Posture Managementによるセキュアなアプリケーション開発

はじめに

生活様式のデジタル化やポータブルデバイスの普及に伴い、私たちの生活の中でアプリケーションの活用機会が増加することから生活スタイルの変革を実感する機会が増えています。このようなアプリケーション駆動型の生活スタイルの裏側では要求要件の多様化と変化に追従し、利用者に成功体験を届けるための開発競争が激化することで、アプリケーションの開発モデルが大きく変革し、それに伴うセキュリティリスクへの対応が大きなビジネス課題となっています。

本書では、アプリケーション開発モデルの変革に伴うセキュリティリスクと、リスクに対応するための理想的なセキュリティ運用の考え方について解説します。

目次

1. アプリケーション開発の変革
2. アプリケーション開発フローの自動化
3. アプリケーション開発とセキュリティリスク
4. アプリケーション開発とPosture Management
5. CSPM (Cloud Security Posture Management)
6. SSPM (SaaS Security Posture Management)
7. ASPM (Application Security Posture Management)
8. アプリケーション開発プロセスへの Posture Management の適用
9. まとめ

※本ブログは、ホワイトペーパーの抜粋です。全文を読むには、『ホワイトペーパーのDLはこちら』ボタンよりダウンロードください。

1. アプリケーション開発の変革

現在のように日常生活でのアプリケーション活用が一般化し、開発競争が激化する以前はウォーターフォール型と呼ばれる個々の開発タスクを順番に完了させながら次のタスクに進むという比較的時間をかけながら確実性を重視した開発モデルが主流でしたが、近年ではアジャイル型と呼ばれる細かな機能単位で開発プロセスを実行していくことでリリース間隔を短縮する効率性重視の開発モデルが採用されるケースが多くなっています。また、開発の現場ではOSSとして提供されているツールやライブラリの活用シーンが増加し、開発に使用する新しいプラットフォームとしてIaaS, PaaS, SaaSといったパブリッククラウドサービスの利用が増加しています。更には、スピーディーで頻繁なリリースを実現するためのクラウドネイティブなテクノロジーとして、コンテナ、IaC, CI/CDといった新たなテクノロジーの採用機会も増加しています。

図1: 効率性を重視した開発モデルへの移行

2. アプリケーション開発フローの自動化

現在のアプリケーション開発に求められるスピーディーで頻繁なリリースを実現するための開発手法であるCI/CDは継続的インテグレーションであるCIと継続的デリバリーであるCDを連結した造語で、激化する開発競争の中で優位性を確保するために開発フローを自動化するための重要な技術として大きな効果をもたらしています。元々は現在ほどデジタル化が進んでいない1960年代に提唱されたSDLC(Software Development Life Cycle)と呼ばれる開発フレームワークが存在しており、その中で定義されていたソフトウェア開発の一連のプロセスの効率化と可視化を目的とした理想的なフローが現在のアプリケーション開発フローに応用され、CI/CDに受け継がれたと考えられています。

図２: CI/CDプロセス

図3: SDLCとCI/CD

3. アプリケーション開発とセキュリティリスク

前述したようにアプリケーション開発の現場ではOSSとして提供されているツールやライブラリの活用シーンが増加しており、コストを抑えながら高い品質を伴った開発を実行できるというメリットを生み出しています。その反面、OSSモジュールに含まれる脆弱性やライブラリに対するゼロディ攻撃の発生件数が多く報告されており、それらに対する利用者である開発者自らが対処しなければならないというセキュリティ運用課題が顕在化しています。代表的なセキュリティ運用課題は下記の２点です。

• 対処方法が確立されている既知の脆弱性への対処
• 未知の脅威であるゼロデイ攻撃への対処

下記にそれぞれに対するセキュリティ運用のポイントを解説します。

対処方法が確立されている既知の脆弱性への対処はシフトレフトに重点を置く

図4: シフトレフトによる脆弱性への対処

未知の脅威であるゼロディ攻撃への対処はインシデントレスポンスに重点を置く

図5: インシデントレスポンスによるゼロデイ攻撃への対処

既知の脆弱性に対してはシフトレフトのセキュリティ対策によりアプリケーションを本番環境で稼働させるフェーズまで脆弱性が持ち込まれることを予防し、未知のゼロデイ攻撃に対しては攻撃による影響から迅速にビジネスを立て直すためのインシデントレスポンスに重点を置くことでビジネスリスクの最小化を図ります。特にインシデントレスポンスに関しては、攻撃によって影響を受けたアプリケーションがどこで、どれだけ稼働しており、ビジネス的にそれらの個々のアプリケーションの重要度がどの程度かの資産情報を短期間に把握できることが重要です。

4. アプリケーション開発とPosture Management

前述したアプリケーション開発に対するセキュリティリスクに対抗するソリューションとしてPosture Managementが存在します。Posture Managementはリアルタイムな攻撃に対する防御ではなく、守るべき資産を継続監視することで、構成の誤りや脆弱性を検知し、将来的なセキュリティインシデントを予防するための仕組みを提供することで効果を発揮します。守るべき資産には、開発するアプリケーションそのものだけでなく、企業の事業活動を支えるテクノロジーはもちろん、テクノロジーを利用する人、更には事業活動のプロセスまでが含まれ、セキュリティリスクを軽減するために全てインベントリによって可視化されるべきものと判断できます。また、これらの資産は絶えず変化し続けることを前提とし、Posture Managementによって、自動化の仕組みの中で短い間隔で繰り返しの洞察が実行されます。Posture Managementによってリスク回避が可能なセキュリティインシデントの代表例としては、機密情報の漏洩、アカウントの乗っ取り、サービス停止、利用規約違反といった、企業の事業活動に大きなインパクトを与える可能性のあるものが含まれます。現在はPosture Managementソリューションの活用シーンが多様化し、多種多様なソリューションが提供されていますが、本書ではアプリケーション開発に用いるPosture Managementソリューションとして下記の3点に絞って解説します。

• CSPM (Cloud Security Posture Management)
  IaaS, PaaS運用のリスク管理
• SSPM (SaaS Security Posture Management)
  SaaS運用のリスク管理
• ASPM (Application Security Posture Management)
  アプリケーション開発プロセスのリスク管理

※続きを読むには、『ホワイトペーパーのDLはこちら』ボタンよりダウンロードください。