SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

キーパーソンインタビュー

新用語「ASPM」とは? ソフトウェア品質を高めるためのセキュリティ最新動向を解説!

  • X ポスト
  • このエントリーをはてなブックマークに追加

 ガートナーの予測で「2026年までに、自社でアプリケーションを開発している組織の40%以上がアプリケーションのセキュリティ問題をより迅速に解決するためにASPMを採用する」というものがある。これはソフトウェアの品質をいかに効率良く確保していくかという問題でもある。ASPMが生まれた背景にあるアプリケーション開発におけるセキュリティに関連する課題について、日本シノプシス合同会社 ソフトウェアインテグリティグループ 松岡正人氏に訊いた。

  • X ポスト
  • このエントリーをはてなブックマークに追加

今回お話を伺った、日本シノプシス合同会社の松岡 正人氏
今回お話を伺った、日本シノプシス合同会社の松岡 正人氏

成果が見えづらいソフトウェアの安全性向上、しかしそうは言っていられない現状も

 概して、ソフトウェアの安全性向上というと、起こるか分からないリスクを未然に防ぐ、あるいは被害を最小限にするためのものだ。かけた工数やコストが成果や売上に直結するものではないので、なかなか積極的に進めにくい。

 一方で、ソフトウェアやアプリケーションの社会に対する影響力は年々大きくなっており、些細な不備から致命的な被害につながることもありうる。特に医療や自動車など人命に関わる領域では、ソフトウェアの安全性検証は欠かせない。ベストプラクティスやルール作りも進んでいる。ここは危機管理に対する奥深い理解や視野の広さが必要となるところだ。

 そうした中で、自社製品・サービスのセキュリティレベルを向上させるために、開発組織内で開発者とセキュリティ担当者が連携してDevSecOpsやシフトレフトのための施策を進めていたり、サービス監視や保守をしていたりする現場もある。中には、PSIRT(Product Security Incident Response Team)のような専門組織を設けるなど組織規模で対策を進めているところもあるかもしれない。

 海外に目を向ければ、アメリカでは2021年5月にサイバーセキュリティを高めるための大統領令が発せられた。これに対応するのが「NIST IR 8397」で、ソフトウェア検証における最小限の推奨基準が発行された。いつか日本でも、この基準にならっていくことになるかもしれない。ひいてはソフトウェアの調達や購買において影響してくる可能性も考えられる。

 なおNIST IR 8397では「Verification of Code(コードの検証)」と表現されているが、これは主に「Application Security Testing(AST)」のことである。記載されている推奨事項としては、設計レベルの課題を発見すること、ハードコードされた認証情報や開発言語に依存する弱点を検知すること、実施すべきテストなどがまとめられている。

 これまではソフトウェアで問題が起きなければ、テストの実施状況が問われることはあまりなかったかもしれない。しかし推奨とはいえ、こうしたテスト要件がNISTで定められると、今後はどのようなテストを実施したか情報開示が迫られることもありそうだ。

 ただしテストは「すべきこと」ではあるものの、やればやるだけ利益を生み出すものではない。むしろ逆だ。だから効率的にこなしていく必要がある。そこでキーワードとなるのが、「ASPM:Application Security Posture Management(アプリケーションセキュリティ態勢管理)」だ。

会員登録無料すると、続きをお読みいただけます

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

次のページ
DevSecOpsやシフトレフトといった目標を身近にするASPMとは

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
キーパーソンインタビュー連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Onlineの取材・記事や、EnterpriseZine/Security Onlineキュレーターも担当しています。Webサイト:http://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

小林 真一朗(編集部)(コバヤシシンイチロウ)

 2019年6月よりCodeZine編集部所属。カリフォルニア大学バークレー校人文科学部哲学科卒。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/18400 2023/10/25 11:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング