アプリケーション・セキュリティ態勢管理(ASPM)は、開発から展開までのソフトウェア開発ライフサイクル(SDLC)全体にわたってセキュリティ脆弱性の特定、関連付け、優先順位付けを行うための信頼性の高い情報を一元的に提供する、アプリケーション・セキュリティ(AppSec)に対する包括的なアプローチです。ASPMソリューションは、さまざまなソースからのデータを関連付けて分析し、問題の解釈、トリアージ、修正を簡素化します。また、セキュリティ・ポリシーを実装するためのセキュリティ・ツールを管理および調整します。ASPMを使用すると、ソフトウェア開発環境全体のセキュリティおよびリスク状況を統合的に把握でき、それを活用してアプリケーション・セキュリティの分析結果を一元的に管理することができます。
アプリケーションの高度化が進むにつれて、組織は、アプリケーションを保護するために構築されたAppSecプログラムの複雑さと運用コストに苦しむようになっています。この複雑さにより、一貫したAppSecプラクティスの実装、アプリケーションのリスク態勢の把握、プログラム全体の効果測定が困難になります。 ASPMツールは、AppSecプログラム全体を一元管理し、セキュリティ・チームと開発チームの連携を改善し、テスト内容、検出された結果、修正対象の内容を統合的に把握できるようにすることで、これらの課題に対処します。
効果的なASPMソリューションには、いくつかの重要な機能があります。
サードパーティー製ツールとの統合:ASPMソリューションが真価を発揮するには、開発、展開、運用など、さまざまなソースからデータを取り込むことができる機能が必要です。ASPMソリューションでAppSecプログラムの有効性を高めるには、既存の開発環境内で作業できることが重要です。そのためには、手動および自動のAppSecテスト・ツール、開発ツール、問題追跡ツールと統合する機能が必要です。ASPMソリューションによって異種開発環境間で可視性を確保するには、ソフトウェア資産、セキュリティ・データ、チケットをマッピングする主要なデータソースへの接続が主な役割を果たします。
ポリシーの一元化:ASPMソリューションによりチーム、プロジェクト、ツール全体にわたってセキュリティ・プラクティスを標準化するためには、スケーラブルなAppSecワークフローが不可欠です。これを実現するには、テストと優先順位付けを調整するセキュリティ・ポリシーを一元的に定義、適用、監視するASPMソリューションが必要です。さらに、対象となるセキュリティ・ポリシーをコードで定義することにより、セキュリティ・チームと開発チームが問題の評価、統制、修正、検証をパイプライン内でシームレスに統合し、継続的なコンプライアンスを維持することができます。
優先順位付けとトリアージ:AppSec管理の最初のハードルは、関連するデータ・ポイントを統合し、ワークフローを標準化する手段を得ることですが、開発チームの生産性を維持するためには、セキュリティ・チームにもこれらのASPM機能を活用する能力が必要です。ASPMソリューションは、ツール間の結果の重複を排除し、リスク基準に対して一元的に定義されたポリシーに基づいて、最初に取り組むべき問題を優先するために役立ちます。このリスク基準には、問題の重大度、ソフトウェアの重要度、修正のために定義されたSLAを含めることができます。これらの機能により、開発チームは不要なエスカレーションを排除し、重要なセキュリティ作業に集中できます。
リスク管理:ASPMソリューションには、組織全体のソフトウェア・フットプリントを網羅したリスク態勢の全体像を捉える機能が必要です。これには、脆弱なソフトウェア・コンポーネントやアプリケーションが存在する場所、問題解決の状況、ポリシーおよびコンプライアンス違反の詳細を含める必要があります。セキュリティ・リーダーは、ASPMソリューションを活用してアプリケーションを監査し、ソフトウェアの観点から組織のリスクを把握し、AppSecプログラムの有効性に関する主要なKPIを生成する能力を備えている必要があります。
クラウド・セキュリティ態勢管理 (CSPM) と ASPM の主な違いは、前者は IaaS、SaaS、PaaS などのクラウド・ベースのサービスのセキュリティ・フットプリントのマッピングに関係していることです。 CSPM ソリューションは主に、クラウド構成とコンプライアンスの問題を分析するために使用されます。これは、アプリの開発またはホストに使用されるエコシステムとサービスのセキュリティ態勢のコンテキストを提供しますが、アプリ開発内の特定のセキュリティ問題の完全なコンテキストは提供しません。たとえば、CSPM ソリューションではクラウドにデプロイされたアプリに脆弱なコンポーネントがあるかどうかを表示できません。ここで ASPM ソリューションが重要になります。
ASPM ソリューションを使用すると、ビルドから本番環境までに実施されたすべてのテスト結果が集約されるため、セキュリティ・チームと開発チームは SDLC の各段階でセキュリティの問題を確認できます。また、この知見を活用して組織のソフトウェア・インベントリとプロジェクト構造を綿密に計画します。このレベルの粒度は、ソースコード・レベルでリスクを理解するために必要なコンテキストとガイダンスを提供します。
包括的なASPMソリューションを提供するBlack DuckのSoftware Risk Managerでは、次のことが可能です。