アプリケーションセキュリティテストサービスを評価するための10の質問
アプリケーション・セキュリティ、セキュア・バイ・デザイン、DevSecOpsは、もはや「理想のコンセプト」というレベルのものではなく、現実的なものです。ビジネス環境を脅かす新しい問題の増加、対応すべき法規制や業界のガイドラインも増しており、顧客も従業員も、御社あるいは御社に関係する企業にセキュリティ問題が起きないことを心から願っています。
出荷するシステムのセキュリティテストに確信を持てる戦略をもってあたることは、ビジネスを推進する上での基本的な事柄となっています。しかし、なぜアプリケーション脆弱性に起因する事件は一向に減らないのでしょうか。いくつもの要因があるとしても、頼みの綱であるアプリケーションセキュリティテスト – 脆弱性検査、ホワイトボックステストなどを含め – は、コストこそ似ていますが、その提供価値については驚くほど横並びなものではありません。セキュリティにかかわる経験、テストの範囲と調査能力、さらに御社に報告するレポートにおいてさえ、全く異なります。
アプリケーションセキュリティ脆弱性の有無を調べるため、御社がテストベンダーを適切に選定することは、該当するプロジェクトをひょいっとテストベンダーに任せる、というほど単純な問題ではありません。むしろ、御社の評判、ビジネスの安全性そのものを託すということを意味しています。
それで、アプリケーションセキュリティをテストするサービスベンダー(テストベンダー)を選定する際、どういうタイプの支援を受けようとしているのか、さまざまな視点からはっきりと理解し、メリット・デメリットをクリアにすることは不可欠でしょう。そこで、検討する10の質問をご用意いたしました。特に、経営者・マネージメントの方々も十分識別できます。少し時間をとって質問してみていただければと思います。
質問1. どんなテストが提供されるのでしょうか。
ベンダーが提供できるテスト・タイプの種類は、よくある脆弱性を発見する自動ツール操作で行われるものがあります。自動ツールテストは、脆弱性の影響範囲を識別できないため、そのままでは深刻な問題を発見するには不十分です。どんなに軽微な検査だとしても、ツールなどの出力結果を分析し、再現性を確認することは分析官によるマニュアルでの作業でなければレポートを受け取っても活用できません。
この業界のアナリストは、全てのアプリケーション・セキュリティーの弱点を調べることができるテスト・ツールなど存在しないことを知っています。ですから、テストプロバイダーは、御社のシステムのリスクに合わせて、また調査対象の領域にあわせて最適なツールを、複数組み合わせて検査し、分析することによってオーダーメードのレポートを提供できる必要があります。
質問2. 実際に脆弱性を見つけた時の対応として、どんなサポートがありますか?
セキュリティー・テストプロバイダーは、この質問を次のように解釈するかもしれません — 『ありとあらゆるテストを走らせること』。時代遅れです。その業者は、御社にはレポートとしてバグや問題のリストをばさっと渡しますが、問題の原因がどこにあるのか、どうやれば再現するのか、さらにどうやって修正するべきかについてのガイダンスを提供することを渋りがちです。
他方、総合的かつ実質のあるアプローチを取るプロバイダーは、結果をレビューし、ソフトウェアをセキュアにするためのアドバイスを提供します。アプリケーションの設計と開発プロセスをセキュアなものにし、開発チームがセキュアなコーディングについて理解が深められるようでなければ嫌がられるだけでしょう。セキュリティテストは、改善につなげて初めて、今後のセキュリティ問題を減少させる価値を提供できます。そのサポートは、チームの問題修復能力と原因特定能力を高めるサービスでしょうか。
質問3…
ほかにも、コスト削減、デリバリー効率化、コンプライアンス遵守などのトピックを含めた、全10問のチェックリストをご用意しました。御社のビジネス推進に貢献するサービス選びについて、正確に、事実に基づいて評価する助けになります。
まずはそれをご覧になり、その上でCigital 3Dのマネージドサービスがどのようなものかについてご覧いただければと思います。
フルバージョンのダウンロード
* Cigital 3D セキュリティテスト・マネージドサービスのデータシートとともにご提供します。