Webアプリなどが依然として主要な攻撃対象――Forresterの年次アプリセキュリティレポート：セキュリティの「シフトレフト」を推奨

WhiteSourceは調査会社Forrester Researchのアプリケーションセキュリティに関する年次レポートの内容を公式ブログで紹介した。組織がオープンソースソフトウェアやサードパーティーのコンポーネントにますます依存し、より多くのAPIを外部に開放している中、どのような対策が望ましいのかが示されている。

[＠IT]

　オープンソースセキュリティとライセンスコンプライアンス管理プラットフォームを手掛けるWhiteSourceは2021年4月8日（米国時間）、調査会社Forrester Researchのアプリケーションセキュリティに関する年次レポートの最新版「The State Of Application Security, 2021」の内容を公式ブログで紹介した。

　同レポートは、アプリケーションセキュリティのトレンドや、アプリケーションが依然として主要な攻撃対象となっている理由の他、組織が効果的なアプリケーションセキュリティ戦略を実行するために活用すべきツールやプロセスについて解説している。

　レポートのポイントは以下の通り。

アプリケーションは依然として最大の攻撃対象

　Forrester Researchが2020年に実施した調査では、「外部からのセキュリティ攻撃がどのように行われたか」という質問に対し、「Webアプリケーション（SQLインジェクション、クロスサイトスクリプティング、リモートファイル挿入）」を挙げた回答が最も多く（39％）、「ソフトウェア脆弱（ぜいじゃく）性（ソフトウェアエクスプロイト）」という回答も高い割合を占めた（30％）。

　その背景として、新型コロナウイルス感染症（COVID-19）のまん延に伴うテレワークの拡大により、組織のアプリケーションへの依存が高まったことが指摘されている。

外部からのセキュリティ攻撃がどのように行われたか　調査回答者：自社が外部からの攻撃で侵害を受けた経験がある、セキュリティに関する世界の意思決定者480人（ネットワークやデータセンター、アプリケーションセキュリティ、セキュリティオペレーションのいずれかの責任者） 調査：Forrester Analytics Business Technographics Security Survey, 2020（出典：「The State Of Application Security, 2021」（Forrester））

　Webアプリケーションは今後も、外部からの攻撃の主要な対象であり続けるだろうという予想がレポートに掲載されている。主な理由は3つある。

2009年から2020年におけるオープンソースソフトウェアの脆弱性の報告数（出典：WhiteSource）

• オープンソースソフトウェアの利用拡大が続いている
• セキュリティ調査が大幅に増加しており、セキュリティ問題（多くのAPIの脆弱性を含む）の報告が増えている

• コンテナ環境の普及が進んでいる。これらの環境では、コードや構成に問題がある場合が少なくない

セキュリティと開発者を橋渡しするアプリケーションセキュリティツール

　Forrester Researchが2020年に行った調査では、多くの組織が向こう1年間に、アプリケーションセキュリティプロファイルの改善に優先的に取り組む計画であることが分かった。セキュリティに関する意思決定者の21％が、開発プロセスへのセキュリティの組み込みに優先的に取り組むと回答している。

向こう1年間に、自社の戦術的な情報／ITセキュリティの主要な優先課題となるのは、どの取り組みか　調査回答者：セキュリティ技術に関する世界の意思決定者2426人（出典：「The State Of Application Security, 2021」（Forrester））

　レポートには組織がソフトウェア開発ライフサイクル（SDLC）に対してセキュリティを組み込むのに役立つさまざまなアドバイスが含まれている。その一つが、自動アプリケーションセキュリティテストをDevOpsパイプラインに統合することだ。このプラクティスは、「Azure DevOps」「GitHub」「Jenkins」「Jira」といったコア開発ツールと深く統合されたリリース前テスト製品により、導入しやすくなっている。

　セキュリティ問題が見つかったときに、その修正をスピードアップさせる方策を見いだすこともレポートでは勧めている。脆弱性スキャンの結果を可視性の向上につなげ、最も緊急な問題が迅速に是正されるように、脆弱性に対処の優先順位を付けることが重要だとしている。

アプリケーションセキュリティツールの導入は分野によってばらつきあり

　「新しい開発アプローチは新しいツールを要求するとレポートは指摘しており、組織は新しいアプリケーションアーキテクチャを保護するために、保護技術の進化に対応していかなければならない」と述べている。

　アプリケーションセキュリティツールとプロセスをアップデートし、強化するための主なアドバイスが一つある。セキュリティテストの「シフトレフト」だ。シフトレフトとは、SDLCの早い段階でセキュリティに関する問題に対処することを指す。

　Forrester researchのデータによると、セキュリティ担当者はセキュリティのシフトレフトに継続して投資している。開発プロセスの早期にテストツールを実装するとともに、シフトレフトがセキュリティ問題の迅速な是正を可能にすることを理解しているという。

アプリケーション開発ライフサイクルのどの段階で、これらの技術を実装しているか、あるいは実装しようと計画しているか 調査回答者：自社が向こう1年間に各技術を導入しようと計画している、セキュリティ技術に関する世界の意思決定者127〜136人（ネットワークやデータセンター、アプリケーションセキュリティ、セキュリティオペレーションのいずれかの責任者） 調査：Forrester Analytics Business Technographics Security Survey, 2020（出典：「The State Of Application Security, 2021」（Forrester））

　APIセキュリティの取り組みが進んでいる一方で、コンテナ環境の普及拡大にもかかわらず、コンテナセキュリティの取り組みが立ち遅れていることもレポートは指摘している。

アプリケーションセキュリティ戦略はアジャイル開発プロセスとの連動が必要

　組織はオープンソースソフトウェアやサードパーティーのコンポーネントにますます依存し、より多くのAPIを外部に開放している。このような環境下で、レポートはセキュリティ担当者に以下の課題に取り組むよう呼び掛けている。

• セキュリティチームと開発チームのコミュニケーションを促進し、開発プロセス全体を通じた自動セキュリティテストツールの導入につなげる
• 開発チームと協力し、進化したアプリケーションセキュリティツールの活用により、開発ワークフローにセキュリティが組み込まれるようにする
• セキュリティ問題を修正するためのガイダンスを開発者に提供する
• アプリケーションセキュリティツールがセキュリティ問題を検知するだけでなく、問題の優先順位付けの自動化をサポートするようにする
• アジャイルなど新しい開発方法論を採用した将来のアプリケーション開発計画およびアーキテクチャに簡単に対応できるように、アプリケーションセキュリティツールの更新に投資する
• セキュリティタスクに関する当事者意識を共有してもらうため、開発者のセキュリティ啓発プログラムを推進する