CISOの78%という大多数が、アプリケーションセキュリティ(AppSec)の攻撃対象領域が現状では管理不能であることに懸念を示しており、改善の必要性を強調している。
この数値は、Application Security Posture Management(ASPM)企業Cycodeが初めて発行したレポート The State of ASPM 2024に基づく。
米国のCISO、AppSecディレクター、DevSecOpsチームメンバー500人を対象とした調査に基づくこの研究は、AppSecにおける既存の課題を浮き彫りにしている。
レポートでは、セキュリティチームと開発チームの関係が悪化しているという重大な問題が明らかになり、回答者の90%が改善の必要性を認識している。興味深いことに、CISOの77%は、生成AIやオープンソースといった新興技術よりも、ソフトウェアサプライチェーンのセキュリティの方がAppSecにとってより大きな盲点だと捉えている。
「業界予測にもかかわらず、当社の調査はASPM導入までの期間がはるかに短いことを示しています」とCycodeのCEO、Lior Levyは述べた。「現在の注目はAIに集中していますが、ソフトウェアサプライチェーンのセキュリティ問題は同等、あるいはそれ以上に重要であり、どのASPMソリューションにも最高水準の機能が必要です。」
AIセキュリティについて詳しく読む: ISACAの調査で、AIがデジタルトラスト専門人材の需要を生み出すことが判明
研究で強調された顕著な課題の一つは、AppSecのリスクと活動の優先順位付けである。CISOの85%という憂慮すべき割合が、開発チームが脆弱性ノイズとアラート疲れに悩まされ、協働が妨げられていることを認めている。
回答者の88%が認識しているこのアラート疲れは、開発者が重要な脆弱性の修正対応を後回しにすることにもつながり、重大なセキュリティリスクをもたらしている。
さらにレポートは、組織内におけるアプリケーションセキュリティの責任範囲が曖昧である点を強調した。回答者の77%という大多数が、アプリケーションセキュリティのオーナーシップを特定するのが難しいと感じており、この領域でより明確化が必要であることを示している。
関係悪化に寄与する多面的な問題に対処するにあたり、レポートは、複数のセキュリティツールの管理が、その本質的な複雑さゆえにセキュリティ専門家の75%にとって課題となっていると指摘している。
「Cycodeレポートの調査結果の多くは、市場で私たちが目にしている状況と一致しています。まず、ソフトウェアサプライチェーンセキュリティの重要性が挙げられます」とIDCのシニアリサーチアナリスト、Katie Nortonはコメントした。
「当社の2023年『DevSecOps Adoption, Techniques and Tools』調査では、脆弱なソフトウェアサプライチェーンがアプリケーションセキュリティにおける主要なギャップとして特定されました。また、IDCの調査では、企業が開発者とセキュリティの不整合に苦慮しており、連携の促進を優先していることも分かりました。」
AIとソフトウェアサプライチェーンの保護に関する詳細は、SonatypeのデベロッパーアドボケイトであるDan Connによるこの分析で確認できる。
翻訳元: https://www.infosecurity-magazine.com/news/cisos-concerned-appsec/
