セキュリティの新語「ASPM」とは–Snyk担当者が解説

今回は「セキュリティの新語「ASPM」とは–Snyk担当者が解説」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 セキュリティ分野に新しい言葉「ASPM」が出現した。これを提唱するベンダーはまだ数社しかなく、その1つというSnykで製品開発部門のバイスプレジデントを務めるRavi Maira氏が内容や意義などを解説してくれた。

 ASPMは、正しくは「Application Security Posture Management」(アプリケーションセキュリティ体制管理)という。Maira氏は、「ASPMは、まだ生まれて1年ほどに過ぎない。Gartnerが最近ASPMのカテゴリーを定義したばかりだ」と話す。

 そのGartnerが2023年5月に公開したレポートの概要によると、現在ASPMを導入しているエンタープライズ企業は5%になる。また、Snyk自体も6月にASPM専業ベンダーのEnso Securityの買収を表明し、この分野に進出し始めたばかりだ。

 Maira氏によれば、ASPMとはアプリケーション資産の状態や脆弱(ぜいじゃく)性管理、ソフトウェア部品表(SBOM)、ワークフロー自動化、CI/CD(継続的インテグレーション/デリバリー)パイプラインの保護、セキュリティ対応での優先順位付け、コンプライアンス、ガバナンスなどアプリケーションセキュリティの包括的な概念になる。「ASPMが登場した理由は、アプリケーションセキュリティの可視性が失われる恐れが出ているからになる」(同氏)

 Snykは、脆弱性管理ソリューションを主力とし、特にアプリケーション開発にセキュリティ上の対応を組み込む「シフトレフト」や、アプリケーションの開発から運用までプロセス全体でのセキュリティレベルの向上を図る「DevSecOps」を提唱している。

 Maira氏は、「アプリケーションセキュリティの重要性が認識されるにつれ、プロセスのあらゆる部分で静的解析や動的解析、脆弱性の検査や管理などセキュリティの対応が取り組まれるようになった。一番の課題は、各所でバラバラにツールが使われ、ツールが出力する結果もバラバラになっていることだ。可視性が失われていることで、開発者あるいはセキュリティ管理者は、バラバラなツールとその結果を見比べながら、セキュリティ問題の内容が異なるのか、あるいは同じか、誰が対応するのか、どのように対応すべきかといった難しい判断を強いられている」と指摘する。

 ASPMの主なメリットは、(1)アプリケーションのセキュリティ状況の可視化、(2)セキュリティ対応の優先順位付けの判断、(3)相関性分析、(4)リスク管理――の4つになるとのこと。「ASPMと各種ツールを連携させてアプリケーションのセキュリティの情報を集約して可視化する。これにより、例えば発覚した脆弱性の対応を急ぐべきかなどの判断もできるようになる。相関性を知ることにより対応を開発者が行うのか、セキュリティ対策の全体管理者が担うかの切り分けも明確になる。こうしてアプリケーションにまつわるセキュリティのリスクを適切に管理していけるようになる」(同氏)

 ASPMと似た言葉に「CSPM」(Cloud Security Posture Management)がある。近年、日本企業でもクラウドの利用が日常的になり、クラウド環境の設定不備などによるセキュリティ問題が表面化していることから、CSPM製品の導入も進み始めた。Maira氏によれば、CSPMではクラウドのワークロードに着目して主にはIaaSにおけるセキュリティ管理を担う。これに対しASPMは、アプリケーションに着目しており、その対象にアプリケーションが稼働するコンテナーなどが加わることもあるという。

 また、コードベースでITインフラを構築、運用する「Infrastructure as Code」(IaC)とASPMの親和性も高い。「IaCはDevOpsと同じように、コードで環境を作成、デプロイしてコードベースで運用する。IaCとASPMの考え方は近いものと言える」

 こう見るとASPMは、特にクラウドアプリケーションのセキュリティ対策に主眼を置いていると言えるだろう。Maira氏によれば、ASPMでは必ずしもクラウドアプリケーションに限定しているわけではなく、ASPMの構成要素をレガシーアプリケーションやプロプライエタリーなアプリケーションのセキュリティ対策にも適用できる。ただ、ASPMの全容としては、やはりクラウドアプリケーションを念頭に置いている。

 「今後は大半にアプリケーションがクラウドネイティブなものになっていく。そうした時代においてASPMが必須になると考えている」

(※初出時にCSPMの記載に誤植があり、修正しました。お詫びいたします。)

元記事: https://japan.zdnet.com/article/35207448/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
ノーコードツールAppSheet、Google Workspace有償プランで追加料金なく利用可能に
Google
2023-07-20 20:42
ウエルシア薬局、人事・労務の社内対応にAIチャットボットを活用–問い合わせ件数を70%削減
IT関連
2022-11-18 11:59
「Linux」でのファイル/フォルダー管理で知っておくべきコマンド5選
IT関連
2024-04-12 10:22
「PostgreSQL 17」が公開に–パフォーマンスを向上、多くの新機能を追加
IT関連
2024-09-28 14:35
クリテオ、「リセラープログラム」にアッパーファネル向けの機能拡張
IT関連
2022-11-24 07:32
「Oracle Database@Google Cloud」正式提供開始。Google Cloud上にOracle Cloudのインフラを持ち込み。Oracle CloudWorld 2024
Google Cloud
2024-09-11 11:13
デジタル人材を一から育成–デロイトに聞く、“包括的な”障害者雇用の舞台裏
IT関連
2024-04-02 18:33
LegalForce、シリーズDラウンドで137億円の資金調達–海外進出も明らかに
IT関連
2022-06-25 07:32
日立製作所、政府などの情報を安全に扱えるクラウド「VMware Sovereign Cloud Initiative」に国内初参加
VMware
2022-06-29 17:09
IDaaS分野のリーダーOktaがAuth0を買収する狙い
IT関連
2021-03-09 01:23
第34回:最近、社長はひとり情シスと話していますか?
IT関連
2021-05-27 14:23
「学習者に合った教育プログラムを展開したい」–AWSが投資するクラウド人材育成
IT関連
2024-01-06 10:49
「ChatGPT」、チャット履歴の無効化が可能に
IT関連
2023-04-28 22:58
ロンドンの電動キックスクーター実験にDott、Lime、Tierの3社が選ばれる
モビリティ
2021-05-19 13:14