継続的なセキュリティリスクの発見と削減:前編

  • takahashi

※本ブログは、弊社が提供するホワイトペーパー「Continuously Discover and Eleminate Security Risk in Production Apps」を前後編に分けて和訳・意訳したものです。

コンテンツ

  1. 本番稼働中のアプリにおけるセキュリティリスクの継続的な発見と削減
  2. 継続的アプリケーション監視
  3. 納期の遅滞なくアプリケーションを発見し保護する
  4. アプリケーションディスカバリーとリスクプロファイリング

※以降のコンテンツは後編となります。

本番稼働中のアプリにおけるセキュリティリスクの継続的な発見と削減

アプリケーションセキュリティイニシアチブの第一歩は、リスクエクスポージャー(リスクに晒される箇所)がどこにあるのかを理解することです。特に脆弱な稼働環境では尚更です。開発プロセスの一環としてセキュリティに対応する組織は増えていますが、開発現場以外でアプリケーションセキュリティの可視性を確保することは非常に難しいのが現状です。

継続的アプリケーション監視

ネットワーク脆弱性診断および監視プログラムは、アプリケーション層の脆弱性に関して実用的なインサイト(深い理解)を提供せず、不正なシグニチャベースのスキャンのノイズでユーザーを悩まします。開発中に脆弱性を発見することは、アプリケーションセキュリティを長期的に確保する上で不可欠ですが、今日のレガシーアプリケーションを標的とする攻撃には無力に等しいです。そのため、新規アプリケーション、セキュリティが不十分なアプリケーション、リスクプロファイルの変更、ゼロデイ攻撃などからアプリケーションセキュリティリスクを継続的に監視および保護する必要があります。

納期の遅滞なくアプリケーションを発見し保護する

Micro Focusのクラウドサービス、Fortify on Demandには、アプリケーションセキュリティテスティングサービスの他に継続的アプリケーション監視サービスがあり、アプリケーションのデプロイとセキュリティのギャップを埋めるのに役立ちます。このサービスは、アプリケーションディスカバリー(アプリケーションの発見)に継続的な動的スキャン、リスクプロファイリング、ランタイム保護を組み合わせたサブスクリプションサービスで、ユーザーが公開しているWebアプリケーションのポートフォリオに関するリスクを可視化します。ディスカバリースキャンは毎月自動的に行われ、新しい外部アプリケーションを特定し、その結果はスコアリングされ、ランク付けされたリスクのリストに表示します。発見されたアプリケーションは、リスクプロファイリングスキャンなどに登録することができます。

スキャン結果とビジネス要因に基づき、クリティカルなアプリケーションに対しより深い動的スキャンとランタイム保護が追加できます。継続的にアプリケーションを監視することは、ソフトウェアセキュリティ保証プログラムを始める理想的な第一歩であり、デプロイ後のアプリケーションに対する動的および静的テストの補完となります。

ContinuousApplicationMonitoring.PNG

アプリケーションディスカバリーとリスクプロファイリング

皆さんは、自分の会社がどんなWebアプリケーションをどこに配置しているか知っていますか?Fortify on Demandの継続的アプリケーション監視サービスは、外部に公開されているソフトウェアポートフォリオを迅速かつ定期的に把握できます。企業、部門、ブランド、リージョンなど、代表的なサイトはすぐに把握できるでしょうが、それ以外は追跡が困難な場合があります。例えば、マーケティングサイトやキャンペーンサイトは、増え続けるシャドーITの最たる要因です。また、M&Aは、ほぼ一晩でソフトウェアポートフォリオを大幅に拡大させます。アプリケーションセキュリティ担当者やマネージャーは、絶え間なく進化する攻撃を監視し、テストのための継続的なソリューションを必要とします。

アプリケーションディスカバリーは、継続的アプリケーション監視サービスの一部として毎月実施されます。公開されているアプリケーションを特定するため、幾つかの簡単な情報を必要とします。企業ドメインと企業名は必須情報で、オプションとしてIPアドレスの範囲やキーワードを渡すことが出来ます。弊社のサービスは自動かれており、複数の高度なドメインまたはエンドポイントベースの検出手法を使用して、公開されているWebアプリケーションを特定します。検出されたアプリケーションは検証の後、更に反復的に検出するためのフィードバックとして使用されます。HowApplicationDiscoveryWorks.PNG

ディスカバリープロセスの一環として、アプリケーションのリスクプロファイルに役立つ特定の基準を探索します。それらは、サイトの目的、個人識別情報(PII)の収集、認証機能、Webテクノロジー(アプリケーションサーバー、クライアントサイドのJavaScriptライブラリ)などです。集められた情報は、リスクランキングとスコアリングを生成するために使用されます。アプリケーションセキュリティの担当者は、プロファイリングされたアプリケーションのリストから、リタイアするサイトと、アプリケーションセキュリティプログラムで確認して登録するサイトを決定できます。

●アプリケーションディスカバリーのユースケース:

  • ソフトウェアセキュリティプログラムを開始する前にアプリケーションインベントリのカタログを作成する
  • アプリケーションセキュリティイニシアチブまたはプログラム成長のビジネスケースを確立する
  • 世界中で見える化を維持し、常に進化する中規模から大規模のアプリケーションポートフォリオを確立する

※後編に続きます。

タグ:
カテゴリ: