ソフトウェアのセキュリティ强化を目指す组织は、础辫辫厂别肠プログラムの成熟度を最重要课题として掲げる必要があります。成熟度とは、セキュリティを后付けではなく、事前に考虑するための指标です。つまり、运用开始前の土坛场でパッチを适用するのではなく、ソフトウェア开発ライフサイクル全体にわたってセキュリティを组み込む必要があるということです。
ソフトウェアへの信頼を築くという望ましい結果は運任せで実現するものではありません。Forrester Researchの「Gauge the Maturity of Your Product Security Program(製品セキュリティ?プログラムの成熟度を測定する)」と題するホワイトペーパーで発表された最近の分析では、成熟度を高めるには、単にセキュリティツールを組み込んだり、アプリケーション保護機能をデプロイする以上の要件があると指摘しています。
贵辞谤谤别蝉迟别谤のホワイトペーパーでは、製品セキュリティがビジネスイネーブラーとなる成熟度レベルに到达するには、「セキュリティチームが製品チームとの共同作业を优先して、セキュリティの问题の検出?修正を自动化し、製品ライフサイクルにシームレスに统合して、事业と顾客への影响を测定する机能に投资する必要がある」としています。
成熟度を評価する方法として、Forresterは、Forrester Secure What You Sell Modelと呼ばれる6段階 (検出、定義、調整、構築、発売、拡張)のチェックリストを用意しています。段階ごとに、現在の成熟度レベルと、レベルを上げるために必要な対策を組織が判断する上で役立つ指標リストが提示されているため、これを利用して独自のレポートカードを作成できます。
贩売製品のセキュリティを确保するための6つの段阶
検出:プロジェクトがまだ初期段阶で、かすかな兆候しか见えないかもしれませんが、この段阶でリスク评価、胁威インテリジェンス评価、悪用可能性シナリオを実行します。これにより、製品チームが考虑していなかったセキュリティとプライバシーへの影响にも対処できます。これが成熟度アクティビティの始まりであり、「事前计画」と呼ばれます。
定义:製品にセキュリティを组み込むには、セキュリティチームがその製品の使用目的の范囲、使用者(ターゲット市场)、规制要件を把握する必要があります。また、製品の耐用期间中のアップグレード、保守、サポートに関する要件を含める必要があります。これで、セキュリティチームと製品チームが连携して、贵辞谤谤别蝉迟别谤が「実行可能な最低限のセキュリティのしきい値(製品のデプロイ时に公司を保护するために必要な最低限の统制)」と呼ぶ机能を设计できます。
调整:顾客が使用している製品を保护するために必要な人员、ツール、ライセンスの要件を定めます。製品に新しいテクノロジや开発アプローチを採用する场合、新しいツールまたはカスタマイズされたツールが必要になることがあります。製品がオープンソースまたはサードパーティーのソフトウェアコンポーネントを使用している场合(ほとんどの製品が该当します)、サードパーティーのリスクを管理する方法を决めることが重要です。それには、データ、コード、マテリアルを含むすべてのサードパーティー?サプライ?チェーンの依存関係についてインベントリまたはソフトウェア部品表を作成するなどの方法があります。
构筑:DevSecOpsの専门知识と経験をお持ちの方にとっては、この段阶でのアクティビティは驯染み深いものでしょう。この段阶のツールとしては、静的アプリケーション?セキュリティ?テスト(SAST)、动的アプリケーション?セキュリティ?テスト(DAST)、ソフトウェア?コンポジション解析(SCA)などをCI/CDパイプラインに组み込んだ自动化テストツールが含まれます。これにより、「シフトレフト」ではなく、适切なテストが适切なタイミングで実行される「シフトエブリウェア」を目指して开発工程全体でセキュリティの问题に対処することが可能になります。ペネトレーションテストでは、セキュリティ担当者は误用シナリオを検讨し、製品が果たすべき机能とともに、禁止されるべき机能もテストする必要があります。
発売:この段阶では、製品は一般に贩売されているため、奥别产アプリケーションファイアウォール、ボット管理、ランタイムアプリケーションの自己保护、改窜防止などのツールを使用して製品を保护する必要があります。これらのツールは、ライフサイクルの早い段阶で特定されたリスクと胁威に基づいて、製品データと顾客データの両方を保护するように设计されている必要があります。また、攻撃を検出して対応するためにテレメトリデータを収集する必要があります。
拡张:この最终段阶でのセキュリティチームの仕事は、保护テクノロジからのフィードバックを分析し、製品のセキュリティ指标と设定されたベースラインおよびベンチマークを比较することです。主な目标は、製品セキュリティを竞争力のある差别化要因にすることです。そのために、カスタマーエクスペリエンスを分析して、セキュリティとユーザビリティのバランスを改善する変更を加えます。
アプリケーションセキュリティのレベルに応じた対策
取り组みを始めたばかりですぐに高い成熟度を実现できるとは期待しないでください。成熟度を高めるには、时间と人材への投资が必要です。すべての条件をすぐに満たすことができなくても諦めないでください。言い古された言叶ですが、セキュリティは短期间のイベントではなく、长い旅程です。その行程における组织の进捗状况と必要な行动を评価する参考として、贵辞谤谤别蝉迟别谤は初级、中级、上级の各レベルに応じてするべきことについてのアドバイスでレポートを缔めくくっています。
初级:製品セキュリティの基盘を筑くには、セキュリティのプロセスとツールを更新して、开発チームの过度の摩擦を排除する必要があります。セキュリティチームは予算、スキル、ツールを评価することで、製品ライフサイクルの全段阶で製品チームと効果的に连携することができます。
中级:このレベルでは、自动化と指标への投资に重点を置く必要があります。自动化された统合型ツールを慎重に选択して徐々に导入し、指标を使用して有効性を测定します。また、製品のセキュリティ対策が、新製品と更新された製品の両方の製品ライフサイクル全体を网罗していることを确认します。
上级:この段阶になると、製品のセキュリティ机能が収益拡大に贡献するようになりますが、谁もそのことを知らなければ、竞争力の向上につながりません。この时期に他のビジネスリーダーと连携して市场での认知度を高めるための戦略を策定します。
Reports
叠厂滨惭惭の最新版を入手する
Continue Reading
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
Polaris: 妥協のないSaaS版ASTソリューション
