Cover Image

リスクから修復へ: API セキュリティで安全なアプリを構築する
2024/2/27 - 読み終える時間: ~1 分

From Risks to Remediation: Building Secure Apps with API Security の翻訳版です。

リスクから修復へ: API セキュリティで安全なアプリを構築する

2024年2月26日

著者: Cristina Suchland / Integrated Marketing Manager, Secure DevOps

デジタルトランスフォーメーションの時代には、世界中の人々や組織が、クリックやスワイプでほとんど瞬時に、膨大な量の情報を手に入れることができます。このような状況を可能にしている、増え続けるウェブアプリケーションの背後にあるセキュリティ機能について、立ち止まって考えてみる価値があります。個人情報が漏れたり、金銭が盗まれたり、サイバーウイルスの攻撃を受けてすべての情報が失われたりしたらどうなるでしょうか。

競争経済の中で優位性を維持するために必要なアプリケーションを開発する際、主要な組織はこのような疑問を抱いています。これらのアプリケーションの潜在的なリスクや脆弱性にはどのようなものがあるのでしょうか。また、システムが侵害されたときに、よりコストのかかる修正の必要性を最小限に抑えるために、開発チームはリリース前にそれらを早期に発見し、対処するにはどうすればよいのでしょうか。

APIセキュリティは、アプリケーション全体のセキュリティにおいて、急速に重要なツールになりつつあります。というのも、サイバー攻撃のますます多くの割合が、このインターフェースがオープンソースやサードパーティの幅広い統合とどのように相互作用するかに関連する脆弱性に焦点を当てているからです。

Forrester社の調査によると、外部からの攻撃による侵害の53%は、アプリケーションとアプリケーションレイヤーに起因しています (注1)。顧客向けアプリケーションにどのようなセキュリティ対策を取り入れているかを尋ねたところ、ほとんどの組織が、ソフトウェアに使用されているオープンソースのコンポーネントを特定し、それらのコンポーネントの既知の脆弱性を開発者に警告するソフトウェア構成分析(SCA)を挙げています。

SCAは、SAST(静的アプリケーション・セキュリティ・テスト)と並んで、既存の開発ライフサイクルに統合されつつあります。HCLSoftwareのHCL AppScan CTOであるColin Bell氏によると、APIセキュリティはソフトウェアサプライチェーンセキュリティの一部でもあり、IASTはSCAの一部も包含しながら、その役割を拡大しているといいます。サプライチェーンは、必ずしも製品の機能である必要はなく、むしろプロセスが必要です。

これらのツールを併用することで、開発者はより良いフィードバックを得ることができ、プロセスのさらに早い段階でコードベースの脆弱性をより多く発見することができます。これらのツールは、開発者により良いフィードバックを提供し、コードベースの脆弱性をより早期に発見することを可能にします。

開発ライフサイクルにおける効果的なトリアージと修復は、業界で話題となっています。自動修復は、ソフトウェア・エンジニアが脆弱性を発見するだけでなく、自動的に修正するための手作業を減らすための次の大きなステップとして、ますます注目されています。

これらはすべて、オープンソースやサードパーティのコンポーネントに関するAPIセキュリティと関連するセキュリティテストが、今やセキュリティ開発者にとっての優先事項であるという点を指摘するためです。開発者は、リリースに先立ち、自社のプラットフォーム内にどのAPIが存在するかをより慎重に検討するようになっています。APIと関連するオープンソースコンポーネントのすべての側面が開発プロセスの早い段階でテストされていることを確実にするために、よりDevSecOps的なアプローチを採用しています。また、自動修復への関心は、人工知能(AI)と機械学習、そして、これらの強力なツールが、より優れたクラウドセキュリティ、ガバナンス、および全体的なリスク管理を可能にするプログラム提供をどのように改善できるかについての議論にますますつながっています。

このような取り組みを行っている組織は、かなり強力なアプリケーション・セキュリティ・プラットフォームを誇っています。

HCLSoftware の Customer Experience Executive の Robert Cuddy は「5年か10年先には、与えられたデータ入力とプロンプトに従ってアプリケーションを生成するようAIに依頼するようになるだろうと予測しています。 そしてAIはコードを書くだろうが、それは最も効率的で、人間が理解できないかもしれないマシン・ツー・マシンのコードになるでしょう」と述べています。

SDTimesは、API、セキュリティテスト、そしてアプリケーションセキュリティソフトウェアの過去が、よりリスク回避的でテクノロジーに前向きな業界となるために、どのように未来を形成しているかを網羅した最新の特集 The Importance of Security Testing でより詳細な説明を紹介しています。

注1: The Importance of Security Testing からの引用

Search

Categories

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Ambassador AoC AppDev Pack AppScan ASoC beta BigFix BigFix 9.5 BigFix_Wiki BigFix Workspace branding CAA Client Applicatin Access cloud Cloud Apps Cloud Native Commerce Common Local License Server community companion Compass compliance Connections Connections 6.5 ConnectionsDocs Connnections CVE-2021-44228 developerWorks DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Plan DevOps Test DevOps Velocity Digital Experience document Doino Volt Domino Domino AppDev Pacl Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE dW dx Enterprise Integrator event fix fix_list fixlist forum General guide HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U hints_and_tips history HTMO IBM_i ID_Vault iNotes ios ios13 ipad iPhone IZSAM KEEP Launch Launch.DevOps Leap Link logo MarvelClient mobile mui nds2019 ndv12beta News Noets/Domino Nomad Nomad Mobile Nomad Web Notes Notes/Domino Notes/Domino 10 Notes/Domino 11 notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion Notes/Domno notescons Now on_premises OneDB OneTest OnTime osaka press_release relay REST RTist SafeLinx Sametime Sametime 11 SoFy support survey system_requirement techtek Traveler Traveler 10 Traveler for Microsoft Outlook traveler.zip Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity v11 V12 Verse Verse Mobile Verse On-Premises VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Webinar win7 Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb うるう年 イベント ウェビナー ガイド クラウド クラウド終了 サイジング サポート サポート技術情報 サポート期間 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 セミナー ダイバーシティー ダウンロード テクてく テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム バージョンアップ パフォーマンス パートナー ベータ ポートフォリオ ライセンス 九州地区 Notes パートナー会 互換性 出荷日 各種ご案内資料 研修