドやコンテナリポジトリに対応していますか？
• 脆弱性および脅威分析の専任チームはありますか？
• ASPMパッケージの具体的な内容と価格体系はどうなっていますか？

(fm)

ITセキュリティに関する他の興味深い記事も読みたいですか？無料ニュースレターでは、セキュリティ担当者や専門家が知っておくべき情報をすべて、あなたの受信箱にお届けします。