アプリケーションのセキュリティテスト

2021年1月29日

ソフトウェア侵害の84%がアプリケーション層の脆弱性を悪用していると言われており、セキュリティとリスク管理の担当者にとって、ソフトウェアライフサイクルにおけるアプリケーションセキュリティテスト(AST)の重要性が高まっている。
特に、2018年5月にヨーロッパで施行されたGDPRはその違約金の巨額さから全世界で話題を呼んだが、アプリケーションへの攻撃による個人情報の流出は、その対応によっては企業にとって致命的になる可能性がある。
さらに、カリフォルニア州のCCPA、カナダのCPPAなど世界的にGDPR同様の法令の制定が加速化している。
また、最新のアプリケーション設計とDevSecOpsの継続的な採用により、AST 市場の範囲は拡大しており、セキュリティとリスク管理の担当者は、ソフトウェアライフサイクルへのASTのシームレスな統合、自動化により、より複雑となるアプリケーションを期限厳守でテストする必要が生じる。

それらを実現すべく、ASTのツールやソリューションを提供する企業はASTの機能強化を図っている。有名なところでは、シリコンバレーのSynopsysやイギリスに本社のあるMicro Focusなどがある。
Gartnerは、AST市場をアプリケーションのセキュリティの脆弱性の分析およびテストすることを目的に設計された製品およびサービスの市場として定義、そのテクノロジーに関して大きく次の4つに分類している。

1. 静的AST (SAST -Static Application Security Test)
アプリケーションのソース、バイトコード、バイナリコードにおけるセキュリティの脆弱性を分析。通常は、ソフトウェアライフサイクルのプログラミングフェーズやテストフェーズで行われる。

2. 動的AST (DAST -Dynamic Application Security Test)
テストまたは運用段階でアプリケーションを動的な実行状態で分析。通常は、Web対応のアプリケーション、サービス、アプリケーションプログラミングインタフェース(API)に対する攻撃をシミュレートし、アプリケーションの反応を分析し、脆弱かどうかを判断する。

3. インタラクティブAST (IAST -Interactive Application Security Test)
SASTとDASTの要素を同時統合したテクノロジー。通常、Java仮想マシン(JVM)または.NET CLRなどを実装したテストランタイム環境内のエージェントとして、操作や攻撃を監視し、脆弱性を識別する。

4. ソフトウェア構成分析 (SCA -Software Composition Analysis)
アプリケーションで使用されているオープンソースおよびサードパーティのコンポーネント、それらの既知のセキュリティの脆弱性、および敵対的なライセンス制限を識別するために使用されるテクノロジー。

これらのASTテクノロジーを駆使することにより、Gartnerは2025年までに、自動化されたソ リューションから適用されたコードの提案により、SASTによって特定されたコーディングの脆弱性の修正を30%高速化し、さらにバグの修正に費やす時間を50%削減できると予測している。
データ保護に加えて、事業の継続性の観点からも、今一度アプリケーションレベルのセキュリティ対策の見直しも重要と言える。