すべてのセキュリティ チームには、独自の目標と課題があります。DevSecOps の考え方に賛同し、Web アプリケーション・セキュリティ・テストをソフトウェア開発ライフサイクル(SDLC)に組み込む方法を模索されている方もいらっしゃるのではないでしょうか。ビジネスを推進するいくつかの重要なアプリケーションだけを保護すること、あるいは外部からの支援を受けて、アプリケーションのセキュリティ リスクを評価および管理することを検討されている方もいらっしゃるでしょう。いずれにしても、拡大し続けるアプリケーションに対応するのは非常に難しいと思われるかもしれません。Rapid7 は、Web アプリケーション セキュリティ テストプログラムを成功に導くために、すべての取り組みを支援します。
アプリケーション セキュリティが重要な理由とは?
インフラストラクチャを保護するためのセキュリティ システムがすでに導入されている場合もありますが、全体的な脆弱性リスク管理戦略の一部としてアプリケーションを含めるべきです。アプリケーションは、攻撃者が IT エコシステムを侵害するための攻撃ベクトルとなることが最も多いです。穴の開いたダムのようなものだと考えてください。ダムに頼って重い負荷をかけていた時、表面に亀裂が生じると長期的な影響が出る可能性があります。最新のアタックサーフェスのすべての層を保護することは非常に重要です。脆弱性リスクを管理するために必要な主要機能と、 Rapid7 ソリューションがどのように役立つかについては以下をお読みください。
アプリケーション セキュリティ テストのカバレッジと精度
アプリケーションは常に進化し続けるものであり、非常に複雑で相互接続されたコンポーネントの集合体であり、同じものは2つとありません。Web の開発は極めて動的です。アプリケーション セキュリティ プログラムは、適応性と俊敏性に優れたテクノロジーを利用して開発する必要があります。Rapid7 のユニバーサル トランスレータは、Rapid7 のアプリケーション セキュリティ ソリューションすべてに加えて、かつてないスキャン能力とアプリケーションに対する攻撃のシミュレーション能力を提供します。攻撃に利用できるすべての入力を変換および正規化し、一般的な共通の形式にすることで、ユニバーサル トランスレータによってアプリケーションの保護対象領域を拡張し、将来のWeb テクノロジーや新しく登場する攻撃手段に対応できます。Rapid7 のソリューションは、テクノロジーを継続的に改善し、実際のスキャンから得られるデータを活用することで、検知漏れ、つまり脆弱性の見落としだけでなく、誤検知も最小限に抑えることができます。
DevOps のセキュリティ自動化
DevSecOps とは、セキュリティをDevOps のプロセスに統合する慣習のことです。この考え方は、アプリケーション セキュリティのあり方を迅速に変化させています。セキュリティチームは、迅速かつ自動的にテストを実行したいと考えています。Rapid7 のAPI によって、まさにそれが可能になります。当社のアプリケーション セキュリティ ソリューションは、セキュリティにシームレスに統合されます。Jenkins などの継続的インテグレーション(CI)ソリューションによってスキャンを自動的に行い、脆弱性が本番環境に影響する前に検出します。また、Jiraなどのチケットシステムと連携し、新しい問題について開発者に自動的に通知します。このコラボレーションと品質保証のサイクルにより、より安全なアプリケーション層を構築することができます。
アプリケーションの監視と保護
アプリケーションの脆弱性スキャンは、既存および新たな攻撃タイプに対するリスク態勢を理解するための最重要のインサイトを提供します。しかし、差し迫った脅威に対してWeb アプリケーションのセキュリティを確保するには、スキャンだけでは不十分な場合があります。ここでアプリケーションの監視と保護が重要になります。
従来のWeb アプリケーション ファイアウォール(WAF)は、Web アプリケーションとインターネットの間に立ち、疑わしいWeb リクエストをフィルタリングすることで、SQL インジェクションやクロスサイトスクリプティング(XSS)などのさまざまな攻撃から保護します。しかし、攻撃の試みがアプリケーションに与える影響を可視化できなければ、従来のWAF では過検知が発生することが多く、チームは何に焦点を当てるべきかを判断するのが難しくなります。Rapid7 のtCell は、ランタイム アプリケーション自己保護(RASP)テクノロジーを組み込むことで、アプリケーションの監視と保護をさらに一歩進めます。これにより、tCell はブラウザ、Web サービス、アプリサービスレベルでの変更を特定し、悪質で悪意のある行動(ゼロデイに起因するものを含む)を防止するためにアプリケーションの実行を阻止できます。また、RASP の機能により、悪質なアクティビティがWeb アプリに与える具体的な影響に対する可視性が向上します。
アプリケーション セキュリティに関する確かな専門知識
Web アプリケーション セキュリティ テストには、多くのリソースが必要になることがあります。セキュリティの専門知識だけでなく、テスト対象のアプリケーションがどのように設計され、開発されたかについての詳細な知識も必要です。Rapid7 は、テクノロジーと業界におけるリーダーシップの両方を活用し、経験豊富なアプリケーション セキュリティの専門家をチームに加えることを検討している組織を支援し、世界トップレベルのプログラムを開発できるように導きます。Rapid7 社内の専門家が、スキャンを実行、調整し、検出された脆弱性の検証と優先順位付けを行い、誤検知が含まれない実用的なレポートを提供します。当社のマネージド セキュリティ サービスの詳細をご覧ください。
Rapid7 アプリケーション セキュリティ ソリューション
Rapid7 は、あらゆるニーズを満たすアプリケーション セキュリティ ソリューションを提供します。
- InsightAppSec:迅速な起動で最新のWeb を安全に保護できます。外部のアプリケーションをスキャンするために、オンプレミスにコンポーネントをインストールする必要はありません。InsightAppSec の直感的なワークフローによって、チームは脆弱性を数分でスキャンできます。軽量なオンプレミスのエンジンをインストールすることで、社内のアプリケーションにも対応できます。
- マネージド アプリケーション セキュリティ:セキュリティ プログラムへの投資を活用するために、Rapid7 のマネージドサービスでは、Rapid7 のアプリケーション セキュリティ専門家にプロセス全体を委ねることができます。これによって、作業量が減り、生産性を迅速に向上させることができ、アプリケーションの評価プロセスが一貫したものになります。また、節約した時間をほかの作業のために利用できます。Rapid7 の専門家は誤検知することがないので、誤検知への対応が不要になります。さらに、マネージドサービスには、脆弱性の検証やビジネスロジックのテストなどのアドオンサービスがあります。
- tCell by Rapid7:当社のアプリケーション監視および保護ソリューションは、WAF とRASP の機能を組み合わせてアプリケーションのアタックサーフェスを評価し、進行中の攻撃を監視し、アクティブな脅威からWeb アプリを保護します。
- Docker とコンテナセキュリティ:コンテナ化されたアプリケーション インフラストラクチャのすべてのレイヤーを評価、保護、監視するうえでRapid7 のソリューションがどう貢献できるかについて、ご確認ください。
クラウドリスクの総合的なカバレッジ
2019年以降、Web アプリに対する攻撃の数が倍増している中、セキュリティに対して総合的なアプローチを取ることは自明です。当社は、業界をリードするDAST ソリューションであるInsightAppSec と、次世代WAF およびRASP ソリューションであるtCell をTotal Risk Coverage プログラムに統合し、アプリケーション層全体を完全にカバーします。