アプリケーションセキュリティ(AppSec)プログラムは、従来のソフトウェア開発においても難しく、多くの脆弱性を抱えている。スタッフは過負荷で、予算は不足しており、開発者とのコミュニケーションも困難である。このような状況の中、2人のチームが3ヶ月で70,000のセキュリティ脆弱性を解決した事例がある。実際には、80,000の脆弱性を発見し、そのうち70,000を90日以内に修正した。
シャドーITとも呼ばれる市民開発者は、大企業のあらゆる部分に組み込まれている。マイクロソフトは昨年、低コード/ノーコードプラットフォームであるPower Platformが3300万ユーザーを超え、年間50%成長したと発表した。これらのユーザーは、金融からリスク管理、顧客ケアに至るまで、重要なアプリケーションを構築している。
市民開発のセキュリティにはいくつかの課題がある。市民開発の規模は、開発者の数、アプリケーションの数など、どの指標を取っても従来の開発の10倍から100倍に及ぶ。また、ビジネスユニットの差異が大きく、一部のビジネスユニットは異なる法律や規制の下にあり、リスク許容度も異なる。市民開発者はセキュリティに精通しておらず、プロセスの欠如も問題となる。
市民開発のAppSecプログラムを成功させるには、自動化とセルフサービスに大きく依存する必要がある。プログラムを構築する際には、インベントリ、ポリシー、セキュリティ評価と再テスト、セルフサービス、SLAの遵守、追跡と報告、経営陣のサポートなどの基本から始める。この記事で紹介されたチームは、これらのポイントを全て実践し、プロセスを設計することで、環境のセキュリティリスクを大幅に削減することに成功した。
【ニュース解説】
シャドーITとは、企業の正式なIT部門の管理外で行われる情報技術の活動を指します。この現象は、特に市民開発者(ビジネスユーザーが自らのニーズに合わせてアプリケーションを開発すること)の増加により、大企業のあらゆる部門で見られるようになっています。マイクロソフトのPower Platformのような低コード/ノーコードプラットフォームの普及により、従来の開発者でなくても簡単にアプリケーションを作成できるようになりましたが、これが新たなセキュリティ上の課題を生み出しています。
市民開発の規模は従来のソフトウェア開発に比べて非常に大きく、多様なビジネスユニットが異なる法律や規制、リスク許容度の下で動いています。市民開発者はセキュリティに関する専門知識が乏しく、迅速な開発が求められるため、セキュリティプロセスの欠如が問題となります。
このような背景の中、市民開発のアプリケーションセキュリティ(AppSec)プログラムを構築するためには、自動化とセルフサービスが鍵となります。具体的には、アプリケーションのインベントリ作成、リスク許容度に基づくポリシーの明確化、セキュリティ評価とその再テスト、セルフサービスポータルの提供、サービスレベル契約(SLA)の遵守、進捗の追跡と報告、経営陣のサポートなどが必要です。
記事で紹介された2人のチームは、これらの基本に従い、プロセスを細部まで設計することで、わずか3ヶ月で70,000のセキュリティ脆弱性を解決しました。この事例は、市民開発のセキュリティリスクを効果的に管理する方法が存在することを示しています。
このアプローチは、デジタル変革を推進しながらもセキュリティを確保するための新たなモデルを提供します。しかし、自動化とセルフサービスの導入は、組織内での広範な認識と理解、そして経営陣の強力な支援が不可欠です。また、市民開発者がセキュリティを意識した開発を行えるよう、教育とサポートの体制を整えることも重要です。長期的には、このような取り組みが企業のセキュリティ文化を形成し、シャドーITのリスクを最小限に抑えながらイノベーションを促進することに繋がるでしょう。
from What Building Application Security Into Shadow IT Looks Like.
