Last Updated on 2024-06-07 19:12 by admin
デジタル変革を急ぐ中で、多くの組織が市民開発者アプリケーションに関連するセキュリティリスクに無自覚にさらされている。これらのアプリケーションは、低コード/ノーコード(LCNC)技術を使用しており、正式なコーディングやソフトウェア開発の訓練を受けていない個人が容易にアプリケーションを構築できるようになっている。これにより、「シャドウエンジニアリング」という新たな用語が生まれた。LCNCプラットフォームは、セキュリティチームの監視範囲外で従業員が独立してアプリを作成、展開できるようにする。しかし、これらのアプリケーションは、ソフトウェアの脆弱性や誤設定を検出するために設計された通常のコードテストを迂回し、違反が発生する可能性がある。
シャドウエンジニアリングに関連するリスクに対処するには、LCNCアプリに従来のアプリケーションセキュリティ原則を適用することが必要である。これには、LCNCアプリケーションと自動化を発見し、追跡すること、アプリケーションを保護すること、コンプライアンスを強制すること、市民開発者を支援すること、定期的に監視することが含まれる。LCNCおよびRPAによるソフトウェア開発の民主化は、組織がガバナンスとセキュリティコントロールを実装するために必要な可視性を維持する限り、肯定的な発展である。しかし、多くの大企業では、市民開発者アプリに関連するリスクがしばしば検出されず、軽視され、軽減されていない。
【ニュース解説】
デジタル変革の加速に伴い、多くの企業が新たなセキュリティリスクに直面しています。特に、低コード/ノーコード(LCNC)技術を活用した「シャドウエンジニアリング」という現象が注目されています。この技術により、正式なプログラミングスキルを持たない「市民開発者」が簡単にアプリケーションを作成し、企業のデジタル化を推進することが可能になりました。しかし、これらのアプリケーションは従来のセキュリティチェックやガバナンスプロセスを迂回するため、未知のセキュリティリスクを企業にもたらすことがあります。
シャドウエンジニアリングによって生じるリスクに対処するためには、LCNCアプリケーションに対しても従来のアプリケーションセキュリティの原則を適用することが重要です。これには、アプリケーションの発見と追跡、アプリケーションの保護、コンプライアンスの強制、市民開発者への支援、そして定期的な監視が含まれます。これらのステップを通じて、LCNCアプリケーションとRPA(ロボティックプロセスオートメーション)に関連するセキュリティリスクを管理し、軽減することができます。
LCNC技術とRPAによるソフトウェア開発の民主化は、適切なガバナンスとセキュリティコントロールが実施される限り、企業にとって肯定的な影響をもたらす可能性があります。これにより、開発プロセスが加速し、デジタル変革が促進される一方で、セキュリティリスクの管理には新たなアプローチが求められます。
しかし、多くの大企業では、市民開発者によるアプリケーションのセキュリティリスクが十分に認識されず、対策が講じられていないのが現状です。このため、企業はシャドウエンジニアリングによるリスクを特定し、これに対処するための体制を整えることが急務となっています。
この動向は、企業がデジタル変革を進める上で、セキュリティとイノベーションのバランスをどのように取るか、という新たな課題を提示しています。また、セキュリティチームと開発チームの間のコミュニケーションと協力を強化し、セキュリティをデザイン段階から組み込む文化を醸成することが、これらのリスクを効果的に管理する鍵となります。
from Understanding Security's New Blind Spot: Shadow Engineering.
