アプリケーションセキュリティに有効なプルーフポイント

  • takahashi

※本記事は以下の記事を翻訳・意訳したものです。
https://community.softwaregrp.com/t5/Protect-Your-Assets/My-favorite-proof-points-for-an-application-security-program/ba-p/1621546#.Wmk0e6hl82x

数年前、私は自宅で泥棒の被害に遭いました。この時に、友人や同僚から「防犯システムを導入していなかったのか?」という言葉を掛けられました。そのため、すぐに防犯システムを導入しました。その後、改めて防犯システムの費用対効果をざっくりと計算してみると、11年と3カ月毎に泥棒を防止すると採算が取れることが分かりました。

上の例は自宅のセキュリティについてのものですが、企業においても同様のことを考えなければなりません。サイバー犯罪に遭った企業は社内外から「セキュリティを導入していなかったのか?どんな種類のセキュリティを採用していたのか?」という質問を受けるでしょう。非常に厄介ではありますが、これらの質問に十分な回答ができなければ、法的責任が問われる可能性も出てきます。

セキュリティにも色々な領域があります。不正な通信を防ぐネットワークセキュリティ、サーバーなど機器そのものを堅牢にするエンドポイントセキュリティ、サーバー上で稼働するアプリケーションの脆弱性に対応するアプリケーションセキュリティ、アプリケーションが取り扱うデータの盗難や悪用を防ぐデータセキュリティなどです。現代のセキュリティ対策は一つの領域のみの対策だけでは不十分で、複数のセキュリティ領域で対策を行い、多層的にセキュリティを確保する多層防御の考えが標準となっています。

この中で注目したいのがアプリケーションセキュリティです。インターネットやクラウドが当たり前となった現在では、アプリケーションは、ユーザーとのインターフェースとなり、重要なデータを取り扱う重要な領域です。しかし、攻撃者から見ると、セキュリティ対策が緩く(または行われておらず)、脆弱な状態で公に晒されている攻撃の恰好の標的でもあります。

アプリケーションセキュリティの価値は、セキュリティ侵害の後で振り返れば明白です。しかし、多くの企業では、アプリケーションセキュリティへの投資は少なく、その価値を事前に気づくのは難しい状況です。そのため、攻撃を受ける前に、企業が保有するアプリケーションに対しそのセキュリティの価値を立証し、アプリケーションセキュリティへの投資を正当化しなければなりません。

費用対効果を考えるにあたり、以下のメリットが関係してきます。

  1. コスト削減
    ・SDLCにアプリケーションセキュリティ組み込み自動化、手動による作業が減少。
    ・アプリケーションの脆弱性に起因するシステムダウンの状態が減少。
  2. リスク軽減
    アプリケーションの脆弱性に起因するダウン状態が減少(ダウン期間が短縮)することで、以下のメリットが生じる。
    ・エンドユーザーがアクセスできない時間を低減。
    ・開発、保守において問題の特定や解決に関連する作業が減少。
    ・収益が保護される。
    ・SLA(Service Level Agreement: 合意サービス水準)の不遵守に対する罰金が減額される。
    ・市場価値の低下や法的影響といったペナルティが低減。
  3. Time to Value(価値実現時間)の短縮
    ・アプリケーションの市場投入を迅速化することで利益が向上。

上記のメリット得るために費用対効果を計算する際に、注目すべきプルーフポイントを幾つか紹介します。

  1. サイバー犯罪のリスクは大きくなる一方である。『2017 Cost of Cyber Crime Study』(Ponemon InstituteとAccentureによる共同調査)によると、セキュリティ侵害の年間の平均件数は27.4%の純増加であることが報告されている。適切なセキュリティシステムが導入されていなければ、逆にコスト増となる恐れがある。本レポートには、組織で発生するサイバー犯罪の関連コストは平均1,170万USドルとの報告がある。本レポートにより、a) セキュリティインテリジェンスシステム、 b) 自動化、オーケストレーション、機械学習、c) サイバー分析とユーザー振る舞い分析 に対する支出の増加が実証された。
  2. 費用対効果を検討することは、最適なサービスやツールの選択につながる。独立系コンサルティング会社のMainstayが実施したMicro Focusの『Fortify』に関するカスタマーエビデンスリサーチの結果が、ホワイトペーパー『Fortifyによるビジネス価値の継続的デリバリ』にまとめられている。本レポートでは、多くの組織がFortifyにより以下の効果があったと報告している。
    ・アプリケーションの市場投入の迅速化
    ・災害時のリカバリとデータ侵害のコスト低減
    ・3rdパーティ開発ベンダーのサービスからより多くの価値を入手

Mainstayは、Fortifyにより開発チームとセキュリティチームの状況が一変すると報告しています。Fortifyのエンドツーエンドのアプリケーションセキュリティソリューションは、組織に対し、より高速で効果的なアプリケーションコードのテストと脆弱性の修正を実現します。重要なプルーフポイントは、Fortifyの使用により選別作業と修復作業がこれまでの平均で10倍の速度で終了できた(例えば、20日かかったものが1~2日で終了)と報告している点です。スピードとパフォーマンスの押し上げを実現しているのは、誤検知をほぼゼロにし、根拠がしっかりとした脆弱性を分離して迅速な修復を行う、新世代の選別ツールおよびテクノロジーです。

こちらから、ホワイトペーパー『Fortifyによるビジネス価値の継続的デリバリ』(日本語版のダウンロード可)と、Fortifyアプリケーションセキュリティソリューションの詳細を確認できます。

タグ:
カテゴリ: