セキュリティ関連の略語はすべて何を意味しているのか?
セキュリティツールやプラットフォーム、プロセスに関する略語の多さにうんざりしているからこそ、あなたはここにいるのでしょう。どのソフトウェアベンダーも、新たな機能で混雑した市場で差別化を図ろうとするため、開発者やセキュリティ専門家は疲れ果てています。
そこで、何が何だか分からなくなるのを防ぐための、無駄のないセキュリティ略語リストをご紹介します。
CVE: 共通脆弱性および暴露
- アプリ開発者にとってこれは何を意味するのか?
CVEは非営利団体MITREが運営する既知の脆弱性公開カタログです。1999年の開始以来、サイバーセキュリティ問題報告の標準 となり、アプリの問題をスキャンする大半のAppSecプラットフォームの基盤を提供しています。
CVEという用語はやや混乱を招く可能性があります。多くのセキュリティ関係者や企業が「CVE」を公的カタログではなく脆弱性そのものを指す言葉として使用するためです。例えば企業のウェブサイトに「当社のASPMは深刻なCVEから保護します」と記載されている場合、そのプラットフォームがコード・依存関係・クラウド設定をスキャンし、CVEカタログで公認された特定脆弱性との一致を検出することを意味します。 - 気にする必要はありますか? 👍
CVEシステム、および個々の脆弱性や危険性としてのCVEは、セキュリティにおいて重要な役割を果たします。重要なのは、それらについて通知し、円滑な修正への道筋を提供できるプラットフォームを確保することです。
SAST: 静的アプリケーションセキュリティテスト
- 別名静的解析
- アプリ開発者にとってこれは何を意味するのか?
SASTツールはソースコードの脆弱性を効果的にチェックします。開発プロセスの初期段階から、ソフトウェア開発ライフサイクル(SDLC、またもや略語です)全体を通じてセキュリティを確保する方法と捉えてください。ただし対象はコードのみです。アプリの機能性やデプロイ方法には焦点を当てていません。 - 気にする必要はありますか? 👍
SASTツールは、アプリケーションセキュリティにおけるスペルチェッカーのようなものです。ツールキットの中で、焦点を絞った、しかし不可欠な部分です。理想的には、SASTツールは 開発の可能な限り早い段階で動作します。 IDE内、コミット前のGitフックとして、またはCIパイプライン内で動作し、問題を早期に発見することで、その影響を軽減し、リソースの削減につながります。
DAST: 動的アプリケーションセキュリティテスト
- アプリ開発者にとってこれは何を意味するのか?
DASTはSASTの「動的」版と考えてください。DASTツールは本番環境に近い状態で動作するアプリケーションに対し、模擬攻撃によるテストを実施します。これにより攻撃者に発見される前にセキュリティ上の脆弱性を塞ぐことが可能です。DASTツールはアプリの用途を問いません。既知の重大攻撃に対して脆弱かどうかだけが評価対象です。 - 気にする必要がある?👍
短期的にはやや必要、長期的には確実に必要。従来、DASTはDevOpsやSecOpsエンジニアの領域だったが、より多くの組織がAppSecの責任を開発者に左シフトさせるにつれ、上層部や運用担当者は遅かれ早かれ、これらのツールとの統合や連携を求めるようになるだろう。
IAST:インタラクティブアプリケーションおよびセキュリティテスト
- 別名:RASP(下記参照!)
- アプリ開発者にとってこれは何を意味するのか?
IASTはSASTとDASTの融合体のようなもので、IDE内およびCI/CDパイプラインの一部として両方のアプローチを組み合わせます。他の2つの手法とは異なり、IASTはアプリケーション内に埋め込まれたエージェントを使用し、既存の機能テストにフックして、ハードコードされた認証情報や未検証のユーザー入力などの問題を検出します。 - 気にする必要がある?🤷
開発ライフサイクルで既にSASTやDASTツールを利用している場合、ツールキットにIAST専用の代替手段を追加しても得られるメリットは少ないかもしれません。しかし、アプリケーションセキュリティテストが初めてで、あらゆる基盤をカバーする単一のツールを選ばなければならない状況なら、包括性と結果の速さを兼ね備えたユニークな組み合わせを評価できるでしょう。
ASPM:アプリケーションセキュリティ態勢管理
- アプリ開発者にとってこれは何を意味するのか?
ASPMプラットフォームは、アプリ向けのセキュリティ可視化機能として動作します。複数のソースからデータを収集し、相関関係を検証し、文脈に応じた洞察と修復支援により複数アプリにわたる課題を優先順位付けできます。特にコンプライアンス基準が厳しい業界では、リスク評価と優先順位付けにも非常に有用です。 - 気にする必要があるでしょうか? 👍
運用や保守の観点からはおそらく不要ですが、ASPM(アプリケーションセキュリティプラットフォーム)はあらゆる規模の組織で標準となりつつあります。その目的は、セキュリティの点在するソリューションを減らし、SAST(静的アプリケーションセキュリティテスト)、DAST(動的アプリケーションセキュリティテスト)などの機能を包括する単一の包括的なAppSecプラットフォームを使用することです。したがって、いずれASPMに遭遇する可能性が高いでしょう。
CSPM:クラウドセキュリティポスチャ管理
- アプリ開発者にとってこれは何を意味するのか?
CSPM(クラウドセキュリティ運用管理)は、クラウド環境のセキュリティ可視化を実現します。これらのツールは、クラウドインフラへのリスクを特定・可視化し、サービスアカウントのアクセス制御など、将来的に問題を引き起こす可能性のある設定ミスを最適に修正する方法を提案します。 - CSPMプラットフォームはInfrastructure as Code(IaC)の実践に依存し、デプロイ前に構成ファイルをスキャンし、本番環境移行前にアラートを配信します。
- 気にする必要がある?🤷
それは一緒に働くチーム次第です。アプリ開発者としてクラウドプロバイダーの本番環境設定も担当しているなら、CSPMが視野に入るかもしれません。主にビジネスロジックに集中し、運用面は他者が担当しているなら、CSPMと関わることはまずないでしょう。
DSPM:データセキュリティ態勢管理
- 別名:「データファースト」セキュリティ
- アプリ開発者にとってこれは何を意味するのか?
他の「ポスチャー管理」カテゴリと同様に、DSPMツールは組織のデータ保存と使用状況の可視化を提供します。機密情報を特定し、保存場所や方法に伴うリスクを算出し、セキュリティ態勢を改善する道筋を示します。 - DSPMはデータ分類を自動化することも可能であり、特にインフラストラクチャ内で複数のアプリケーションやマイクロサービスベースのAPI間を流れる情報について、アプリ内での情報の取り扱い方や保存方法に影響を与えます。
- 気にする必要はありますか? 👎
一般的に、必要ありません。DSPMはサイバーセキュリティの領域に深く属しており、大規模企業やエンタープライズレベルの専任セキュリティチーム向けであり、スタートアップや中小企業における小規模なアプリ開発チーム向けではありません。
VM: 脆弱性管理
- 別名:脆弱性管理システム(VMS)、脅威と脆弱性管理(TVM)、脆弱性評価、脆弱性スキャン、技術的脆弱性管理
- アプリ開発者にとってこれは何を意味するのか?
VMは、コード、設定、クラウドデプロイメント全体にわたる脆弱性の特定と修正を包括的に行うアプローチであり、多くの場合、これらの同じ頭字語で表される追加のAppSecツールからのスキャンデータを集約することで実現されます。
これらのプラットフォームは、発見された脆弱性を共通脆弱性評価システム(CVSS)に基づいてランク付けすることで、セキュリティに関する継続的改善サイクルの実装を支援します。 これにより、直ちに対処すべき脆弱性と、次のスプリント…あるいは次の四半期まで先送りできる脆弱性を優先順位付けできます。 - 気にする必要はありますか? 🤷
これは、組織が検証中または既に使用しているVMプラットフォームの種類によって大きく異なります。
従来のVMプラットフォームは、主にITセキュリティ/運用チーム、コンプライアンス・リスク管理担当者、DevOpsエンジニア、さらにはペネトレーションテスターといった、セキュリティ経験が豊富で、コードが不安全な状態で本番環境に展開された場合に大きな影響を受ける人々の領域です。とはいえ、 一部のAppSecプラットフォームは、開発者が技術的な脆弱性を管理するのを支援するよう設計されており、誤検知が少なく、即座に関連性のある修正策を提供します。
SCA: ソフトウェア構成分析
- 別名:成分分析
- アプリ開発者にとってこれは何を意味するのか?
npm、go get、pipなどでアプリケーションに追加したすべてのパッケージを覚えていますか? それらの依存関係はそれぞれ数十ものパッケージへと広がり、コードや設定の脆弱性という新たなリスクを伴います。オープンソースパッケージの利用は生産性向上に大きく貢献しますが、セキュリティ面では重大な代償を伴うのです。
SCAツールはオープンソースのサプライチェーンをスキャンし、脆弱性やオープンソースライセンスに関する問題の可能性を検出します。即時アップデートを提供するツールもあります。 - 気にする必要はありますか? 👍👍
SCAツールを使えば、素晴らしいオープンソースのフレームワーク、プロジェクト、ライブラリを安全に基盤として活用でき、セキュリティを犠牲にすることなく、必要不可欠な開発スピードを実現できます。アプリセキュリティの基盤となる保証を求めるアプリ開発者にとって必須のツールです。
RASP: ランタイムアプリケーション自己保護
- 別名:アプリ内 保護、アプリ内ファイアウォール、組み込みアプリセキュリティ、実行時セキュリティ、IAST
- アプリ開発者にとってこれは何を意味するのか?
RASPツールはアプリケーション内に直接組み込まれ、WAF(下記参照)などの外部インフラを必要とせずに攻撃を検知・遮断します。 リアルタイムのセキュリティインサイトと「手を加えない」アプローチは魅力的ですが、アプリ内部で動作するため、パフォーマンス低下の分析が必要となります。その影響を、(No)SQLインジェクション、パストラバーサル、シェルインジェクションなどの一般的な攻撃からの保護による安心感と天秤にかける必要があります。 - 気にする必要がある? 👍
開発とセキュリティの両面で人材が不足している場合、RASPツールは自動化された攻撃からアプリとユーザーデータを保護する素晴らしい近道となります。ネットワーク型のWAFと比べて導入・管理が格段に容易なため、インフラコストや複雑さを避けたいアプリケーション開発者にとって最適な選択肢です。
Node.jsアプリケーション向けオープンソースのFirewallプロジェクトも注目すべき理由です。当社自身はRASPという用語を好んでいません(GitHubリポジトリでは一切使用していません)—Firewallは同様に動作し、コードを1行も変更することなく、すべての重大な脆弱性を検出してブロックします。
WAF: Webアプリケーションファイアウォール
- 別名:WAAP (WebアプリケーションおよびAPI保護)
- アプリ開発者にとってこれは何を意味するのか?
このオンプレミスまたはクラウドベースのデプロイメントは、インフラストラクチャの最前線に位置し、ユーザー(または攻撃者)とアプリ間の最初の接点として、DNS経由でアプリ宛のトラフィックを「傍受」します。受信リクエストの最初の数百キロバイトに対して数百もの正規表現パターンを高速に照合し、潜在的に悪意のあるコードを含むものをブロックします。
結果はRASPツールとほぼ同一ですが、WAFはアプリケーションの動作原理や本来の機能についてさらに無関心です。 - 気にする必要があるのか? 👎
私たちの控えめな意見では、必要ありません。WAFとは何か、その意図された機能を知るべきですが、アプリ開発者として、WAF領域に踏み込むよりもはるかに容易に実装できる他のAppSec戦略は数多く存在します。WAFは誤検知やパフォーマンス低下で悪名高く、正当なエンドユーザーの体験に必然的に影響を及ぼします。
Aikido と呼ぶのも好ましくないが、同等の機能をはるかに高い精度と効率で実行する。
次はどうする?
AppSecの頭字語を高速で駆け抜けたことをお祝いします!
次に学ぶべき頭字語の 痛々しいほど長いリストを無理に続けようとするか、ダークモードのIDEという安心毛布に包まってセキュリティ関連から逃げ隠れしたいかに関わらず、目標は歩くアプリセキュリティ辞書になることではないと覚えておいてください。 ASPM、CSPM、DSPMなど数多の用語の違いを10分間も説明できても誰も感心しません。彼らの具体的な状況に即した適切なアプリセキュリティツールを素早く提案できれば、そこにこそ感心されるのです。
4.7/5
今すぐソフトウェアを保護しましょう
.avif)
