エンドツーエンドのセキュリティ テスト - シンプルに保つ

2023/9/19 - 読み終える時間: ~1 分

End-to-End Security Testing - Keep It Simple の翻訳版です。

エンドツーエンドのセキュリティ テスト - シンプルに保つ

2023年9月13日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

セキュリティテストの複雑さは、CISO の存続の悩みの種になっています。特に、10 年にわたる技術革新と各セキュリティ分野における「最高のもの」の絶え間ない追求によって生み出されたツール群です。 しかし、HCLSoftware のソリューション アーキテクト兼アプリケーション セキュリティ エバンジェリストである Rob Cuddy への最近のインタビューでは、この「ツールのスプロール化」のジレンマに待望の光が当てられ、エンドツーエンドのすっきりとしたシンプルさへの道が開かれています。

CISO がシンプルさを好む理由

このようなシンプルさがいかに魅力的であるかを理解するには、CISO が直面する主要な課題を思い出してください。その主な課題は、「役員室に来て予算を正当化すること」だとカディ氏は指摘します。 取締役会は本質的にリスクを回避するため、セキュリティリスクを定量化し、許容範囲内に抑えるための明確な計画を求めています。 その明確さには、主要な脅威とそれに対処するために必要な手順を特定するために、リスク管理の包括的な視点が必要であるとカディ氏は主張します。

現実の世界では、これは脅威に優先順位を付け、それらの優先順位に合わせて予算を割り当てることを意味します。 実際、多くの組織は現在、リソースを豊富なターゲットに薄く分散させるというこれまでのやり方を見直し、最も必要な場所に戦略的に注意を集中させることに移行しています。 さまざまな選択肢が検討されるにつれて、エンドツーエンドの可視性が不可欠になります。つまり、その統一されたビューを実現するにはエンドツーエンドのツールも必要になります。 (セキュリティの文脈の外でも、同様の理由でバリュー ストリーム管理の人気が高まっている、と Cuddy 氏は述べています。)

IAST: アプリケーションセキュリティの可視性の向上

より具体的には、アプリケーション セキュリティの可視性を向上させる 1 つの方法は、対話型アプリケーション セキュリティ テスト (IAST) です。これは、セキュリティ テストを機能テストに組み込み、ひいては組織全体の品質の観点に組み込むと同時に、セキュリティの監視として機能します。

HCL AppScan on Cloud (および HCL AppScan 360°) は、単一プラットフォームで IAST の結果を静的テストおよび動的テストと関連付けることができます。これらの結果は一緒に表示されるため、脆弱性を比較し、リスクに優先順位を付け、それらを修正するためのリソースを割り当てることが簡単です。 。 さらに、コードを関連する脅威ベクトルと関連付けて、修正のターゲットを絞ることができます。

「そこで IAST を活用するので、これらすべてが連携し始めます。静的と対話型の両方で問題が発生している場合、それは完全に悪用可能であることを意味します。」と Cuddy 氏は説明します。

ソフトウェア開発における標準化と多様化

ソフトウェア開発環境における最近の変化は、コンポーネントベースの開発とアジャイル手法により、標準化と多様化の両方をもたらし、開発者が多様性に向かう一方で、運用チームはそれに追いつくよう努めています。 しかし、可視性、透明性、セキュリティリスクの明確な理解の必要性は依然として残っているとカディ氏は言います。 そして、人々は現在、セキュリティを考慮して設計し、プロセス全体でセキュリティ テストを行うことが最善のアプローチであると理解しているため、チームが高品質のコードをリリースするとき、その「品質」にはセキュリティが組み込まれていると彼は付け加えました。

インタビュー全文と付属のビデオは SDTimes.com で見ることができます。

IAST を含む、HCL AppScan から利用できるエンドツーエンドのアプリケーション セキュリティ テスト ソリューションの詳細をご覧いただくか、今すぐ無料トライアルにサインアップしてください。