ゼロトラストをアプリ開発にも適用、オープンソース脆弱性管理はどうする？：シフトレフトやSCA、SAST、SBOMが役立つ

アプリケーションセキュリティベンダーのMendが、アプリケーションセキュリティをゼロトラストで実現する6つのステップを解説した。セキュリティのシフトレフトを最初に進めるべきだが、ソフトウェア構成分析と静的アプリケーションセキュリティテストの組み合わせやソフトウェア部品表なども役立つという。

[＠IT]

　アプリケーションセキュリティベンダーのMendは2022年6月23日（米国時間）、「アプリケーションセキュリティ」をゼロトラストで実現する6つのステップを解説した。

　Mendは「大企業に対するサイバー攻撃の激化とデジタルトランスフォーメーション（DX）の加速により、企業はセキュリティ戦略とインフラの再評価を迫られている。こうした中でゼロトラストアプリケーションセキュリティとコンプライアンスの導入が進んでいる」との認識を示す。

　ゼロトラストアプローチについては、「デバイスやソフトウェアが権限を取得している場合や、以前に検証されている場合でも、それらを無条件に信頼してはならないということだ。全てのコンポーネントについて、脆弱（ぜいじゃく）性のスキャン、分析、テストを行う必要がある」と説明している。

　そこで、Mendはアプリケーションセキュリティ戦略に絞って、ゼロトラストを成功させる6つの重要な方法を示した。

ステップ1　オープンソースセキュリティとコンプライアンスを「シフトレフト」する

　アプリケーションコードの70〜80％がオープンソースであることは広く知られている。膨大な量のソフトウェアやライブラリが作成済みであり、すぐに使える状態にあるからだ。だが、従来の「無条件に信頼する」モデルは、セキュリティ上のリスクをもたらす。警戒が甘くなり、危険なパッケージや脆弱なコードが見落とされ、アプリケーションの脆弱性に至る恐れがある。

　解決策はある。セキュリティのシフトレフトにより、ソフトウェア開発ライフサイクル（SDLC）のできるだけ早い段階で、理想的には、コードを書くときや新しいコンポーネントを調査するときに、これらの問題を防止することだ。SDLCの早い段階で脆弱性を検出し、直ちに修正することで、開発チームが脆弱性の検出と修正を別々に行わなければならないといった効率の悪いワークフローを克服できる。

ステップ2　オープンソース用のSCAとカスタムコード用のSASTを組み合わせる