この記事は、AppDynamics Team によるブログ「Seven steps to strengthen your security posture」(2022/10/26)の抄訳です。
アプリケーション・セキュリティが大切な理由と、セキュリティ態勢を強化するうえで重要な 7 つのステップについて詳しく説明します。
セキュリティ侵害が発生した場合や脅威が検出された場合、あなたの組織ではどのような標準的な手順として定められているでしょうか。総動員で火消しに当たるのか、あるいは、セキュリティファーストのアプローチとセキュリティのテストに基づいて、もっと系統立った方法で対応することになっているのでしょうか。この質問に答えられないなら、組織のセキュリティ態勢を改善する時期に来ているのかもしれません。では、どこから着手すべきかを見ていきましょう。
セキュリティ態勢:概要と重要性
セキュリティ態勢とは、簡単に言えば、セキュリティが組織にどの程度浸透しているか、あるいは、攻撃が発生したり脆弱性が特定されたりした場合の対応策をどの程度準備しているかを示すバロメーターです。通常は、内部プロセスを整備し、対応計画を策定して、脆弱性を自動的に検出するツールを使ってインシデントとリスクの深刻度を関連付けます。このような態勢を整え、対応、修復、復旧の取り組みを迅速かつスムーズに進められるようにするのです。また、自社が所有していないものを含め、テクノロジー資産全体をどの程度可視化できているかを、セキュリティというレンズを通して測る指標としてセキュリティ態勢を使用することもできます。
攻撃者は絶えず脆弱性を探求していて、機密データは常に危険にさらされています。そのため、組織を保護するためには、セキュリティへの取り組みを定期的に評価して強化することが欠かせません。強固なセキュリティ態勢を整えている組織では、セキュリティを最優先事項と考えるリーダーが存在し、完全無欠で安全なデジタル ユーザー エクスペリエンスを提供すること、また、アプリケーションとビジネスを保護するための適切なツールを確実に導入することを基本方針として掲げています。
セキュリティ態勢を見直すための 7 つのステップ
1.セキュリティ評価の実施
リスク評価を実施すれば、リスクを分析、評価、優先順位付けして、対応方法や役立つツールを決定できます。その際、NISTが提供するのフレームワークなどを活用できます。こうした評価を行い、それを基準としてセキュリティ・ファーストのロードマップを策定すれば、戦略的に組織全体の意識を高め、態勢を強化することができます。
2.インシデント管理計画の策定
インシデント管理計画は、侵害が検出された後に実行すべき手順を決めるもので、将来の被害からの復旧にかかる時間を短縮するのに役立ちます。どのチームがどのような責任を担うのかを把握していれば、コミュニケーションが円滑になり、コラボレーションも促進されます。侵害を想定した演習を実行してインシデント管理計画の有効性を測定すれば、それを基準に、徐々に計画を見直して強化していくことができます。
3.ビジネスへの影響に応じた優先順位付け
直面しているリスクと脆弱性を特定したら、次にパッチの適用と修復を行います。ビジネスクリティカルなアプリケーションのリスクに最優先で対処することで、時間とコストを節約します。リスク評価のプロセスを確立すれば、より効率的な方法で修正対応を進め、時間と労力を管理できるようになります。
4. DevSecOps プラクティスの導入
たとえばセキュリティ監査の実施頻度が四半期や半年に一回では、その間に攻撃や侵害が発生しかねません。次のようなテスト手法を導入すれば、日々のアプリケーション監視業務にセキュリティを組み込むことができます。
- 静的アプリケーション セキュリティ テスト(SAST):コードを検査し、脆弱性の特定に役立てます。
- 動的アプリケーション セキュリティ テスト(DAST):管理者に、ギャップや脆弱性を特定するのに役立つ攻撃者サイドの視点を提供します。
- インタラクティブ アプリケーション セキュリティ テスト(IAST):SAST と DAST を組み合わせ、ソフトウェア・インストルメンテーション(計測;アクティブまたはパッシブ)を使用してアプリケーションの振る舞いを監視します。
- ランタイムアプリケーションの自己防御(RASP):リアルタイムのアプリケーションデータを使用し、攻撃が発生すると同時に検出して被害を軽減します。
5. サイロの解消
IT チームがサイロ化されている組織では、適切なコミュニケーションが不足しがちです。その場合、脅威に見舞われた際に最悪の結果につながる可能性が高まります。協力的な文化を育んでおくことで、侵害の前後や侵害が発生している最中に各チームがどのような影響を受けるかを技術者が把握できます。アプリケーション開発を開始する時点で、セキュリティを組み込んだ DevSecOps ポリシーに移行することにより、チーム間できちんとコミュニケーションを取ることができ、協力的な文化をさらに醸成することができます。
6. 脅威の検出と修復を自動化
今日のアプリケーションでは格納されているデータの量があまりにも膨大なため、システム管理者があらゆる潜在的な脅威に先手を打つことはほぼ不可能です。管理者任せにしておくと、アプリケーションに存在する避けられないセキュリティギャップへの対処でヒューマンエラーが発生するリスクが高まります。RASP では、セキュリティをアプリケーションに組み込み、脅威の検出を自動化します。これにより、人間が介入することなく脅威を自動的に検出して修復できるようになります。
7. 必要な更新を定期的に適用する
強固なセキュリティ態勢を維持するためには、ツールとプラクティスを定期的に更新し、最適な結果が得られるよう改善しなければなりません。セキュリティチームは、セキュリティテクノロジーの新たな進歩と最新の脅威の進化に応じて変更を加える必要があります。定期的に更新と再評価を行うようスケジュールを設定しておけば、攻撃者は古い手口を使えなくなります。
コードのリリースサイクル中もサイバーセキュリティを最優先にすることで、脅威や侵害に対する防御を厚くすることができます。アプリケーションの監視とセキュリティを自動化するメリットについて、詳しくは Cisco Secure Application のページをご覧ください。Cisco Secure Application は AppDynamics の一機能としてご利用いただけます。