セキュリティの新語「ASPM」とは–Snyk担当者が解説

今回は「セキュリティの新語「ASPM」とは–Snyk担当者が解説」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 セキュリティ分野に新しい言葉「ASPM」が出現した。これを提唱するベンダーはまだ数社しかなく、その1つというSnykで製品開発部門のバイスプレジデントを務めるRavi Maira氏が内容や意義などを解説してくれた。

 ASPMは、正しくは「Application Security Posture Management」(アプリケーションセキュリティ体制管理)という。Maira氏は、「ASPMは、まだ生まれて1年ほどに過ぎない。Gartnerが最近ASPMのカテゴリーを定義したばかりだ」と話す。

 そのGartnerが2023年5月に公開したレポートの概要によると、現在ASPMを導入しているエンタープライズ企業は5%になる。また、Snyk自体も6月にASPM専業ベンダーのEnso Securityの買収を表明し、この分野に進出し始めたばかりだ。

 Maira氏によれば、ASPMとはアプリケーション資産の状態や脆弱(ぜいじゃく)性管理、ソフトウェア部品表(SBOM)、ワークフロー自動化、CI/CD(継続的インテグレーション/デリバリー)パイプラインの保護、セキュリティ対応での優先順位付け、コンプライアンス、ガバナンスなどアプリケーションセキュリティの包括的な概念になる。「ASPMが登場した理由は、アプリケーションセキュリティの可視性が失われる恐れが出ているからになる」(同氏)

 Snykは、脆弱性管理ソリューションを主力とし、特にアプリケーション開発にセキュリティ上の対応を組み込む「シフトレフト」や、アプリケーションの開発から運用までプロセス全体でのセキュリティレベルの向上を図る「DevSecOps」を提唱している。

 Maira氏は、「アプリケーションセキュリティの重要性が認識されるにつれ、プロセスのあらゆる部分で静的解析や動的解析、脆弱性の検査や管理などセキュリティの対応が取り組まれるようになった。一番の課題は、各所でバラバラにツールが使われ、ツールが出力する結果もバラバラになっていることだ。可視性が失われていることで、開発者あるいはセキュリティ管理者は、バラバラなツールとその結果を見比べながら、セキュリティ問題の内容が異なるのか、あるいは同じか、誰が対応するのか、どのように対応すべきかといった難しい判断を強いられている」と指摘する。

 ASPMの主なメリットは、(1)アプリケーションのセキュリティ状況の可視化、(2)セキュリティ対応の優先順位付けの判断、(3)相関性分析、(4)リスク管理――の4つになるとのこと。「ASPMと各種ツールを連携させてアプリケーションのセキュリティの情報を集約して可視化する。これにより、例えば発覚した脆弱性の対応を急ぐべきかなどの判断もできるようになる。相関性を知ることにより対応を開発者が行うのか、セキュリティ対策の全体管理者が担うかの切り分けも明確になる。こうしてアプリケーションにまつわるセキュリティのリスクを適切に管理していけるようになる」(同氏)

 ASPMと似た言葉に「CSPM」(Cloud Security Posture Management)がある。近年、日本企業でもクラウドの利用が日常的になり、クラウド環境の設定不備などによるセキュリティ問題が表面化していることから、CSPM製品の導入も進み始めた。Maira氏によれば、CSPMではクラウドのワークロードに着目して主にはIaaSにおけるセキュリティ管理を担う。これに対しASPMは、アプリケーションに着目しており、その対象にアプリケーションが稼働するコンテナーなどが加わることもあるという。

 また、コードベースでITインフラを構築、運用する「Infrastructure as Code」(IaC)とASPMの親和性も高い。「IaCはDevOpsと同じように、コードで環境を作成、デプロイしてコードベースで運用する。IaCとASPMの考え方は近いものと言える」

 こう見るとASPMは、特にクラウドアプリケーションのセキュリティ対策に主眼を置いていると言えるだろう。Maira氏によれば、ASPMでは必ずしもクラウドアプリケーションに限定しているわけではなく、ASPMの構成要素をレガシーアプリケーションやプロプライエタリーなアプリケーションのセキュリティ対策にも適用できる。ただ、ASPMの全容としては、やはりクラウドアプリケーションを念頭に置いている。

 「今後は大半にアプリケーションがクラウドネイティブなものになっていく。そうした時代においてASPMが必須になると考えている」

(※初出時にCSPMの記載に誤植があり、修正しました。お詫びいたします。)

元記事: https://japan.zdnet.com/article/35207448/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
“オタ活”のスケジュール作りを半自動化するアプリ「シカロ」登場 「呪術廻戦」「刀剣乱舞」など13作品に対応
くらテク
2021-08-18 13:10
AIが候補者を抽出、異動先を提案 NEC子会社が自治体向けに開発
DX
2021-04-22 21:27
スペース、建設現場のDXを推進する「内装監理システム」開発–作業時間を約7割削減
IT関連
2022-11-09 05:06
Zホールディングス川辺健太郎社長インタビュー 「今のオンライン化の流れは止まらない」
IT関連
2021-02-02 06:07
日立の2022年度第2四半期は増収増益–見通し上方修正も楽観視せず
IT関連
2022-11-01 16:49
「先進のデジタル技術で日本企業のカルチャー変革を支援したい」–レッドハット新社長が意気込みを語る
IT関連
2021-02-17 01:52
Apple、ポッドキャストのサブスクに対応した「iOS 14.6ソフトウェア・アップデート」提供 iPadOS 14.6、macOS Big Sur 11.4も
IT関連
2021-05-26 13:24
働きながら旅する「デジタルノマド」–リモートワークならではの新ライフスタイル
IT関連
2022-04-21 02:04
法人向けオンライン飲み会フードボックスのノンピがクラフトビール「よなよなエール」とのコラボ新プラン発表
フードテック
2021-07-27 13:25
NTTデータグループ、2023年のサイバーセキュリティ概況総括と対策解説
IT関連
2023-12-21 07:59
富士通の中期的成長で鍵を握る「Fujitsu Uvance」の戦略
IT関連
2023-05-31 17:13
ネットショップ開設サービス「STORES」が「STORES 予約」活用の「ワクチン接種予約システム」無料提供開始
ネットサービス
2021-05-29 17:55
ゲームの祭典「E3 2021」は6月12〜15日にオンラインで無料開催へ
企業・業界動向
2021-04-08 03:53
ライフコーポレーション、生鮮部門の発注にAI需要予測を活用
IT関連
2024-02-16 13:43