日本語 
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
CISO がアプリケーションのセキュリティから製品のセキュリティに移行する方法
製品セキュリティ チームは、appsec チームと比較して綿密なセキュリティ アプローチを採用することで人気が高まっています。 しかし、セキュリティを意識した文化の醸成など、それだけではありません。
シフトレフト セキュリティ、組み込みセキュリティ、またはセキュリティ バイ デザインと呼ぶにせよ、今日の先進的な企業は、個々のアプリケーションだけでなく、ビジネス製品のライフサイクル全体を通じてセキュリティを考慮する必要があることを理解しています。サポート。 これを実現するために、この変更を実現する手段として製品セキュリティ チームや製品セキュリティ責任者を活用する企業が増えています。
製品セキュリティは、従来のアプリケーション セキュリティの範囲をテストをはるかに超えて、擁護、ビジネス グループ間のコラボレーション、デザイン思考、脅威モデリング、アーキテクチャ計画、および真のリスク管理の領域にまで拡張します。 「製品セキュリティ チームは、開発プロセスの各段階に積極的に参加することで、ソフトウェアの設計、アーキテクチャ、コーディング、テスト、本番環境へのリリースにセキュリティに関する考慮事項を組み込むことができます」と Appdome の最高製品責任者である Chris Roeckl 氏は述べています。 「この積極的なアプローチは好循環であり、脆弱性のリスクを最小限に抑え、セキュリティが最終製品の不可欠な要素となることを保証します。」
製品のセキュリティは、正しく実行されれば、DevSecOps の支持者が長年にわたって行ってきた約束を守るための重要な手段となります。
アプリケーション セキュリティと製品セキュリティは、組織が安全なソフトウェアをリリースして維持できるようにするという単一の目的を共有していますが、この目標を達成するために各機能が果たす役割は異なります。 「Appsec はテスト、検証、ツールチェーンに重点を置いていますが、製品のセキュリティには、ソフトウェア開発における人間の厄介な部分を含む SDLC 全体のビジネス ルールが含まれます」と、Google のスタッフ クラウド セキュリティ アドボケートである Michele Chubirka 氏は説明します。
さらに、アプリケーション セキュリティ チームは、強化の任務を負っている個々のアプリケーションを深く掘り下げますが、製品セキュリティでは、特定の製品の提供に役立つスタック全体のセキュリティを全体像からエンドツーエンドで見ていきます。 「製品のセキュリティはアプリケーションのセキュリティの延長です。 アプリケーション セキュリティは、単一のソフトウェア アプリケーションのコードと機能を保護することに重点を置いています」と Contrast Security の CISO である David Lindner 氏は述べています。 「製品のセキュリティでは、より広範な環境と、さまざまなコンポーネント間の通信から発生する可能性のある潜在的な攻撃ベクトルを考慮して、テクノロジー製品全体を総合的に捉えます。」
このより広範な環境には、一度に多数のアプリケーション、ハードウェア コンポーネント、および関連サービスが含まれる可能性があります。 製品のセキュリティは、それらが一緒に展開されるときのセキュリティ体制を考慮します。
一部の企業では、製品セキュリティは外部顧客のみに焦点を当てていますが、重要なバックエンドの財務システムや人事システムなどの社内プロジェクトも製品セキュリティの範囲内にあると考える企業もあります。 いずれにせよ、製品セキュリティの見通しはより包括的なものになると、世界的なソフトウェア開発会社 EPAM Systems の CISO である Sam Rehman 氏は説明します。 「これには、運用および技術的な制御、全体的な環境、クライアント ID、さらにはサービス内の潜在的な問題を検出して対応するためのメカニズムを含む、より広い範囲が含まれます」と彼は言います。
BlackBerry の製品セキュリティ担当バイスプレジデントである Christine Gadsby 氏は、違いを考える 1 つの方法は、アプリケーションをケーキに例えることだと言います。 アプリケーションのセキュリティは、誰かに提供する前に 1 つのケーキを検査して、安全そうに見え、汚染物質が含まれていないことを確認することに似ています。 一方、製品セキュリティは、すべてのケーキが安全でおいしいことを保証するために、パン屋がケーキを作る方法と使用するツールを改善するプロセスです。 「製品のセキュリティは、どちらかというと『全体像』のアプローチです。最初から最後までのベーキングプロセス全体であり、各ステップで適切なアクションとプロセスを確実に組み込んで、ケーキが正確に正しい組成になっており、顧客の繊細な要求に応えられるようにします。」おそらく繊細なパレットであり、その寿命の間ずっと「新鮮」なままです」と彼女は言います。 「組織として、製品セキュリティ チームは、製品またはシステムのリスト全体のセキュリティと、それらを顧客が使用するものを考慮する必要があります。これには、いくつかの「材料」やいくつかのケーキが含まれる場合があります。」