AppSec の複雑さを乗り越える
Mar 11, 2025 / 1 min read
ソフトウェア開発のスピードが加速しても、セキュリティは依然として最大の懸念事項です。組織は急速なイノベーションに遅れを取らないよう努めており、俊敏性を保ちながらソフトウェア製品のセキュリティを確保するという二重の課題に取り組んでいます。
課題:AppSec の複雑さを乗り越える
ソフトウェアは、医療から金融、エンターテインメントから物流まで、あらゆる業界に浸透しています。ソフトウェアの普及に伴い、さまざまなセキュリティ上の課題も生じています。開発チームは、スピードを犠牲にすることなく、どのようにすれば時代を先取りし、安全なソフトウェアを提供できるでしょうか。その答えは、AppSec の複雑さを理解し、知見、プロセス、ツールを統合する効果的な方法を見つけることにあります。
急増するツール
セキュリティチームは、さまざまなツールを導入することで、増大する脅威に対応してきました。これらのツールは、脆弱性スキャンからコードの解析、ペネとレーション・テストから脅威モデリングまで、セキュリティのさまざまな側面に対応しています。しかし、ツールの急増によって、異なるツールによる煩雑さと複雑さ、ソフトウェア開発ライフサイクル (SDLC) における摩擦、および総所有コスト (TCO) の増大に悩まされるという、予期せぬ結果をもたらしているのです。
ベンダーの統合:戦略的な選択
効率と簡素さの必要性を認識すると、組織はベンダーの統合に目を向けるようになっています。ガートナーによると、統合を進めている組織の割合は、2020 年の 29% から 2022 年には 75% へと大幅に増加しています。しかし、統合とは単にベンダーの数を減らすことではなく、AppSec エコシステム全体を最適化することです。
ソフトウェア・セキュリティの鍵を開ける
ベテランのセキュリティエンジニアであるNouredin Ali Elsaroubi氏によれば、以下の差別化されたアプローチが重要です。
- ツールとプロセスの合理化: セキュリティ ツールとプロセスを合理化してリソース効率を向上させることで隠れた相乗効果を発見し、冗長性を排除します。
- リスクデータの優先順位付け: セキュリティプログラム全体でリスクデータを優先順位付けして、チームを集中させる方法を学びます。リアルタイムで得られた知見に基づいて意思決定を行います。
- 迅速なリスクに対する知見: 包括的なリスクに対する知見を速やかに提供する手法を検討します。特に監査が迫っている場合は、時間が非常に重要です。
クラウドにて:モダンなアプリケーション・セキュリティのプラクティス
クラウド中心の世界では、アプリケーション・セキュリティも適応する必要があります。クラウドのセキュリティ・プラクティスの専門家である Molka Elleuch 氏は、これらの問題について以下のように述べています。
- 最新のアプリケーション・セキュリティの要素: 最新の AppSec の重要な要素では、脅威モデリングからセキュア・コーディング・プラクティスまでを理解することが、クラウド・アプリケーションを保護するために不可欠です。
- 開発者の支援: 素早いコードスキャンと早期の脆弱性検出により、開発者はセキュリティの問題に積極的に対処できるようになり、開発プロセスにセキュリティをシームレスに統合するための実用的なアプローチが必要です。
- 脆弱性の低減: クラウド環境に特有の脆弱性を特定し、低減するための行動に移すことのできる戦略を見つけましょう。ツールによる解析や脅威モデリングによる分析などから得られた知見は、回復力のあるセキュリティ体制の構築に役立ちます。
AI 支援コーディングの台頭
Microsoft Copilot や ChatGPT などの AI コーディング・アシスタントは、開発者にとって強力な味方として登場しました。これらのツールは、コードスニペットの提案、エラーの検出、コンテキストの認識による推奨事項の提供によって、人間の創造性と効率性を高めます。ただし、大きな力には大きな責任が伴います。チームは、AI 生成コードに関連するリスクに対処しながら、その可能性を最大限に活用する必要があります。
Black Duck の製品マーケティング担当シニアディレクター、Patrick Carey は、リスクを軽減しながら生産性を最大化するための知見として以下の観点が重要だとしています。
主なリスクと注意事項
- セキュリティリスク: AI によって生成されたコードは、意図せず脆弱性をもたらす可能性があります。開発チームは、これらのアシスタントによって生成されたコードを厳密にレビューおよびテストし、セキュリティのベスト プラクティスに準拠していることを確認する必要があります。
- 品質リスク: AI は開発を加速できますが、必ずしも洗練されたコードや保守が容易なコードが生成されるとは限りません。速度と品質のバランスをとることが重要です。
- 知的財産リスク: ライセンスと所有権の影響に注意してください。一部の AI モデルにはオープンソースコードが組み込まれており、関連するライセンスに準拠する必要があります。
安心して利用するための安全策
- コードレビュー: 堅牢なコードレビュー・プロセスを確立しましょう。人間の目は、AI が見逃す可能性のあるニュアンスを捉えることができます。
- テスト: 厳格な静的分析や動的テストなどにより、脆弱性を早期に特定することが可能です。
- ドキュメント: AI によって生成されたコードを徹底的にドキュメント化します。その目的、依存関係、潜在的なリスクを理解することが可能になります。
EU Cyber Resilience Act:将来に備える
Black Duck のオープンソース・エバンジェリストであり、ソフトウェア・サプライチェーン・リスク戦略の責任者でもある Tim Mackey は、欧州連合のサイバーレジリエンス法 (CRA) がデジタル・サービス全体のサイバーセキュリティを強化するためのガイドラインをどのように設定しているかについて以下のように整理しています。施行は 2026 年に始まりますが、積極的な対策が不可欠です。
最新のAppSecプラクティスとの整合
- DevSecOps 統合: CRA は DevSecOps の原則に準拠しています。セキュア開発をすでに実践している組織では、多くの要件が馴染みのあるものになるでしょう。
- リスク評価: 既存の AppSec プログラムを CRA の要件に照らして評価します。ギャップを特定し、修正の優先順位を決定しましょう。
- コラボレーション: 他の規制対象分野から学びましょう。金融サービス、ヘルスケア、重要インフラストラクチャなどの業界から得た教訓は、CRA に対する取り組みに役立つでしょう。
Continue Reading
