セキュリティの新語「ASPM」とは–Snyk担当者が解説

今回は「セキュリティの新語「ASPM」とは–Snyk担当者が解説」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 セキュリティ分野に新しい言葉「ASPM」が出現した。これを提唱するベンダーはまだ数社しかなく、その1つというSnykで製品開発部門のバイスプレジデントを務めるRavi Maira氏が内容や意義などを解説してくれた。

 ASPMは、正しくは「Application Security Posture Management」(アプリケーションセキュリティ体制管理)という。Maira氏は、「ASPMは、まだ生まれて1年ほどに過ぎない。Gartnerが最近ASPMのカテゴリーを定義したばかりだ」と話す。

 そのGartnerが2023年5月に公開したレポートの概要によると、現在ASPMを導入しているエンタープライズ企業は5%になる。また、Snyk自体も6月にASPM専業ベンダーのEnso Securityの買収を表明し、この分野に進出し始めたばかりだ。

 Maira氏によれば、ASPMとはアプリケーション資産の状態や脆弱(ぜいじゃく)性管理、ソフトウェア部品表(SBOM)、ワークフロー自動化、CI/CD(継続的インテグレーション/デリバリー)パイプラインの保護、セキュリティ対応での優先順位付け、コンプライアンス、ガバナンスなどアプリケーションセキュリティの包括的な概念になる。「ASPMが登場した理由は、アプリケーションセキュリティの可視性が失われる恐れが出ているからになる」(同氏)

 Snykは、脆弱性管理ソリューションを主力とし、特にアプリケーション開発にセキュリティ上の対応を組み込む「シフトレフト」や、アプリケーションの開発から運用までプロセス全体でのセキュリティレベルの向上を図る「DevSecOps」を提唱している。

 Maira氏は、「アプリケーションセキュリティの重要性が認識されるにつれ、プロセスのあらゆる部分で静的解析や動的解析、脆弱性の検査や管理などセキュリティの対応が取り組まれるようになった。一番の課題は、各所でバラバラにツールが使われ、ツールが出力する結果もバラバラになっていることだ。可視性が失われていることで、開発者あるいはセキュリティ管理者は、バラバラなツールとその結果を見比べながら、セキュリティ問題の内容が異なるのか、あるいは同じか、誰が対応するのか、どのように対応すべきかといった難しい判断を強いられている」と指摘する。

 ASPMの主なメリットは、(1)アプリケーションのセキュリティ状況の可視化、(2)セキュリティ対応の優先順位付けの判断、(3)相関性分析、(4)リスク管理――の4つになるとのこと。「ASPMと各種ツールを連携させてアプリケーションのセキュリティの情報を集約して可視化する。これにより、例えば発覚した脆弱性の対応を急ぐべきかなどの判断もできるようになる。相関性を知ることにより対応を開発者が行うのか、セキュリティ対策の全体管理者が担うかの切り分けも明確になる。こうしてアプリケーションにまつわるセキュリティのリスクを適切に管理していけるようになる」(同氏)

 ASPMと似た言葉に「CSPM」(Cloud Security Posture Management)がある。近年、日本企業でもクラウドの利用が日常的になり、クラウド環境の設定不備などによるセキュリティ問題が表面化していることから、CSPM製品の導入も進み始めた。Maira氏によれば、CSPMではクラウドのワークロードに着目して主にはIaaSにおけるセキュリティ管理を担う。これに対しASPMは、アプリケーションに着目しており、その対象にアプリケーションが稼働するコンテナーなどが加わることもあるという。

 また、コードベースでITインフラを構築、運用する「Infrastructure as Code」(IaC)とASPMの親和性も高い。「IaCはDevOpsと同じように、コードで環境を作成、デプロイしてコードベースで運用する。IaCとASPMの考え方は近いものと言える」

 こう見るとASPMは、特にクラウドアプリケーションのセキュリティ対策に主眼を置いていると言えるだろう。Maira氏によれば、ASPMでは必ずしもクラウドアプリケーションに限定しているわけではなく、ASPMの構成要素をレガシーアプリケーションやプロプライエタリーなアプリケーションのセキュリティ対策にも適用できる。ただ、ASPMの全容としては、やはりクラウドアプリケーションを念頭に置いている。

 「今後は大半にアプリケーションがクラウドネイティブなものになっていく。そうした時代においてASPMが必須になると考えている」

(※初出時にCSPMの記載に誤植があり、修正しました。お詫びいたします。)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
パナソニックHD、AIモデル学習時のデータ構築コストを削減する新技術
IT関連
2023-05-25 01:05
パーソルP&T、半導体を基板製造の仕入先・納品先から追跡する新サービス
IT関連
2022-10-27 13:27
DX推進に向けたデータ活用で企業が解決するべき課題
IT関連
2021-01-20 03:44
ドコモ、ファミリー割引で方針転換 ahamo契約者も“家族の一員” 割引率を下げず
企業・業界動向
2021-01-16 16:04
インテル、元幹部S・シェノイ氏を再登用–Design Engineering Group責任者に
IT関連
2021-01-28 08:25
「熱中症警戒アラート」気にする人は1割に満たず タニタ調べ
くらテク
2021-07-20 11:38
デル・テクノロジーズ、ハイエンドストレージの新製品発売
IT関連
2022-08-24 04:54
「100ワニ映画」の荒らし行為、「新宿バルト9」が現場になった理由
くらテク
2021-07-10 04:09
OPSWAT、製造業など3領域のインフラ保護に注力–国内事業戦略を発表
IT関連
2024-07-06 07:56
落合陽一氏ら創業のPxDTが「好みの周波数帯で高い吸音率を実現する」吸音材iwasemi販売
ハードウェア
2021-03-06 05:34
「Duet AI for Google Workspace」、2024年初頭から「Gemini」搭載へ
IT関連
2023-12-15 11:56
「Android版LINEやGmailが開けない」報告相次ぐ ゲームアプリにも影響、原因はWebView機能?
セキュリティ
2021-03-24 15:00
NFTゲーム開発のdouble jump.tokyoと日本発のブロックチェーン「Plasm Network」のStakeが提携発表
ブロックチェーン
2021-06-15 09:58
契約審査「LegalForce」、法律事務所向け「LegalForceひな形」を提供
IT関連
2022-07-14 04:52