アプリケーションセキュリティ評価とは？

アプリケーションセキュリティ評価は、ソフトウェアのセキュリティリスクを発見し修正するプロセスです。これにより、組織は攻撃者がセキュリティを破る前に、不適切なコードや設定ミス、その他の脆弱性を特定することができます。このプロセスは、組織が安全で、コンプライアンスを遵守し、信頼性を保つのに役立ちます。

アプリケーションセキュリティ評価の目的

アプリケーションセキュリティ評価の主な目的は次の通りです：

• 悪用される前に脆弱性を検出すること
• 既存のアプリケーションセキュリティを検証すること
• PCI DSS、HIPAA、GDPRなどのさまざまなフレームワークへのコンプライアンスを確保すること
• ビジネスリスクを軽減すること
• 機密データを保護すること

アプリケーションセキュリティ評価の構成要素

優れたアプリケーションセキュリティ評価は、明確なプロセスを使用します。多くのセキュリティチームは、すべてが適切に行われていることを確認するためにチェックリストに依存しています。以下は、アプリケーションセキュリティ評価の例です：

1. 不安全な関数とロジックをチェックするためのコードレビュー。
2. アプリケーションに対してSAST、DAST、およびIASTツールを実行。
3. 認証および認可メカニズムを検証。
4. 一般的なセキュリティ問題をチェックし、OWASPトップ10を参照。
5. 依存ライブラリの脆弱性をレビュー。
6. クラウドプラットフォーム（例：AWS、Google Cloud Platform、Azure）およびコンテナプラットフォーム（例：Docker、Podmanなど）の設定をレビュー。
7. 自動化された発見を検証するために手動でペネトレーションテストを実施。
8. ビジネスへの影響に基づいてリスクを優先し、それに基づいて修正計画を作成。
9. 発見事項を文書化し、実行可能な推奨事項を作成。
10. 修正後に再テストを行い、脆弱性が解決されたことを確認。

共通のツールと技術

• 静的アプリケーションセキュリティテスト (SAST) : ソースコードを分析して脆弱性を見つけるテスト手法です。SASTツールは、コードがコンパイルされる前にスキャンします。また、ホワイトボックステストとしてもよく知られています。
• 動的アプリケーションセキュリティテスト (DAST) : 「ブラックボックステスト」とも呼ばれ、セキュリティテスターが設計システムレベルの知識やソースコードへのアクセスなしに、外部からアプリケーションをチェックします。テスターはアプリケーションの実行状態を確認し、テストツールによって行われる攻撃をシミュレートするために応答を観察します。これらへのアプリケーションの応答は、テスターがアプリケーションに脆弱性があるかどうかを確認するのに役立ちます。
• インタラクションアプリケーションセキュリティテスト (IAST) : アプリケーションが人間のテスター、または自動化されたテスト、もしくはアプリケーション機能と相互作用する活動によって実行されている間にテストするアプリケーションセキュリティテスト手法です。
• 手動コードレビューまたはペネトレーションテスト : 倫理的ハッカーによって行われるアプリケーションセキュリティテスト手法です。自動化されたセキュリティテストとは異なり、この方法は自動化されたセキュリティツールが見逃す可能性のある脆弱性が存在する現実のシナリオを使用します。

アプリケーションセキュリティ評価の課題

• 自動化ツールからの誤検知の管理
• アプリケーション全体をテストするための時間と予算のバランス
• 攻撃手法の急速な変化への適応
• 開発を遅らせることなく、モダンなDevSecOpsパイプラインに評価を統合する

アプリケーションセキュリティ評価は、サイバーセキュリティ攻撃から現代のアプリケーションを保護するための継続的なプロセスです。アプリケーションセキュリティ評価を行うことで、組織はそのアプリケーションを保護し、ビジネスと顧客の両方を守ることができます。

関連用語

• 動的アプリケーションセキュリティテスト (DAST)
• 静的アプリケーションセキュリティテスト (SAST)
• インタラクティブアプリケーションセキュリティテスト (IAST)
• ソフトウェア構成分析 (SCA)