アプリケーション・セキュリティー・テストに投資する5つの主な理由
2020/6/12 - 読み終える時間: 3 分
HCL はアプリケーションのセキュリティー確認を行うためのツールである AppScan などを開発・販売しています。アプリケーションのセキュリティーの重要性は改めて説明するまでもありませんが、だからこそ HCL Software はこの分野に (も) 重点的な投資を行っています。そのあたりを説明した英語版ブログの 5 Key Reasons to Invest in Application Security Testing の翻訳を掲載します。
アプリケーション・セキュリティー・テストに投資する5つの主な理由
著者: Neil Jones / Senior Product Marketing Manager for HCL Software’s AppScan solution
先日開催された「IT Spending Forecast, 1Q20 Update- View from the Peak」と題したウェビナーでは、アナリスト企業であるガートナー社は、2020年のIT支出全体が2019年と比較して8%減少すると予測しています。つまり、ガートナーは今年、3.4兆ドル(そう、1兆ドル!)以上が情報技術に費やされると予測しています。
マクロなIT購買動向にもかかわらず、ガートナーは今年はITセキュリティーソフトウェアの支出が約10%増加すると予測しています。私のブログの目的は、なぜアプリケーション・セキュリティーがミッション・クリティカルな投資とみなされるべきなのかを、あなたとあなたの経営陣が理解できるようにすることです。
アプリケーションセキュリティー:5つの重要な理由
今日のダイナミックなビジネス環境では、どのようにして経営陣にアプリケーションセキュリティーへの投資を促すことができるでしょうか?少なくとも 5 つの重要な理由があります。
理由 1: アプリケーションは、これまで以上に顧客のビジネスへのライフラインであること
Mobile App Daily の最近の調査によると、企業は主に顧客サービスの向上(回答者の38%)、Web体験の拡大(26%)、収益の増加(24%)のためにモバイルアプリケーションの存在を活用していることが明らかになりました。残りの12%の組織は、主に顧客ロイヤルティを促進するためにモバイルアプリケーションを利用していました。これらがすべて重要なビジネスモチベーターであることに同意するでしょう。
そして、その特定の調査は、ちょうどCOVID-19の経済的影響が世界経済に影響を与え始めた2020年3月に更新されました。顧客がモバイルやWebアプリケーションを介して顧客とのやり取りのほとんどすべてを行うようになったときに、ミッションクリティカルなアプリケーションがセキュリティーの脆弱性によってダウンしていたとしたら、あなたの組織に与える影響を想像してみてください。
理由2:2020年には、貴社のブランドこそが最も重要であること
あなたの個人的なビジネスの大半を今年行った企業を考えてみてください。その企業は、あなたが最も信頼している企業である可能性が高いでしょう。ブランドエージェンシー Underscore のニール・スタンホープ氏は、「ブランドはこれまで以上に重要に (Brand Matters…more than ever,)」と題した記事の中で、「ブランドの評判とは、既存の顧客からだけでなく、市場全体から見て、あなたの会社がどのように認識されているかということです」と説明しています。危機の時には、人々はすぐに自分が知っていることや信頼できること、あるいは市場の権威や口コミにどのように働きかけるかに目を向けます。"
さて、あなたが好んで利用している他社サービスのひとつで、このような前例のない時代ですが、重大なセキュリティー侵害を受ける事象が発生したらどうなるか想像してみてください。そのビジネスに対するあなたの印象はどのように変わるでしょうか?あなたのお気に入りのビジネスは、平均 392 万ドル(Ponemon Instituteの調査に基づく)の推定データ侵害コストに直面しただけでなく、その風評被害も甚大なものになったでしょう。これらはすべて、顧客が一般的にそのサービスと直接対話することができないタイミングに発生していたことでしょう。
理由3:脅威となる行為者は休暇を取らないということ
2020年には、世界の多くが限られた営業時間とワーク・フロム・ホーム環境に適応していますが、サイバー脅威のアクターは、これまでと同様に生産性の高い活動を行っています。TechBeacon がまとめたITセキュリティーの調査では、Web アプリケーションの最大 92% に悪用される可能性のあるセキュリティー上の欠陥や弱点が含まれており、企業が Web アプリケーションの脆弱性にパッチを当てるのには、深刻度に関わらず平均 38 日かかっていると報告しています。米国国土安全保障省 (DHS) のサイバーセキュリティー・インフラセキュリティー庁 (CISA) と英国の国立サイバーセキュリティーセンター(NCSC)の共同アラートでは、今年 4 月に相次いだ重大なサイバー攻撃が詳細に報告されています。
そして、悪意のある行為者が悪用するアプリケーションには事欠かない。Webサイト「アプリのビジネス」では、2019年第1四半期の時点で、ユーザーは260万個のAndroidアプリと220万個のiOSアプリの中から選択できるアプリを持っていると推定しています。そして、それらのアプリはすべて、悪意のあるアクターから保護される必要がありました さらに、2018年だけで1940億のアプリダウンロードが行われたと推定されています。
最初からより安全なコーディングを奨励するために、私が勤務している会社では、コーディング中にセキュリティーの脆弱性を検出する無料のコードエディタ拡張機能「HCL AppScan CodeSweep」を提供しています。上のリンクをクリックすると、対応しているCodeSweep言語のリストを見ることができます。また、CodeSweepについて詳しく知るために、YouTubeの簡単なビデオを見ることもできます。
理由4:影響力の高い脆弱性に焦点を当てるのは簡単ではないこと
アプリケーション・セキュリティー・テスト技術の最も強力な利点の一つは、最も重要な脆弱性、特に組織のインフラに影響を与える可能性が最も高い脆弱性に焦点を当てることができることです。最初のアプリケーション・セキュリティー・スキャンのセットアップがいかに容易かについては、HCL AppScan Standardのビデオをご覧ください。
理由5: データ・プライバシーに関する規制が次々と導入されること
カリフォルニア州消費者プライバシー法(CCPA)
米国では、National Conference of State Legislatures (NCSL) が州別の民間企業のデータセキュリティーに関する法律のリストを管理しています。
その中でも最も顕著なものの一つが CCPA で、「合理的なセキュリティー手順と実践を実施し維持する義務に違反した」ことが原因で発生した違反行為に対して、対象となる企業に罰則を科すことができます。同法は、どのようなセキュリティー手順と実践が「合理的」とみなされるべきかを定義するまでには至っていませんが、カリフォルニア州は以前に、合理的なセキュリティー実践を構成するとみなすセーフガードの概要を説明しています。
これらのセキュリティー対策は Center for Internet Security が公表している20のデータセキュリティー対策に基づいています。 #CISリストの第4位は、継続的な脆弱性評価と修復であり、リストの第18位は、アプリケーション・ソフトウェア・セキュリティーである。これらの対策は、どちらもアプリケーション・セキュリティーに直接関連しています。(CISのリンク先では、アクセスするためにログインが必要な場合があることに注意)。
NYDFS サイバースセキュリティー規則(23 NYCRR 500)
ニューヨークの NYDFS の Cybersecurity Regulation 500 は、特に金融機関に焦点を当てています。NYDFSは、対象となる金融機関に対し、詳細なサイバーセキュリティー計画の導入、最高情報セキュリティー責任者(CISO)の指定、包括的なサイバーセキュリティーポリシーの制定、サイバーセキュリティー事象に関する継続的な報告システムの開始と維持を求めている。この規則はまた、Section 500.08 に、内部および外部アプリケーションに関する具体的な文言を含んでいる。
NYDFS の Section 500.08 には、以下に要約される特定のアプリケーション・セキュリティー要件も含まれている。
"(a) 各対象事業体のサイバーセキュリティープログラムには、対象事業体が利用する社内開発アプリケーションの安全な 開発手法の使用を確実にするために設計された文書化された手順、ガイドライン、および基準が含まれ、また、対象事業 体の技術環境のコンテクスト内で、対象事業体が利用する外部開発アプリケーションのセキュリティーを評価、評価、 またはテストするための手順が含まれているものとする。
(b) このような手順、ガイドライン、および基準はすべて、対象事業体の CISO (または適格な指名者) が定期的に見直し、評価し、必要に応じて更新するものとします。
PIPEDA と GDPR
米国以外の国では、カナダの個人情報保護・電子文書法 (PIPEDA, The Personal Information Protection and Electronic Documents Act) や欧州の一般データ保護規則 (GDPR、General Data Protection Regulation) などの規制が増えています。カリフォルニア州のアプローチと同様に、カナダでも遵守すべき特定のセーフガードは規定されていませんが、詳細についてはこちらをご覧ください。また、GDPRがアプリケーション・セキュリティー・テストに与える影響について説明している最近のビデオもご覧ください。
アプリケーション・セキュリティーはコンプライアンスへの取り組みの一つの要素に過ぎず、組織は常に包括的な計画を策定する必要があることを常に念頭に置いておく必要があります。
アプリケーション・セキュリティー・テストを実施する準備はできていますか?
アプリケーション・セキュリティー・テストの効果をよりよく理解できましたか?HCL AppScan on Cloud の30日間の無料トライアルに今すぐ登録して、アプリケーション・セキュリティー・テクノロジーをご自身で試すことができます。また、当社のアプリケーション・セキュリティー・ソリューションの詳細なデモについては、当社までお問い合わせください。皆様とお会いできることを楽しみにしています。