企業のアプリケーションセキュリティをより効果的に管理する 4 つの重要なポイント

2020/6/27 - 読み終える時間: 3 分

セキュリティー対策の重要性は WHF が実施されてから、さらに高まってきています。HCL AppScan の主な機能はアプリケーションの脆弱性検査ですが、脆弱性検査を大幅に効率化することで、間接的に WFH のよるさまざまな負荷を軽減する効果もあります。このことを解説した英語版ブログ 4 Key Take-Aways: Manage Application Security More Effectively in Your Enterprise の翻訳版を掲載します。

企業のアプリケーションセキュリティをより効果的に管理する 4 つの重要なポイント

2020年6月24日

著者: Neil Jones / Senior Product Marketing Manager for HCL Software’s AppScan solution

7 月 14 日、HCL AppScan チームは Managing Application Security in a Global Enterprise と題したウェビナーを開催します (イベントへの登録はこちら から) 。

このセッションでは、HCL Software の CISO である Joe Rubino と HCL AppScan の VP である Dave Munson が、以下のトピックについて議論します。

• グローバル組織におけるセキュリティの変化のペースに対応し続けること。
• 大量のセキュリティ環境における「アナリストの疲労」に対処するためのベストプラクティス。
• 今日の「在宅勤務」環境におけるセキュリティ管理の維持。
• 人工知能技術がアプリケーション・セキュリティ・テストに与える影響

私のブログの目的は、ウェビナーで発表されるそれぞれのトピックに関連した 4 つの重要な「取り除くべきこと」 (Take-Out) を提供することです。ぜひ、より多くのことを学んでいただきたいと思います。

セキュリティの変化のペースに追いつく

私が出会ったアプリケーションのセキュリティ統計の中で、これほど説得力のあるものはありません。TechBeacon が最近まとめたレポートによると、ウェブアプリケーションの 92%が、潜在的に悪用される可能性のあるセキュリティ脆弱性を含んでいることがわかりました。

また、報告書によると、脆弱性の 86%が公開から 24 時間以内にパッチが利用可能な脆弱性であったにもかかわらず、ウェブアプリケーションの脆弱性にパッチを当てるのに平均 38 日かかっていることがわかりました。これらの調査結果から、セキュリティチームが急速な変化のペースに追いつくのに困難な時間を費やしていることが推察できます。

排除すべきこと #1.

変化のペースは速くなる一方です。組織は、セキュリティの急速な変化のペースに適応するためのベストプラクティスを実施する必要があります。

アナリストの疲労に対処する

アナリストの疲労は、正式に「もの」になっています。Healthcare IT News 誌に掲載された最近の調査によると、80% 以上のセキュリティアナリストが、セキュリティ・オペレーション・センター (SOC) では、前年にアナリストの離職率が 10% から 50% の間であったと報告しています。

さらに、回答者の 70％が、1 日に 10 件以上のアラートを調査する必要があると報告しており、前年の 45％ から増加しています。また、回答者のうち、主な担当業務はセキュリティ脅威の分析と修正であると答えたのは、前年の 70% から 41% にとどまりました。

排除すべきこと2.

アナリストの疲労に対処するための戦略を採用して、アナリストを維持し、能力を高める必要があります。

在宅勤務環境への適応

MIT の Erik Brynjolfsson 教授が率いる学術チームは、2020年 4月のワーキングペーパーの中で、COVID-19 のパンデミックの結果、調査回答者の約半数が在宅勤務をしていることを明らかにした。特に、オフィスに通勤する代わりに在宅勤務に切り替えた人の割合は、当時の回答者の約 34％ を占めていた。また、COVID-19 流行前に在宅勤務をしていたと回答した人の割合は約15％で、現在も継続している。この変化は、ニューヨークタイムズ紙が 2020 年 6 月に "What if Working from Home Goes on...Forever?" と題した記事を掲載したほどで、注目すべきものなのです。

排除すべきこと #3.

ソフトウェア開発プロセスでは、当面の間、リモートワークを行う可能性が高いため、新しい環境でも生産性とセキュリティを維持できるようにする必要があります。

AI技術でアプリケーションのセキュリティを強化する

上記のセクション 1 で紹介した Healthcare IT News の調査では、回答者の半数以上が、総所見の 50% 以上を占める偽陽性所見を調べなければならなかったと報告しています。想像してみてください-真陽性のアラート数が増加しているだけでなく、偽陽性のアラート数も増加しているのです。

HCL AppScan の Intelligent Finding Analytics (IFA) 機能のような人工知能/機械学習技術は、偽陽性所見とノイズを 90% 以上削減するのに役立ちます。IFA については、YouTube の簡単なビデオをご覧ください。

排除すべきこと #4.

機械学習の分野は常に進化しており、お客様の専門的なニーズに最も適した技術を導入する必要があります。人工知能/機械学習技術は、SOC チームの生産性を向上させながら、組織が最も重要な脆弱性に焦点を当てるのに役立ちます。

7月14日に参加してみませんか？

2020年7月15日 午前零時-01:00 (日本時間) に開催されるライブ・ウェビナーに参加することで、上記の各排除すべきことについてより詳しく知ることができます。このセッションはライブイベントの後にリプレイでもご覧いただけます。皆様にお会いできることを楽しみにしています。