SASTとSCAで十分だと思っているなら、あなたはすでに遅れています。アプリセキュリティの未来はアラートではなく、ポスチャ、プロベナンス、そして証明です。
私は十分な数のスキャナーダッシュボードを見つめてきたので、あるパターンが分かります。SASTは実行されることのない理論上の欠陥にフラグを立てます。DASTは、脆弱な関数への経路が塞がれているため肩をすくめます。SCAは、ホットパスに触れもしないCVEで領域を埋め尽くします。MASTは、前四半期に廃止したシークレットのことで私のモバイルアプリを叱ります。これらのツールは依然として不可欠ですが、いまや到達点ではなくベースラインを形成しています。次の章は、別の「銀の弾丸」製品ではありません。ポスチャ、プロベナンス、そして証明へのシフトです。
Sunil Gentyala
この1年でコミュニティは明白な事実を認めました。戦場はリリース前スキャンだけではなく、ソフトウェアサプライチェーンと稼働中のシステムです。OWASPの2025年アップデートでは、ソフトウェアサプライチェーンの失敗がA03に引き上げられ、脆弱で古いコンポーネントを、依存関係、ビルドシステム、配布インフラにまたがるシステム的なエコシステムリスクとして捉え直しました(Endor Labsの概要はこちら)。並行してCISAは、よりリッチで機械可読なメタデータを求め、スケールのための自動化を強調する2025年ドラフトでSBOMガイダンスを前進させました。
ポスチャ、プロベナンス、そして証明:新たな三位一体
アプリケーションセキュリティ・ポスチャ管理(ASPM)は、旧来の四つ組を再び有用にするコントロールプレーンです。Gartnerの2025年Innovation Insightは、ASPMがSDLC全体に散在するシグナルをどのように接続し、ポリシーを強制し、到達可能性や実際の露出といったコンテキストに基づいて優先順位付けするかを説明しました。つまり、SAST、DAST、SCA、IaC、ランタイムの検出結果を単一のビューに取り込み、そのうえで本当に重要なごく一部に絞り込むということです。
私はASPMを「コードからクラウド」視点で捉えるのが好みです。なぜなら、それが私たちのシステムが実際に動く姿を反映しているからです。Wiz Academyのガイドは、ASPMの中核機能として、統合可視化、リスクの優先順位付け、ポリシー強制を挙げ、開発、ビルド、デプロイ全体にわたる継続的なディスカバリーを強調しています。目的はアラート疲れを減らしつつ、コード上の問題をランタイム影響に結び付けることです(ASPM)。これはGartnerの前提と整合しますが、リポジトリのシグナル、パイプラインポリシー、クラウドの現実を相関させる実務的な詳細が加わっています。
ポスチャは「何か(what)」です。プロベナンスは「どのように(how)」です。SLSAフレームワークは、成果物が堅牢化され改ざん耐性のあるパイプラインでビルドされ、下流の利用者が信頼できる署名付きアテステーションを備えていることを証明するための、共通の語彙と検証可能なコントロールを提供します(OpenSSFの概要はこちら)。私が多くのサービスにSLSAレベル2を、クリティカルパスにはレベル3を求めるのは、コンプライアンスの見せかけを追っているのではありません。監査とインシデントを乗り切る完全性を買っているのです。
証明は、SBOMがようやく大人になる場所です。デプロイ可能な成果物を生成するビルドにSBOM生成を結び付け、署名し、デプロイ時に検証することで、SBOMは「原材料リスト」から強制可能なコントロールへと変わります。CNCF TAG-Securityのbest practices v2ペーパーは私の実務的な地図です。ペルソナ、悪用可能性のためのVEX、テストが実際に実行されたことを保証する暗号学的検証、そしてクラウドネイティブなファクトリーに向けた規範的ガイダンスが含まれています。
助言:SBOMが開発者の意図を記述しているだけで、実際に実行されるものを表していないなら、次のリコールを見逃します。バイナリを生成したビルドからSBOMを生成し、署名し、VEXを取り込み、検証に基づいてデプロイをゲートしてください。
ダッシュボードから意思決定へ:ASPMの実践
ポスチャプログラムは、単なるプラットフォームではなく習慣の集合です。私はまずスキャナー出力を単一のリスクレジスターに統合しますが、真空状態でトリアージすることは拒みます。検出結果には、到達可能性の証拠、データ感度タグ、露出コンテキストが伴わなければなりません。そこでASPMが真価を発揮します。Wiz Academyの資料は、このコードからクラウドへの接続を強調し、ノイズを減らして、開発者が理論上のリスクの壁ではなくビジネスを止める少数の問題に集中できるようにする方法を示しています。Gartnerの枠組みは、断片化したシグナルが修復速度を損なう規制環境での採用理由を示しています。
私自身のプログラムから実装上の注意点を2つ。第一に、ASPMをオーナーに紐付けること。すべての検出結果には解決責任者とSLAが必要で、そうでなければ単なるレポートです。第二に、リスクの高いビルドをゲートすること。ポリシー強制はダッシュボードではなく意思決定です。成果物にプロベナンスが欠けている、あるいはVEXが到達可能な経路での悪用可能性を示すなら、それは出荷しません。
助言:ポリシーの唯一の信頼できる情報源を1つに保ってください。セキュリティポリシーが3つのツールに分散していると、開発者は3つすべてを無視します。
見せかけではないサプライチェーンの厳格さ
サプライチェーンの取り組みは、何が重要かを忘れると書類仕事に堕します。要点は完全性です。私はSLSAをシンプルに保ちます。レベル2は迅速に、レベル3はクリティカルパスに。つまり、堅牢化されたビルドサービス、隔離されたビルド、署名付きプロベナンス、そしてソースから成果物までの検証済みチェーンです。 SBOMは、機械可読で、署名され、デプロイ時に検証されて初めて運用可能になります。CISAの2025年ドラフトは、フィールド、フォーマット、自動化に関する期待値を引き締めました。私はこれを歓迎します。調達とインシデント対応がより速く、よりクリーンになるからです。
CNCFペーパーは不足部分を補います。SBOMをVEXと結び付ける方法、パイプライン手順に暗号学的チェックを追加する方法、そして開発者インフラをサプライチェーンの一部として扱う方法を説明しています。最後の点は重要です。攻撃者は、コード依存関係だけでなく、リポジトリ、CI設定、成果物レジストリをますます狙うようになっているからです。CNCFの公共部門向けガイダンスは、政府ワークロードに対して同じ優先事項を反映し、SolarWinds、Log4Shell、xzからの具体的な教訓を示しています。
助言:署名とプロベナンスのアテステーションがないベンダーSBOMは決して受け入れないでください。ソフトウェアがどのようにビルドされたかを証明できないなら、あなたのリスク計算は推測にすぎません。
ランタイムの現実:幻想ではなく計測
リリース前テストは必要ですが十分ではありません。IASTのインストゥルメンテーションはQA中にランタイムの真実を与え、実際の実行経路を観測して誤検知を減らし、開発者のコンテキストを保持します。本番ではメンタルモデルがRASPへと移り、危険な操作が起きるまさにその瞬間にアプリケーション内部で悪用をブロックします。SQLの組み立て、OS実行、シリアライズなど、WAFでは見えない領域です。これはWAFを否定するものではありません。ネットワーク層の検査とアプリケーション層の内省は、別の問題を解くという認識です。
境界防御だけで十分だと思うなら、2025年11月の2週間でその考えは払拭されるはずです。CISAはCisco ASAおよびFTDの脆弱性(CVE-2025-20333、CVE-2025-20362)に対する緊急ガイダンスを発出しました。各機関がデバイスを「パッチ適用済み」と報告していたにもかかわらず、依然として脆弱なリリーストレイン上にあることが判明したためです。この指令は最小バージョン、フォレンジックチェック、期限を規定し、インターネット向けのものだけでなく全デバイスを更新しなければならないことを改めて想起させました(CISAのプレスリリース)。
教訓は汎用的です。「パッチ適用済み」を証明を伴う状態として扱ってください。最小リリーストレインを検証し、全体(フリート)で確認し、サポート終了機器を廃止します。境界防御に加えて、アプリケーション層センサーとコンテナランタイム保護を組み合わせてください。ワークロードはKubernetesやマネージドプラットフォームへとますます移っているからです。市場分析は、オーケストレーションされたクラウドネイティブ環境へのシフトを裏付けており、一貫したランタイムポリシーが可能になります(CNCFのトレンド投稿はこちら)。
助言:ランタイムテレメトリをTDIRの実践に接続してください。本番でRASPがインジェクションをブロックしたなら、そのイベントは単にアラートを閉じるのではなく、コード修正を生むべきです。
AIとサプライチェーン・エコシステムのセキュリティ
「次に来るもの」の中で、AIは最も変わりやすい存在です。NISTの2025年最終ガイダンス(敵対的ML)は、脅威をPredAIとGenAIに分け、信頼された指示と信頼できないデータが混在するエージェント型システムにおいて、直接・間接のプロンプトインジェクションが支配的な攻撃であると指摘しました(Meritakの概要; IBMの解説)。米国AI Safety Instituteはエージェント乗っ取り評価に関する研究を公開しており、私はツールに行動を委任する人にとって必読のレッドチーム資料だと考えています(NIST AISIブログ)。
ビルダー向けには、2024年7月のNIST SP 800-218Aコミュニティプロファイルが、SSDFを生成AIとデュアルユースの基盤モデルへ拡張します。プロンプトの脅威モデリング、学習データパイプラインの保護、モデル運用の分離、モデル文書をセキュア開発プラクティスに結び付けることを扱っています。
言語レイヤーでは、流行遅れと思われていた推奨が主流になりました。2025年6月、NSAとCISAは、レガシー環境向けの現実的な移行ガイダンスとともに、メモリ安全言語の採用を促しました。最も重要なところから始め、段階的に統合し、古いモジュールは堅牢化されたFFIの背後に隔離するというものです(NSA/CISA CSI)。
バグのクラス全体を消し去る言語選択
脆弱性クラスを削除したいなら、それを書かないことです。2025年6月、NSAとCISAは、レガシー環境向けの現実的な移行ガイダンスとともに、メモリ安全言語の採用を促す共同CSIを公開しました。重要なところから始め、段階的に統合し、古いモジュールは堅牢化されたFFIの背後に隔離します。これは学術的なポーズではありません。バッファオーバーフロー、use-after-free、データ競合はレジリエンスを損ない、実際にコストがかかります。メモリ安全言語は設計上それらのリスクを低減します。
助言:新規開発(net new)にはメモリ安全言語を義務付け、高リスクモジュールの移行計画を立て、日付と指標を伴うロードマップを公開してください。NSAとCISAのガイダンスを使って「なぜ」を説明し、そのうえで結果を測定します。
いまSCA、SAST、DAST、MASTはどこに位置付くのか
ポスチャ中心のプログラムに組み込まれる限り、それらは依然として基盤です。
- SASTは設計と実装の欠陥を依然として捉えますが、私は到達可能性分析と、IDE内での開発者ファーストの修復を求めます。理論上の問題が実害のある問題を圧倒しないよう、SASTをASPMに投入してコンテキストを付与します。
- DASTはリリース前の露出評価に不可欠ですが、私はIASTと組み合わせて実際のコードパスを観測し、誤検知を減らします。
- SCAは、SBOM生成がビルドに結び付けられ、VEXがノイズを削ることで、CVEリストを超えた価値を持ちます。CNCFのベストプラクティスとCISAの2025年SBOMドラフトは、これをうまく行う方法を示しています。
- MASTはモバイルのハードニングを正直に保ちますが、シークレット衛生とセキュアストレージのチェックは、サーバーアプリと同じライフサイクルコントロールに統合します。
リーダー向け助言:次に実装すること
これは、間違える余裕のない規制環境で私が実際に展開してきた運用モデルです。
- コントロールプレーンとしてのASPM。 シグナルを統合し、重複排除し、悪用可能性で順位付けします—到達可能性、露出、データ感度。オーナーへの割り当てを自動化し、リスクの高いビルドにはポリシーゲートを適用します。
- サプライチェーンの厳格さ。 SLSAレベルを採用し、署名付きSBOMとアテステーションを必須化し、デプロイ時に検証します。プロベナンスのない成果物は不可、検証なしのデプロイも不可です。
- ランタイム保護。 アプリケーションスタックにRASPを組み込み、コンテナランタイム制御を強制し、WAFはエッジに維持します。イベントをTDIRパイプラインに接続し、本番でのブロックがコード修正を引き起こすようにします。
- シークレットのライフサイクルとマシンID。 集中型ボールティング、自動ローテーション、あらゆる場所で最小権限、サービス間認証のための相互TLS。
- AIセキュリティプログラム。 NIST SP 800-218Aを採用し、乗っ取りに対してエージェントをレッドチームし、権限分離を強制し、出力を監視します。
- 言語ポリシー。新規開発にはメモリ安全言語を義務付け、高リスクモジュールの移行を計画し、NSA/CISAのガイダンスで関係者を教育します。
結論
SCA、SAST、DAST、MASTは依然として岩盤ですが、ASPMによってオーケストレーションされ、SLSAとSBOMによって証明され、ランタイム制御によって防御されるときに最も効果を発揮します。AI固有の安全策とメモリ安全言語を加えれば、検出結果を追い回す状態から、確信を持って意思決定する状態へ移行できます。これが私の「次は何か」です。
この記事はFoundry Expert Contributor Networkの一環として公開されています。
参加したいですか?
