Cover Image

リスクから修復へ: API セキュリティで安全なアプリを構築する
2024/2/27 - 読み終える時間: ~1 分

From Risks to Remediation: Building Secure Apps with API Security の翻訳版です。

リスクから修復へ: API セキュリティで安全なアプリを構築する

2024年2月26日

著者: Cristina Suchland / Integrated Marketing Manager, Secure DevOps

デジタルトランスフォーメーションの時代には、世界中の人々や組織が、クリックやスワイプでほとんど瞬時に、膨大な量の情報を手に入れることができます。このような状況を可能にしている、増え続けるウェブアプリケーションの背後にあるセキュリティ機能について、立ち止まって考えてみる価値があります。個人情報が漏れたり、金銭が盗まれたり、サイバーウイルスの攻撃を受けてすべての情報が失われたりしたらどうなるでしょうか。

競争経済の中で優位性を維持するために必要なアプリケーションを開発する際、主要な組織はこのような疑問を抱いています。これらのアプリケーションの潜在的なリスクや脆弱性にはどのようなものがあるのでしょうか。また、システムが侵害されたときに、よりコストのかかる修正の必要性を最小限に抑えるために、開発チームはリリース前にそれらを早期に発見し、対処するにはどうすればよいのでしょうか。

APIセキュリティは、アプリケーション全体のセキュリティにおいて、急速に重要なツールになりつつあります。というのも、サイバー攻撃のますます多くの割合が、このインターフェースがオープンソースやサードパーティの幅広い統合とどのように相互作用するかに関連する脆弱性に焦点を当てているからです。

Forrester社の調査によると、外部からの攻撃による侵害の53%は、アプリケーションとアプリケーションレイヤーに起因しています (注1)。顧客向けアプリケーションにどのようなセキュリティ対策を取り入れているかを尋ねたところ、ほとんどの組織が、ソフトウェアに使用されているオープンソースのコンポーネントを特定し、それらのコンポーネントの既知の脆弱性を開発者に警告するソフトウェア構成分析(SCA)を挙げています。

SCAは、SAST(静的アプリケーション・セキュリティ・テスト)と並んで、既存の開発ライフサイクルに統合されつつあります。HCLSoftwareのHCL AppScan CTOであるColin Bell氏によると、APIセキュリティはソフトウェアサプライチェーンセキュリティの一部でもあり、IASTはSCAの一部も包含しながら、その役割を拡大しているといいます。サプライチェーンは、必ずしも製品の機能である必要はなく、むしろプロセスが必要です。

これらのツールを併用することで、開発者はより良いフィードバックを得ることができ、プロセスのさらに早い段階でコードベースの脆弱性をより多く発見することができます。これらのツールは、開発者により良いフィードバックを提供し、コードベースの脆弱性をより早期に発見することを可能にします。

開発ライフサイクルにおける効果的なトリアージと修復は、業界で話題となっています。自動修復は、ソフトウェア・エンジニアが脆弱性を発見するだけでなく、自動的に修正するための手作業を減らすための次の大きなステップとして、ますます注目されています。

これらはすべて、オープンソースやサードパーティのコンポーネントに関するAPIセキュリティと関連するセキュリティテストが、今やセキュリティ開発者にとっての優先事項であるという点を指摘するためです。開発者は、リリースに先立ち、自社のプラットフォーム内にどのAPIが存在するかをより慎重に検討するようになっています。APIと関連するオープンソースコンポーネントのすべての側面が開発プロセスの早い段階でテストされていることを確実にするために、よりDevSecOps的なアプローチを採用しています。また、自動修復への関心は、人工知能(AI)と機械学習、そして、これらの強力なツールが、より優れたクラウドセキュリティ、ガバナンス、および全体的なリスク管理を可能にするプログラム提供をどのように改善できるかについての議論にますますつながっています。

このような取り組みを行っている組織は、かなり強力なアプリケーション・セキュリティ・プラットフォームを誇っています。

HCLSoftware の Customer Experience Executive の Robert Cuddy は「5年か10年先には、与えられたデータ入力とプロンプトに従ってアプリケーションを生成するようAIに依頼するようになるだろうと予測しています。 そしてAIはコードを書くだろうが、それは最も効率的で、人間が理解できないかもしれないマシン・ツー・マシンのコードになるでしょう」と述べています。

SDTimesは、API、セキュリティテスト、そしてアプリケーションセキュリティソフトウェアの過去が、よりリスク回避的でテクノロジーに前向きな業界となるために、どのように未来を形成しているかを網羅した最新の特集 The Importance of Security Testing でより詳細な説明を紹介しています。

注1: The Importance of Security Testing からの引用

Search

Categories

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修