セキュリティの新語「ASPM」とは–Snyk担当者が解説

今回は「セキュリティの新語「ASPM」とは–Snyk担当者が解説」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 セキュリティ分野に新しい言葉「ASPM」が出現した。これを提唱するベンダーはまだ数社しかなく、その1つというSnykで製品開発部門のバイスプレジデントを務めるRavi Maira氏が内容や意義などを解説してくれた。

 ASPMは、正しくは「Application Security Posture Management」(アプリケーションセキュリティ体制管理)という。Maira氏は、「ASPMは、まだ生まれて1年ほどに過ぎない。Gartnerが最近ASPMのカテゴリーを定義したばかりだ」と話す。

 そのGartnerが2023年5月に公開したレポートの概要によると、現在ASPMを導入しているエンタープライズ企業は5%になる。また、Snyk自体も6月にASPM専業ベンダーのEnso Securityの買収を表明し、この分野に進出し始めたばかりだ。

 Maira氏によれば、ASPMとはアプリケーション資産の状態や脆弱(ぜいじゃく)性管理、ソフトウェア部品表(SBOM)、ワークフロー自動化、CI/CD(継続的インテグレーション/デリバリー)パイプラインの保護、セキュリティ対応での優先順位付け、コンプライアンス、ガバナンスなどアプリケーションセキュリティの包括的な概念になる。「ASPMが登場した理由は、アプリケーションセキュリティの可視性が失われる恐れが出ているからになる」(同氏)

 Snykは、脆弱性管理ソリューションを主力とし、特にアプリケーション開発にセキュリティ上の対応を組み込む「シフトレフト」や、アプリケーションの開発から運用までプロセス全体でのセキュリティレベルの向上を図る「DevSecOps」を提唱している。

 Maira氏は、「アプリケーションセキュリティの重要性が認識されるにつれ、プロセスのあらゆる部分で静的解析や動的解析、脆弱性の検査や管理などセキュリティの対応が取り組まれるようになった。一番の課題は、各所でバラバラにツールが使われ、ツールが出力する結果もバラバラになっていることだ。可視性が失われていることで、開発者あるいはセキュリティ管理者は、バラバラなツールとその結果を見比べながら、セキュリティ問題の内容が異なるのか、あるいは同じか、誰が対応するのか、どのように対応すべきかといった難しい判断を強いられている」と指摘する。

 ASPMの主なメリットは、(1)アプリケーションのセキュリティ状況の可視化、(2)セキュリティ対応の優先順位付けの判断、(3)相関性分析、(4)リスク管理――の4つになるとのこと。「ASPMと各種ツールを連携させてアプリケーションのセキュリティの情報を集約して可視化する。これにより、例えば発覚した脆弱性の対応を急ぐべきかなどの判断もできるようになる。相関性を知ることにより対応を開発者が行うのか、セキュリティ対策の全体管理者が担うかの切り分けも明確になる。こうしてアプリケーションにまつわるセキュリティのリスクを適切に管理していけるようになる」(同氏)

 ASPMと似た言葉に「CSPM」(Cloud Security Posture Management)がある。近年、日本企業でもクラウドの利用が日常的になり、クラウド環境の設定不備などによるセキュリティ問題が表面化していることから、CSPM製品の導入も進み始めた。Maira氏によれば、CSPMではクラウドのワークロードに着目して主にはIaaSにおけるセキュリティ管理を担う。これに対しASPMは、アプリケーションに着目しており、その対象にアプリケーションが稼働するコンテナーなどが加わることもあるという。

 また、コードベースでITインフラを構築、運用する「Infrastructure as Code」(IaC)とASPMの親和性も高い。「IaCはDevOpsと同じように、コードで環境を作成、デプロイしてコードベースで運用する。IaCとASPMの考え方は近いものと言える」

 こう見るとASPMは、特にクラウドアプリケーションのセキュリティ対策に主眼を置いていると言えるだろう。Maira氏によれば、ASPMでは必ずしもクラウドアプリケーションに限定しているわけではなく、ASPMの構成要素をレガシーアプリケーションやプロプライエタリーなアプリケーションのセキュリティ対策にも適用できる。ただ、ASPMの全容としては、やはりクラウドアプリケーションを念頭に置いている。

 「今後は大半にアプリケーションがクラウドネイティブなものになっていく。そうした時代においてASPMが必須になると考えている」

(※初出時にCSPMの記載に誤植があり、修正しました。お詫びいたします。)

元記事: https://japan.zdnet.com/article/35207448/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
Insight Techと東京海上日動、「事故対応支援AIモデル」を構築
IT関連
2023-02-11 20:07
NTT西と野村萬斎さん、狂言のDX化に取り組む
DX
2021-03-17 15:05
富士通が注力する「Uvance」はSAPとの協業拡大で勢いづくか
IT関連
2023-09-23 08:46
ヴァージン・ギャラクティックとブランソン氏は宇宙への乗客初打ち上げを祝う
宇宙
2021-07-13 19:54
エネルギー卸取引マーケットプレイスeSquare運営のenechainが総額20億円調達、今後3年間で10倍以上の流動性増加を目指す
IT関連
2022-01-27 23:50
生成AIによる変化の影響が最も大きいのはキャリア中堅層–Indeed調査
IT関連
2023-10-28 10:06
「テストフェーズをなくす」–テスト自動化のオーティファイが掲げる目標
IT関連
2022-12-28 20:29
会員制捜索ヘリサービス「ココヘリ」を運営するAUTHENTIC JAPANが総額2.2億円の資金調達実施
その他
2021-03-06 21:45
Apple決算、収益54%増の新記録 iPhone、iPad、Mac売上大幅増
IT関連
2021-04-30 05:05
清水建設、全社向けデータ活用システムに「Denodo Platform」を導入
IT関連
2024-03-22 11:09
確定申告スタート 電子申告で“密”回避、支援サービス続々
IT関連
2021-02-18 15:39
イクシスと大成建設、BIMとロボットを連携させた設備点検を共同実証
IT関連
2022-06-16 06:19
トレンドマイクロ、法人セキュリティ製品体系「Trend Micro One」を発表
IT関連
2022-04-28 23:48
セキュリティを底上げするアタックサーフェスのリスク管理
IT関連
2023-05-11 00:17