セキュリティの新語「ASPM」とは–Snyk担当者が解説

今回は「セキュリティの新語「ASPM」とは–Snyk担当者が解説」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 セキュリティ分野に新しい言葉「ASPM」が出現した。これを提唱するベンダーはまだ数社しかなく、その1つというSnykで製品開発部門のバイスプレジデントを務めるRavi Maira氏が内容や意義などを解説してくれた。

 ASPMは、正しくは「Application Security Posture Management」(アプリケーションセキュリティ体制管理)という。Maira氏は、「ASPMは、まだ生まれて1年ほどに過ぎない。Gartnerが最近ASPMのカテゴリーを定義したばかりだ」と話す。

 そのGartnerが2023年5月に公開したレポートの概要によると、現在ASPMを導入しているエンタープライズ企業は5%になる。また、Snyk自体も6月にASPM専業ベンダーのEnso Securityの買収を表明し、この分野に進出し始めたばかりだ。

 Maira氏によれば、ASPMとはアプリケーション資産の状態や脆弱(ぜいじゃく)性管理、ソフトウェア部品表(SBOM)、ワークフロー自動化、CI/CD(継続的インテグレーション/デリバリー)パイプラインの保護、セキュリティ対応での優先順位付け、コンプライアンス、ガバナンスなどアプリケーションセキュリティの包括的な概念になる。「ASPMが登場した理由は、アプリケーションセキュリティの可視性が失われる恐れが出ているからになる」(同氏)

 Snykは、脆弱性管理ソリューションを主力とし、特にアプリケーション開発にセキュリティ上の対応を組み込む「シフトレフト」や、アプリケーションの開発から運用までプロセス全体でのセキュリティレベルの向上を図る「DevSecOps」を提唱している。

 Maira氏は、「アプリケーションセキュリティの重要性が認識されるにつれ、プロセスのあらゆる部分で静的解析や動的解析、脆弱性の検査や管理などセキュリティの対応が取り組まれるようになった。一番の課題は、各所でバラバラにツールが使われ、ツールが出力する結果もバラバラになっていることだ。可視性が失われていることで、開発者あるいはセキュリティ管理者は、バラバラなツールとその結果を見比べながら、セキュリティ問題の内容が異なるのか、あるいは同じか、誰が対応するのか、どのように対応すべきかといった難しい判断を強いられている」と指摘する。

 ASPMの主なメリットは、(1)アプリケーションのセキュリティ状況の可視化、(2)セキュリティ対応の優先順位付けの判断、(3)相関性分析、(4)リスク管理――の4つになるとのこと。「ASPMと各種ツールを連携させてアプリケーションのセキュリティの情報を集約して可視化する。これにより、例えば発覚した脆弱性の対応を急ぐべきかなどの判断もできるようになる。相関性を知ることにより対応を開発者が行うのか、セキュリティ対策の全体管理者が担うかの切り分けも明確になる。こうしてアプリケーションにまつわるセキュリティのリスクを適切に管理していけるようになる」(同氏)

 ASPMと似た言葉に「CSPM」(Cloud Security Posture Management)がある。近年、日本企業でもクラウドの利用が日常的になり、クラウド環境の設定不備などによるセキュリティ問題が表面化していることから、CSPM製品の導入も進み始めた。Maira氏によれば、CSPMではクラウドのワークロードに着目して主にはIaaSにおけるセキュリティ管理を担う。これに対しASPMは、アプリケーションに着目しており、その対象にアプリケーションが稼働するコンテナーなどが加わることもあるという。

 また、コードベースでITインフラを構築、運用する「Infrastructure as Code」(IaC)とASPMの親和性も高い。「IaCはDevOpsと同じように、コードで環境を作成、デプロイしてコードベースで運用する。IaCとASPMの考え方は近いものと言える」

 こう見るとASPMは、特にクラウドアプリケーションのセキュリティ対策に主眼を置いていると言えるだろう。Maira氏によれば、ASPMでは必ずしもクラウドアプリケーションに限定しているわけではなく、ASPMの構成要素をレガシーアプリケーションやプロプライエタリーなアプリケーションのセキュリティ対策にも適用できる。ただ、ASPMの全容としては、やはりクラウドアプリケーションを念頭に置いている。

 「今後は大半にアプリケーションがクラウドネイティブなものになっていく。そうした時代においてASPMが必須になると考えている」

(※初出時にCSPMの記載に誤植があり、修正しました。お詫びいたします。)

元記事: https://japan.zdnet.com/article/35207448/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
“音声版Twitter”のClubhouse、記者が体験 ディープな話や本音が聞けた (1/2 ページ)
アプリ・Web
2021-01-28 16:12
サイバーセキュリティクラウド、ウェブAPIの保護をOSSで公開
IT関連
2024-01-18 10:30
「Raspberry Pi」をオフグリッドで動作させるには–太陽光発電にトライ
IT関連
2023-06-11 12:48
アクセンチュア、資生堂と合弁会社を設立–新しいビューティー体験の実現目指す
IT関連
2021-05-11 10:57
[速報]マイクロソフト、クラウドPC専用シンクライアント「Windows 365 Link」発表
Microsoft
2024-11-20 10:19
ブックオフ、テキストマイニングツールで月間2万件超のVOC分析を強化
IT関連
2023-05-19 05:33
日本のDevSecOps、普及の鍵は大企業–SnykのマクレガンVP
IT関連
2022-07-26 01:18
クラウドネイティブ化がLINEのネットワーク開発にもたらしたスピード。テレコム企業はOSSとどう付き合うのか。Cloud Native Telecom Operator Meetup 2022[PR]
クラウド
2022-12-08 15:09
イベントマーケティングは「チームスポーツ」、Vendeluxは最高の投資利益率のために企業を指導
IT関連
2022-01-31 09:18
AIがヒット曲を量産? 人気曲の特徴を学習、メロディやコード進行を自動生成するアプリ登場
ネットトピック
2021-02-23 07:00
いらすとや風のイラストを生成する「AIいらすとや」が正式提供–商用利用も可能
IT関連
2023-08-12 04:07
Xiaomi、5G・FeliCa対応で2万円のスマホ「Redmi note 9T」 ソフトバンク独占
企業・業界動向
2021-02-03 13:19
amplified ai、特許文献を基にした推論や提案を行う機能を提供
IT関連
2023-07-06 22:37
富士通CTと日本リーテック、伐採作業を効率化するAIアプリを実証
IT関連
2021-07-14 13:20