アプリケーション・セキュリティ(AppSec)は、公共部門を含むすべての業種にとっての重要課題です。国家の安全とセキュリティは、国家の基幹システムが正確に動作し、アップグレードをタイムリーに受信できるかどうかにかかっています。
ソフトウェア・アプリケーション、Webサイト、サプライチェーンがサイバー攻撃、データ侵害、サイバースパイ、ハッキングなどを受けるリスクは日増しに高まっています。こうした絶え間ない脅威に対抗するには、セキュリティや安全性などのソフトウェア品質を高めながら、コンプライアンスの達成、生産性の向上、そしてサイクルタイムとコストの削減も図ることができるAppSecツールを公共部門に導入する必要があります。
ソフトウェアの品質向上
ソフトウェアの品質には、セキュリティ、信頼性、安全性の要素が含まれます。
セキュリティと信頼性
ソフトウェア・コードにパッチ未適用の脆弱性や軽減されていない弱点があると、容易に悪用されてしまいます。ソフトウェアの悪用はわずかなリスクと労力で実行できる反面、大きな見返りが期待できます。セキュリティ・インシデントの90%は、ソフトウェアの不具合が悪用されることで発生しています。
アプリケーションに存在する脆弱性や弱点を検出して修正することによって非対称な優位性を獲得することは、敵対者を妨害し、攻撃の成功を阻む上で非常に大きな効果があります。
- データとプライバシーを保護する。Webサイトからのデータ流出を防ぐと共に、ソフトウェアに存在する未解決の弱点や脆弱性(技術的負債)に対処してこれらを軽減し、各種規制ガイドラインおよび標準に適合する必要があります。
- オープンソース・コンポーネントを特定する。これには、· コンポーネントに含まれるオープンソース・コードの出所や最終更新日時、そしてそのオープンソース・コードをサポートしているコミュニティに関する情報も含める必要があります。米国連邦政府は、事実上すべての部局に対し、オープンソース・コードの追跡とセキュリティ対策を義務付けています。
- 基幹システムへの投資を保護する。陸・海・空の自律システム、およびエンドツーエンドの動的なネットワーク中心の戦い(NCW)のエコシステム(ネットワークのネットワーク)に対し、極めて高い信頼性とセキュリティを備えたソフトウェアを提供する必要があります。
安全性
サイバー攻撃が激化している現在、政府機関やその請負業者は、システムに十分なセキュリティと信頼性が備わっていることを実証しなければ、そのシステムが安全であると主張できなくなっています。特に民間航空、軍用機、宇宙船、兵器システム、医療機器にとって安全性は極めて重要な問題です。
- 人命と財産を保護する。コードの品質およびセキュリティ上の問題は、誤動作を引き起こして死傷事故を招く可能性があります。
- 透明性を高める。ソフトウェア・コンポジション解析を使用してオープンソース・コードの中身を理解し、ソフトウェア部品表(SBOM)を作成する必要があります。
コンプライアンスの達成
ブラック・ダックは、FISMAの基本原則、およびNISTリスク・マネジメント・フレームワーク(RMF)やNISTサイバーセキュリティ・フレームワーク(CSF)などのフレームワークに準拠したリスク・ベースのセキュリティ・アプローチをサポートできるように支援します。AppSecツールには、ツールが対応する各標準の具体的なルールとカテゴリを列挙した詳細なレポートを生成する機能があります。
生産性と効率の向上
短時間で不具合を検出して解決できるため、開発者の時間を奪いません。
- ツールに内蔵された品質およびセキュリティ・チェッカーを使用してすべてのDevOpsプロセスを自動化する。自動化によって生産性、効率、スケーラビリティが向上し、チームはこれまでと同じ時間内により多くのプログラムやプロジェクトをこなすことができます。
- 業務効率を高める。新規リリースごとのテストにかかる時間が、多くの場合、既知の脆弱性1件につき少なくとも4~6時間削減されます。
- 次世代システムを実戦配備し、派生システムや次々世代システムの展開を加速することで長期的な競争優位性を確立する。
コストの最小化と短期間での投資回収
生産性と効率の向上は、コスト回避および短期間での投資回収という直接的な効果をもたらします。
米国における低品質ソフトウェアのコスト:2022年版レポート によると、脆弱性の多くはソフトウェアの単純なコーディング・エラーに起因しています。一般的に、コード1,000行につき平均で25個のエラーが存在すると言われています(NIST 2016)。ソフトウェアの脆弱性と弱点を減らすことは、最終的に短期間での投資回収と長期的なコスト削減につながります。
· コード開発の費用対効果を高め、コード行あたりに費やすコストと時間を節約する。
· 悪用可能なソフトウェアに起因する将来的なリスクへの曝露状況を軽減することで、大規模なセキュリティ侵害とそれに伴う高額な損害を防ぐ。
· 多大な損害をもたらすデプロイ後の誤動作を軽減することで、労働時間を短縮する。
たとえば、米国防総省と取引のある請負業者が委託したソフトウェア効率化パイロット・プロジェクトにおいて、根本原因解析、不具合特定、再コーディング、および再テストにかかる時間の節約効果を測定したところ、金額にして100万米ドル以上が削減され、チームの効率は約20%向上したという結果が出ています。
パートナーを選ぶなら、公共部門を知り尽くしたリーダーを
Gartner®やForrester®などの独立系調査会社によってAppSecテスト部門のリーダーに認定されたブラック・ダック®は、AppSecテスト業界最大のソリューション・プロバイダーとして活動するグローバル企業で、研究開発への投資も積極的に行っています。
ブラック・ダックのチームには業界に関するノウハウがあり、米国防総省、連邦および国防関連の請負業者、文民機関、情報機関などの公共部門の顧客を全力でサポートしています。
また、ブラック・ダックは組み込みおよび産業制御向けIoT、クラウドおよびコンテナ、人工知能(AI)など、業種の枠を越えた新しい革新的技術のほか、以下に示す重要インフラ部門もサポートしています。
- 航空宇宙/防衛
- 金融サービス
- 医療
- エネルギー
- 情報技術(IT)
- スマート・シティ
ソフトウェア・セキュリティ分野で認定されたリーダー
安心・安全なソフトウェアを開発するために、ブラック・ダックが多くのお客様から選ばれているのには理由があります。
スピードと効率を維持したまま、コンプライアンス、品質、セキュリティをソフトウェアに組み込む
ソフトウェア・コンポジション解析(SCA)
ファジング・テスト
動的アプリケーション・セキュリティ・テスト(DAST)
トレーニング
公共部門における複雑なコンプライアンスの問題解決をお手伝い
ブラック・ダックの社員および認定パートナーの多くは、AppSecに関する標準、ポリシー、および規制ガイドラインを策定する委員会、理事会、作業部会、プログラム、プロジェクトにAppSec専門家として参加しているか、またはその経験があります。
ブラック・ダックのDevSecOpsツールを使用することで、連邦政府機関やその請負業者は、AppSec、ソフトウェア品質、データ保護、プライバシーに関する法律、規制ガイダンス、ポリシー、標準へのコンプライアンスが容易になります。弱点や脆弱性を見つけて修正することで悪用を回避すると共に、ツールが対応する各標準の具体的なルールとカテゴリを列挙した詳細なレポートを手にすることができます。
公共部門におけるAppSecツールの購入方法
連邦政府機関やその請負業者は、ブラック・ダックの各種ツールをブラック・ダックから直接購入する以外に、米国連邦調達庁(GSA)のMultiple Award Schedule Information Technology(GSA MAS IT、以前のIT Schedule 70)を利用して米国政府サプライヤー経由で購入することで調達プロセスを迅速化できます。
ソフトウェアのデモ、無償トライアル、お見積もりのお問い合わせは、公共部門のソフトウェア・セキュリティおよび品質に精通したブラック・ダックの専門スタッフが承ります。
公共部門向けリソース
