定義

Application Security Orchestration and Correlation(ASOC)はアプリケーション・セキュリティ(AppSec)・ソリューションに分類され、ワークフローの自動化による脆弱性のテスト・修正の効率化を支援します。ASOCソリューションは様々なAppSecソース(SAST、DAST、IASTツールなど)からデータを収集して1つのデータベースに統合し、結果の相関付けを行って重要な修正作業に優先順位を付けます。最終的な結果により、セキュリティ・チームは情報に基づいた効率的な方法でAppSec(アプリケーション・セキュリティ)のアクティビティを合理化できます。

ASOCの利点

大局的に見ると、ASOCの最大の利点はDevSecOpsの効率向上に役立つことです。アジャイル開発では迅速化とツールの向上が求められるため、セキュリティ・チームにとって適切なリソース管理と修復アクティビティが大きな課題となります。ASOCはその課題に取り組む上で重要な役割を果たします。

ASOCはセキュリティの取り組みに様々な利点をもたらします。

  • リソース割り当ての向上:ASOCを開発環境に導入すると、既存のプラクティスを妨げることなく、重要な修復の優先順位付け情報が得られます。AppSecツールが検出した膨大な脆弱性の中には、コードの修正が不要な誤検知が混在している可能性があります。そのため、指摘された問題に対して本当に注意が必要かどうかを判断するための評価が必要になり、作業の過負荷の原因となります。ASOCソリューションは結果の重要度に優先順位を付けてリソースとコストの節約を可能にします。
  • 脆弱性の一元管理:開発環境で使用する各AppSecツールはアプリケーション・セキュリティで重要な役割を果たしますが、結果の出力形式はツールによって異なります。また、複数のツールで同じ問題が発生する可能性があります。すべてのAppSecツールの結果から不要なデータを除去する作業は時間がかかり、開発が遅れる原因になります。ASOCソリューションでは、複数のAppSecツールと手動テストによる解析結果が集約されます。異なるツールで同じ問題が指摘された場合には重複が除去され、残りのすべての結果が自動的に相関付けされ、中央ハブに一元化されて優先順位が付けられます。 
  • リスクに対する理解の向上:ASOCにより、CISOおよび開発リーダーはアプリケーション・ポートフォリオ内の高リスクのプロジェクトを即座に発見できます。また、チームの脆弱性管理やAppSecのアクティビティがどの程度の成果を上げているかを時系列で示す指標が得られます。これらの指標を参照することで、アプリケーション・セキュリティの面でチームがどの程度の成果を上げているかを把握し、それに応じて調整を行うことができます。
  • 連続的な自動スキャン:ASOCソリューションには組織が使用するすべてのセキュリティ・ツールの自動スキャンをスケジュールする手段が用意されているので、アプリケーションを手動でスキャンする必要がありません。ツールの実行頻度と実行するアクションはすべて、ASOCソリューション内で定義および設定できます。これにより、断片的または個別のスキャン・アクティビティが不要になります。
  • AppSecプロセスの自動化:ASOCソリューションを使用すると、事前に定義されたチーム横断型のワークフローの設定および自動化が簡単にできます。セキュリティ・エンジニアと開発チーム間のコミュニケーションに頼るのではなく、合意されたプロセスから逸脱した場合には両チームに通知されます。

ASOCでアプリケーション・セキュリティとCI/CDとのギャップを埋める方法

AppSecの一般的な問題は、脆弱性管理とCI/CD(継続的インテグレーション/継続的開発)パイプラインの分離です。ASOCでは、複数のソースから得られた統合テスト結果を1つのツールに一元化して結果を関連付け、リスクの高い脆弱性に優先順位を付けることでギャップを埋めることができます。これにより、開発速度に遅れを生じることなく、CI/CDパイプライン内のセキュリティ・オーケストレーションが可能になります。


ASOCが将来のアプリケーション・セキュリティにもたらす意義

セキュリティ・チームに対する要求が増え続ける中、セキュリティ・チームと開発チームに課される脆弱性の過負荷を軽減するために、ASOCの役割は間違いなく重要性を増していきます。既存のパイプラインで継続的に自動スキャンを行うASOCソリューションでは、単一のソースから、組織で使用されるすべてのツールの自動スキャンをスケジュールできます。将来的には、AppSecは、ASOCを信頼できる唯一の情報源として採用し、その情報源を活用してAppSecポートフォリオを効果的かつ効率的に管理する方向に向かう可能性が高いでしょう。


シノプシスの支援方法

包括的なASPMソリューションを提供するSynopsysのSoftware Risk Managerでは、次のことが可能です。

  • ポリシー駆動型のAppSecを大規模に実装する テストの実行と脆弱性管理のためのパラメータを指定するセキュリティ・ポリシーを定義し、実施する
  • 異なるアプリケーション・セキュリティ・テスト・ツール間のユーザーエクスペリエンスの統一 チーム間のツール統合を改善しながら、人材確保とオペレーションを簡素化します。
  • 脆弱性レポートと管理の統合 プロジェクト、チーム、ツール全体で脆弱性の報告と管理を統合し、正規化、重複排除、優先順位付けを実行してセキュリティ・リスクの全体像を提示
  • 開発ワークフローにおけるAppSecの統合とオーケストレーションの簡素化 セキュリティ・ワークフローを既存の開発ツールチェーンに統合し、既存のプロジェクトとビルドの迅速なオンボーディングを実現
  • コアとなるAppSecの最適化 一元化された統合ソリューションでコア・テスト機能の効率的な展開、管理、レポート作成を実現

Software Risk Manager がどのようにセキュリティ活動を合理化し、テスト結果に優先順位をつけるかについて、詳しくはこちらをご覧ください。