アプリケーション・セキュリティー体制管理（ASPM）とは

セキュリティー・チームと開発チームがカスタム・エンタープライズ・アプリケーションのセキュリティー対策を継続的に監視、評価、改善し、データ侵害の防止や機密情報の保護、規制コンプライアンスの維持に役立ちます。

ASPMツールは、包括的なサイバーセキュリティー計画の一部として機能します。そのため、企業は動的なセキュリティ制御を実装して、強力なアプリケーション・セキュリティー体制を維持し、ビジネス・リスクをより効果的に特定して軽減できるようになります。

ASPMソリューションは、現代のコンピューティング環境におけるアプリケーション・セキュリティに対処する上で不可欠です。

これまで、企業はアプリケーション・エコシステムのセキュリティーを維持するために、アプリケーション・セキュリティー・テスト（AST）に依存していました。ASTソリューションだけでも、独自のコードとより長いリリース・サイクルを備えたモノリシック・アプリケーションを保護できます。しかし、それ以来ソフトウェア開発は大きく進化しました。

多くの現代のアプリケーションでは、オープンソースの依存関係、アプリケーション・プログラミング・インターフェース（API）、マイクロサービス、コンテナ、およびインフラストラクチャ・アズ・コード(IaC)が使用されています。これらのツールはしばしばサイロ化されている（つまり互いに独立して運用される）場合によっては担当チームがスキャンを調整し、結果を合理化し、セキュリティー問題に効率的に対処することが困難です。企業のアジャイル開発やDevOps開発手法への移行はますます進んでおり、リリース・サイクルは月次から週次、日次、さらには1日に複数回へと加速しています。

そのうえ、アプリケーションは多くの場合、 API エンドポイントユーザーに公開しています。アプリケーション・スタック内の他のさまざまなコンポーネントとともに、公開されたエンドポイントにより、悪意のある攻撃者による攻撃対象領域が拡大します。

あらゆる要因から、AppSecは現代において複雑な事業になっています。

ASPMソリューションは、最新のアプリケーションとアプリケーション開発のセキュリティー・ニーズに対応し、同じ環境内で動作する異種のテストツールと開発ツール間のギャップを埋めることを目的としています。ASPMがなければ、エンタープライズ・レベルのアプリ・エコシステムのコンポーネントの多様性によって、摩擦やセキュリティー上の脆弱性が生じる可能性があります。

ASPMは、開発プロセスや運用プロセスとシームレスに統合され、ITチームにフルアプリケーション・スタックの統合ビューを提供する、ネットワーク・アプリケーション・セキュリティーに対する体系的かつ総合的なアプローチを企業に提供します。

ASPMストラテジーは通常、高度なAppSecプラットフォームによって自動化されます。ただし、完全な可視性とセキュリティーをカバーするためには、ASPMツールはASTおよびパイプライン・セキュリティー（またはソフトウェア・サプライチェーン・セキュリティー）機能と、他の開発ツールおよびセキュリティー・ツールとの統合を可能にする統合機能を提供する必要があります。

ASPMプラットフォームは、企業に以下のメリットを提供できます。

ASPM ソリューションは、オンプレミス、クラウド、ハイブリッド環境のインフラストラクチャ、コード、構成、権限、依存関係、脆弱性を網羅し、アプリケーション スタック全体にわたる広範な可視性を実現します。包括的なオブザーバビリティーにより、開発チームはセキュリティの盲点を排除し、潜在的なアプリケーション リスクを積極的に特定して軽減することができます。

ASPMプラットフォームは、ネットワーク全体のさまざまなセキュリティー・スキャンから調査結果を収集し、ソフトウェアの脆弱性、リスクにさらされた依存関係、設定ミスを特定します。一部のスキャン・プロバイダーは、企業のネイティブ・スキャン・ツールを強化する主要な機能を提供しています。しかし、多くのASPMソリューションは、ベンダーの変更や新しいテクノロジーに関係なく、あらゆるスキャン・ツールと連携し、複数のソースからの成果を統合することができます。

ASPMツールは、継続的なリアルタイム監視を使用して、セキュリティー上の問題が発生した場合にその問題を特定します。これにより、組織は AppSec の体制に関する情報を常に把握し、動的なリスク管理が可能になります。

ASPMツールはセキュリティーの脅威を集約して評価し、結果を関連付けることができます。組織のセキュリティー体制に対する潜在的な影響を評価する重大度、悪用可能性、ビジネスへの影響に基づいてトリアージします（これはリスクベース・スコアリングと呼ばれるプロセスです）。

ASPM は、インテリジェントな自動化を使用して、パターン、動作、確立されたセキュリティ ルールに基づいて脅威を識別します。また、自動化された提案を提供し、修復ワークフローを開始して問題を迅速に解決し、平均修復時間(MTTR) を最小限に抑えます。

たとえば、セキュリティー・テストで陰性の結果が返された場合、高品質のASPMツールによって修理チケットが自動的に生成されます。問題がミッションクリティカルなアプリやサービスに影響を与える場合、システムは自動的に優先修理のためにエスカレーションします。

ASPMツールは継続的な監視機能を使用しているため、企業は手動での監査の負担なく、業種・業務規制やフレームワークへのコンプライアンスを維持できます。セキュリティー・チームとコンプライアンス・チームがセキュリティー・フレームワークや業種・業務固有の標準（HIPAAなど）への準拠を追跡できる詳細なレポートと監査証跡を提供します。

ASPMソリューションは、過剰なセキュリティアラートでチームを困らせるのではなく、アプリケーション・スタック全体のデータを関連付けて、コンテキストに応じた脅威インテリジェンスを提供し、対応優先順位決定の戦略を改善します。コンテキスト主導のインサイトにより、セキュリティー・チームはそれぞれの脆弱性（たとえば、それが価値の高い資産に影響を与えるかどうか）をより明確に理解できるようになり、十分な情報に基づいた意思決定を迅速に行うことができます。

ASPM は継続的インテグレーション/継続的デプロイメント (CI/CD) パイプラインと統合できるため、企業はペースの速い開発サイクルに対応できます。ASPMツールは「シフトレフト」アプローチを使用して、セキュリティチェックをソフトウェア開発プロセスの早い段階で実行します。この段階では、修正が一般的に簡単で安価になります。

シフトレフト戦略により、企業は脅威が本番環境に到達する前に対処し、開発ワークフローにセキュリティ上の考慮事項を組み込むことができます。

ASPMにより、組織はソフトウェア開発エコシステム内でのツールの採用、カバレッジ、重複を評価することができます。この評価は、ギャップを特定し、重複を排除するのに役立ちます。

ツールの合理化は、企業が各ツールに必要なコンピューティングと資金の両方を追跡するのにも役立ちます。この情報を使用して、組織はIT予算をより簡単に管理し、どのツールを維持、廃止、置き換えるかを決定できます。

高度なセキュリティー自動化ツールと戦略は、企業が今日の複雑で大規模なITアーキテクチャーをより適切に強化するのに役立ちます。さらに人工知能（AI）が、ASPMを含むあらゆる機能を変革しています。

AIと機械学習（ML）テクノロジーは、ASPM のセキュリティ機能を大幅に強化する力を持っています。ASPMツールの主要な機能は、セキュリティー・データ分析を自動的に実行して傾向と異常を特定するため、チームはセキュリティー問題をより適切に予測して、より大きな問題が発生する前に主要な機能を実行できます。

AI駆動型のASPMソリューションで修復プロセスも改善できます。ASPMツールは、独自のデータ、セキュリティ・リスク、修復タスクについてトレーニングされた大規模言語モデル(LLM) を使用して、実行可能な洞察を生成できるため、セキュリティ担当者は効率的に対処できます。

ASTは、ソフトウェア・アプリケーションのセキュリティー・リスクをスキャンする従来のアプリケーション・セキュリティー・ソリューションのグループを示す包括的な用語です。

静的アプリケーション・セキュリティー・テスト（SAST）は、「ホワイトボックス」（内部に焦点を当てた）アプローチを採用しており、プログラムを実行することなく、ソース・コード・リポジトリーをスキャンして既知の脆弱性を見つけます。動的アプリケーション・セキュリティ・テスト（DAST）では、「ブラックボックス」（外部に重点を置いた）アプローチを使用して、ランタイム環境でのアプリケーションを外部からテストし、悪意のある行為者を模倣して攻撃のシミュレーションを行います。

SASTとDASTの要素を組み合わせたインタラクティブ・アプリケーション・セキュリティー・テスト（IAST）は、実行時にアプリ・サーバー内でアプリケーションを分析し（ソースコードにアクセスできるため）、開発者はセキュリティー問題をより包括的に把握できるようになります。また、ソフトウェア構成分析（SCA）は、アプリケーション内のサード・パーティー・コンポーネントやライブラリーの脆弱性の特定に焦点を当てています。

ASTプラクティスはアプリのセキュリティーにとって非常に重要であり、企業はアプリケーション内の特定のセキュリティー問題を特定することができます。ただし、ASTの手法は独立して使用されることが多く、通常はソフトウェア開発ライフサイクル（SDLC）の特定の段階におけるポイント・イン・タイム評価に使用されます。したがって、ASTスキャンは、特定の瞬間における特定のアプリケーションに関する特定の問題の理解のみを提供します。

ASPMにはAST技術が組み込まれていますが、より広範で包括的なアプローチを提供します。ASPMは、企業の全体的なセキュリティー体制に関する洞察を提供し、長期的にアプリケーション・セキュリティーを向上させるための戦略的なガイダンスを提供します。ASPSサービスでは、アプリケーション全体のライフサイクルにわたって、またさまざまなツールやプラットフォームにわたってセキュリティー戦略を統合することも目指しています。

ASOCは、ASPMの前身として知られる存在であり、さまざまなセキュリティー・ポリシー、ツール、ワークフローを統合および自動化し、アプリケーション・セキュリティーのオペレーションを合理化します。脆弱性が運用パイプラインに侵入する前に脅威の検知と修復を強化するために、複数のソースからのセキュリティー・データを関連付けることに主に重点を置いています。

ASOC ツールは、さまざまなセキュリティ・ツールからのセキュリティ・アラートを統合して集約できる、一元管理のオーケストレーション・プラットフォームを企業に提供します。

ASOCサービスでは、クロスプラットフォームで本番環境前のデータ集約と相関ワークフローを実装できるのに対し、ASPMではリアルタイムかつ継続的なモニタリングとリスク検知を実施し、開発パイプライン全体で修復ワークフローを自動化できます。そのため、ASPMはアプリケーション・セキュリティーに対するより広範で総合的なアプローチを表します。

ASPMツールは多くの場合、DevSecOpsやオブザーバビリティーのプラクティスとともにASOC機能を使用することで、アプリケーション データを集約し、初期設計フェーズから統合、テスト、配信、デプロイメントまで、アプリ固有のセキュリティ プラクティスを自動化します。

ASPMとCSPMはどちらも、特にアプリケーション・セキュリティー体制の強化を目指す組織にとって、堅牢なサイバーセキュリティー戦略に不可欠です。APSM は環境全体にわたるソフトウェア・アプリケーションのセキュリティを優先しますが、 CSPMは環境に固有であり、クラウド・インフラストラクチャのセキュリティに重点を置いています。

CPSM は、インフラストラクチャ・アズ・ア・サービス（IaaS）、プラットフォーム・アズ・ア・サービス（PaaS）、ソフトウェア・アズ・ア・サービス（SaaS） モデルを含む、マルチクラウド およびハイブリッド クラウド環境とサービス全体のリスク識別と修復を統合するサイバーセキュリティ テクノロジー です。以下のように機能します。

• 組織のクラウド資産をネイティブに検出してカタログ化する

• 確立されたセキュリティーおよびコンプライアンスのフレームワークに対して継続的に監視する

• チームがセキュリティの脅威を迅速に発見して修正するように支援する

CSPM ツールは、あらゆるタイプのクラウド環境に高度なセキュリティを提供しますが、通常はネットワーク（またはオンプレミス・インフラストラクチャ）のアプリケーション層のスキャンは行いません。

ASPMツールは、アプリケーションスタック内のさまざまなセキュリティースキャンデバイスからセキュリティーデータを集約し、開発者にフルスタックの可観測性を提供することで、チームがエンドツーエンドのセキュリティー体制のオートメーションを実装できるようにします。ただし、CSPMツールとは異なり、ASPMツール自体はスキャンを行いません。既存のアプリ・セキュリティー・スキャナーの集約ワークフローを実行するだけです。

さらに、ASPM ツールは通常、ソフトウェア開発ライフサイクルに統合されますが、CSPM ソリューションはcloud managementおよび運用ツールと共に使用されます。

現代のソフトウェア開発では、しばしば、アプリとインフラストラクチャのコンポーネントが相互に分かちがたく結びついています。APSMのアプリセキュリティー集約機能とCPSMのクラウドインフラストラクチャーのスキャン主要な機能の両方がなければ、チームはネットワークセキュリティーの対象範囲にギャップを生み出すサイロの変化に対処しなければならない可能性があります。

CNAPPは、クラウドセキュリティー体制管理(CSPM)、クラウドワークロード保護プラットフォーム(CWPP)、インフラストラクチャーとしてのコード(IaC)スキャンなどの主要な機能を組み合わせて、コンテナーのランタイム保護と脆弱性スキャンを提供します。また、 Kubernetesとネットワーク・ポリシーを適用し、クラウドのデプロイメントとオーケストレーションのツールを保護して統合することもできます。

CNAPPを使用すると、企業は本番環境でのクラウドネイティブ・アプリケーションのランタイムのオブザーバビリティーとセキュリティを実現できます。ASPMツールも同様に、きめ細かな可視性を提供しますが、コンテナやIaC構成を含むインフラストラクチャーのアプリケーション層を保護することに重点を置いています。

ASPM は、アプリのセキュリティ機能をCNAPPのクラウドセキュリティ機能と組み合わせ、オンプレミスに主要な機能を拡張することもできます。

適切なASPMソリューションを選択すると、以下が実現します。

• 最新のデータインベントリ。ASPMツールは、アプリケーションとその依存関係（ライブラリー、構成ファイル、マイクロサービス、API、データベース、サードパーティー・サービス、環境変数など）を自動的にカタログ化し、ベースラインとインデックスを確立できます。動的なインベントリー管理機能により、チームはアーキテクチャーのセキュリティー体制をよりよく理解し、より正確なリスク分析を実行することができます。

• インシデント対応の迅速化ASPM は、自動化されたワークフロー (チケットの作成とエスカレーション) を使用してインシデント対応と修復を効率化し、ネットワークの中断を最小限に抑え、MTTR を短縮します。

• アプリケーションのレジリエンスASPMは、自動化されたセキュリティー・プロセスとリアルタイムの継続的な監視を使用することで、新たな脅威に直面した際に最適なアプリケーション機能を保護するのに役立ちます。また、ASPMにより、組織は進化するセキュリティー脅威に耐え、将来の侵害やシステム障害のリスクを軽減できる高品質のアプリケーションを開発できます。

• ドリフトに対する認識の向上。ドリフトとは、アプリケーションのコードや設定に変更があった場合に発生する、予期せぬセキュリティー・リスクのことです。ASPMツールは、確立されたベースラインを使用して逸脱を測定し、アプリケーション・アーキテクチャのバージョン管理を実装することでドリフトを管理します。不正な変更や予期せぬ変更を検知し、問題のあるドリフトに迅速に対処し、長期にわたってアプリの安全性を維持することができます。

• データ駆動型の可視性。ASPMは、すべてのAppSecプログラムとツールから得られたセキュリティー調査結果を単一のダッシュボードに統合し、コードやソフトウェア・コンポーネント、API、セキュリティー・プロセスの脆弱性に関するリアルタイムのデータをチームに提供します。コードからクラウドへの可視性が強化されるため、チームはセキュリティーの脅威がエスカレートしたり、ユーザー・エクスペリエンスに影響を与えたりする前に解決できます。

• セキュリティーとオペレーションの強化。ASPMは、アプリケーション・セキュリティーをDevOpsのストラテジーの最前線に据えています。強力なASPM実践では、高品質アプリの安全なコードに重点が置かれます。セキュリティーが強化されると、検知が迅速化され、より多くの攻撃が阻止され、イノベーションのための時間がより多く確保できます。

• セキュリティチームと開発チームのシームレスなコラボレーション。ASPMは、セキュリティー・スキャンと脅威の軽減を開発ワークフローに組み込みます。これにより、開発者はセキュリティー・チームからタイムリーなフィードバックを得ることができ、安全なソフトウェア・リリースが加速されます。

• 拡張性の簡素化。ASPMプラットフォームはCI/CDパイプライン内のアプリケーションのセキュリティー・チェックと脅威解決プロセスを自動化するため、組織はネットワークの成長に応じてセキュリティー体制をより簡単に拡張できます。

• APIセキュリティーASPMは、既知のエンドポイントと未知のエンドポイントの両方を含む、内部、外部、およびサードパーティーAPIの完全なインベントリーを提供することで、APIセキュリティーを強化します。継続的なAPI 検出により、新しい API が追加されたり、既存の API が変更されたりすると、インベントリーが自動的に更新されます。これにより、セキュリティ チームに最新のデータが提供されます。