ASPMバイヤーズガイド：アプリケーションを保護するための7つの製品

企業のアプリケーションを保護するには、常に警戒を怠らず、適切な防御ツールを揃えることが必要です。サイバー脅威がますます複雑化し発見が困難になるのと同様に、企業を支えるアプリケーションもクラウド、コンテナ、オンプレミスなど多様なドメインで稼働するようになり、従来のセキュリティツールでは対応が難しくなっています。

そこで登場したのがアプリケーションセキュリティポスチャ管理（ASPM）です。ASPMはアプリケーションのライフサイクル全体を通じて包括的なセキュリティ対策を提供します。これは、データ、クラウド、AI特化など、他のさまざまなセキュリティポスチャ管理ツールとともに、セキュリティチームによる企業防御の強化を支援します。

「ASPMはここ数年で進化し、拡大しています」とIDCのDevSecOpsおよびソフトウェアサプライチェーンセキュリティのリサーチマネージャー、ケイティ・ノートン氏はCSOに語ります。「アプリケーションに関するより多くのコンテキストが必要です。組織は膨大な脆弱性のバックログに埋もれており、どの開発チームもすべてを修正することは不可能です。最も重要なものを優先し修正するために、これらのツールが必要なのです。」

このような状況から、アプリケーション環境が進化し続け、セキュリティ課題が増大する中で、ASPMの重要性はさらに高まっています。

ASPMは他のセキュリティツールと自然に補完し合うものであり、実際に複数の「ポスチャ」を組み合わせたプラットフォームを提供するベンダーも存在します。さまざまな情報源によれば、ASPMが注力すべき重要な3つの領域は以下の通りです：

• ソフトウェア開発ライフサイクル（SDLC）およびサプライチェーンパイプラインの保護
• ソフトウェアテストの自動化
• さまざまなアプリケーションと統合し、リスクを軽減・排除すること

ASPMが提供する機能は非常に幅広く、そのため、何が保護されているのか、セキュリティ判断のためにどのようなデータやメタデータが収集されているのか、問題や脅威、脆弱性がどのように管理・発見・修正されているのかを評価するのが難しい場合があります。

この広範な範囲により、ASPMと他のセキュリティツールカテゴリとの境界が曖昧になり、購入判断をさらに複雑にしています。カレブ・シマ氏は2024年にこの問題について執筆し、特定の資産のリスクを把握するのは簡単ではないと述べています。「これを正しく判断するには、CSPM（クラウドセキュリティポスチャ管理）、DSPM（データセキュリティポスチャ管理）、ASPM、IAM（アイデンティティおよびアクセス管理）など、さまざまなツールから情報を集める必要があります。これらの製品は相互に連携していないため、それぞれからレポートを生成しなければなりません。資産はアプリケーションであり、データを含み、クラウド上に存在し、権限が関連付けられている場合もあります。別々の製品からデータを集めて統合し、レビュー用に提示するのは大変な作業です。」

IDCのノートン氏は、ASPMをより簡潔に捉える方法を提案しています。「ASPMは3つのことを行うべきです。データの取り込み、優先順位付け、必要なアプリケーションの修復です。」

ASPMへの2つのアプローチ

ASPMの範囲を理解しにくい理由の一つは、ベンダーが2つの異なる方向からこの課題に取り組んでいるためです。すなわち、コードファーストかクラウドファーストかです。前者はDevOps環境に近く、ソフトウェア開発やコードパイプラインのテストに重点を置いています。後者はクラウド資産やオンプレミスアプリケーションから始め、特定のアプリケーションに遡っていきます。いずれの場合も、潜在的なセキュリティ違反を記録・修正し、コンプライアンスのためのポリシーを設定し、さまざまなデジタルシークレットを適切に管理するなど、大量のデータが収集されます。前者の例としてはCycode、後者の例としてはWizがあります。

この市場を別の視点で見ることもできます。ノートン氏はCSOにこう語ります。「『AppSec in a box』、つまり統合プラットフォームを提供するベンダーになるか、あるいは『AppSecスイス』のように、さまざまなサードパーティベンダーへのコネクターを持つか、どちらかです。」AppSec in a boxの例はCrowdstrike、後者の例はArmorCodeです。

主要なASPMベンダー

• ArmorCodeは、ソフトウェアライフサイクルと脆弱性管理を含む包括的なソリューションを提供します。最大の強みは、アプリケーションスキャナーやクラウドワークロードセキュリティツールなど250以上の統合機能です。AIアシスタント「Anya」を搭載し、より多くのセキュリティポスチャのカバーや修復の自動化にも拡大しています。
• CrowdStrike Falcon ASPMは、クラウドとオンプレミスの両方でオープンソースやカスタムコード、API、シークレット、コードパイプラインなど、アプリケーションスタック全体をカバーします。この機能は2023年のBionic買収によるものです。実行時の自動依存関係マップを提供し、修復の優先順位を導くメタデータやリスクスコアを追加します。ASPMはクラウド、エンドポイント、データを保護するFalconプラットフォームの一部です。
• Cycode ASPMは、AIネイティブプラットフォームを使ってリスクの特定と修復の自動化を行います。100以上の統合をソースコードライフサイクルツールや7種類の動的アプリケーションテストツール、さらに7つのクラウドセキュリティツールと実現していますが、これらの機能は自社製品にはありません。
• Ivanti Neurons for ASPMは、同社の脆弱性管理スイートをこの市場に拡張したものです。独自のリスクスコアリングアルゴリズムを用い、複数のスキャンやエクスプロイトソースを評価してSDLC全体のリスク要素をビジネスレベルで可視化します。80以上の統合（19種類のアプリスキャンツールを含む）をサポートしていますが、GCPやコンテナには未対応です。他の多くのベンダーと異なり、ASPMモジュールが唯一のポスチャ管理ツールです。
• Legit Security ASPMは、クラウドやオンプレミスを含む幅広い範囲のアプリケーションを統一されたポリシーで検出できます。2024年以降、AIポスチャ管理ツールとの統合を強化し、AI駆動の自動修復を提供しています。100以上の統合（Okta、Jira、Aqua、Orca、Wiz、ServiceNow、Githubなど）を持ち、複数のソフトウェアスキャンツールを備え、今年中に動的アプリケーションテストやAPIスキャンも追加予定です。
• Nucleus Securityは、脆弱性管理分野から始まり、単一プラットフォームがフル機能のASPMへと進化しました。各ユーザーが独自のリスク評価をカスタマイズし、修復の優先順位を決定できます。Nucleusは多数の統合を持ち、多くのアプリケーションスキャンツールに加え、OracleやAlibabaクラウドとも接続できます。複数のデータダッシュボードがあり、運用情報をまとめたものもあります。今後はCI/CDソフトウェアパイプラインのカバー強化も予定されています。
• Wiz.io は、Code、Cloud、Defendという3つの独立したが関連する製品でフル機能のASPMソリューションを構成しています。同社はDazzを買収し、Codeモジュールに組み込みました。それぞれがアプリケーション保護の一部を担いますが、3製品は密接に連携し、一貫したポリシー、脅威検出プロファイル、修復を提供します。Wizはビジュアル重視の製品で、複数のダッシュボードや、インフラやアプリケーション内のデータフローを可視化するAttack Pathなど詳細表示もあります。250以上の統合・コネクターを持ち、さまざまなサードパーティ製セキュリティツールと連携します。

その他、Apiiro、Brinqa、Checkmarx、Kondukto、Ox Security、Phoenix Security、Saltworks、Snykなど、当社の依頼に回答しなかった、または回答を拒否したASPMベンダーも多数存在します。

なぜ企業にASPMが必要なのか

CNAPPバイヤーズガイドでも述べた通り、この製品カテゴリは他のセキュリティ製品と密接に統合し、アプリケーションのデータを収集し、さまざまなセキュリティシグナルに基づいてアクションを起こせるツールであることも重要です。

GartnerはASPMを4つのタスクに分類しています：

• 脆弱性イベントの相関付け
• 優先順位付けとトリアージ
• コードスキャンのオーケストレーション
• リスク管理

「ASPMツールを適切に構成すれば、アプリケーションセキュリティテストツールや他の監視資産がアプリケーションライフサイクル全体で特定したセキュリティ脆弱性を効果的にトリアージし、優先順位付けするための有意義な評価を得ることができます」とGartnerは述べています。つまり、ソフトウェアパイプラインの中心でASPMが指揮を執り、全体のセキュリティ対応を主導すべきということです。

ただし、これがすべての企業にとって望ましい、あるいは必要なこととは限りません。良い点としては、独立して動作する多数のセキュリティ製品を導入している場合、担当者がこれらを手動で連携させて誤検知を排除し、修復の優先順位を付ける作業に疲れているかもしれません。一方、既に有効なオーケストレーションツールを中核として使っている場合、ASPMを導入して統合や自動化を再構築することには抵抗があるかもしれません。

ASPM導入を検討する際の質問事項

どのくらい、どの種類の統合が提供されているか？ 先述の通り、ASPMはクラウドストレージからコードスキャン、アイデンティティ管理、開発環境まで多岐にわたります。効果を評価する一つの方法は、どのように他のセキュリティ製品と連携しているかです。ここで紹介したツールはすべて100以上の統合を持ち、ArmorCodeやWizは250以上の統合を提供しています。どのベンダーも新たな統合を追加しており、この属性の重要性を示しています。

クラウドポスチャ製品が十分でないベンダーは、Wizや他のCNAPP、CSPMソフトウェアと統合しています。いくつかのベンダー（特にArmorCode、Ivanti、Nucleus）は動的ソフトウェアテストを自社で十分にカバーせず、サードパーティの動的スキャンツールと統合しています。

組み込みのアプリケーションスキャンで何が発見できるか？ 統合に次いで重要なのは、ASPM自体が提供する組み込みスキャンツールで発見されるメタデータの種類です。このデータをどのように分類・可視化・検索できるかも重要です。通常、ベンダーはさまざまなAI強化機能を活用し、スキャンから有意義なデータパターンを抽出しています。

どのクラウドやコンテナリポジトリに対応しているか？ 今回紹介したツールの多くは、Google、Microsoft、AWSという3大クラウドに対応していますが、Nucleusのように他のクラウドサービスにも深く対応しているものもあります。ArmorCodeは特にコンテナやサーバーレス環境もサポートしています。IvantiはGoogle Cloudには未対応で、コンテナのスキャンはサードパーティ統合を利用しています。

ベンダー独自の脆弱性／脅威分析チームがあるか？ 多くのASPMベンダーは、ツールで収集したメタデータを強化・相関付けるチームを持っています。ここで重要なのは、この情報がどのように取り込まれ、自社インフラやアプリケーションの詳細と組み合わされたときにどれだけ実用的かという点です。

ASPMはどのようにパッケージ化・価格設定されているか？ 他のポスチャ管理ツールと同様、正確な価格を知るには多くの場合カスタム見積もりが必要で手間がかかります。ArmorCodeのように、アプリケーションや他のポスチャ管理ツールを1つのプラットフォーム・1つの価格で提供するベンダーもあります。CrowdStrikeやWizのように複数のモジュールやツールがあり、個別に価格設定されている場合もあり、バンドル割引もあります。CyberRatings.orgのCEO、ヴィクラム・ファタク氏は「高性能な製品を提供するベンダーは、一般的に製品の透明性を確保しようとします。透明性をアピールしないベンダーには注意が必要です」とアドバイスしています。

ASPMの価格

ベンダーは全体的な製品コストの評価を難しくしており、多くは公開価格を持たず、複雑な計算式で価格を決定しています。残念ながら、この傾向はASPM分野でも続いています。

低価格帯では、AppSecの伝統を持つ2社が目立ちます。Legit Securityは開発者インスタンスごとに月額50ドル、CycodeはAWS Marketplaceで開発者ごとに月額30ドルで販売しています。どちらも数量割引があります。

CrowdStrikeのASPMは単体でも、他のポスチャやCNAPPソフトウェアバンドルの一部としても購入できます。価格はクラウド資産の規模や数などによって顧客ごとに見積もられます。AWS Marketplaceでは資産ごとに年間1,500ドルです。

Wizは、カバーされるワークロード数またはアクティブな開発者ユーザー数、および必要なモジュール（Cloud、Code、Defend）の数に基づいて価格を設定しています。

ArmorCodeは、インフラ資産（アプリケーション、コンテナ、ホストなど）や開発者ユーザー数に基づいて価格を設定しており、年間10万ドル未満から開始するのが一般的です。Ivantiも同様かそれ以上に複雑な価格戦略を採用しています。Nucleus Securityは年間2万ドルからスタートし、AWS Marketplaceでは年間10万ドルのサブスクリプションでプラットフォームを販売しています。価格は資産の数や種類に基づいています。