アプリケーションセキュリティに有効な対策は、「技術」「組織」「人材」の3領域にわたります。
- 【技術面】セキュアな設計・テスト・運用
セキュアコーディングによる設計、ペネトレーションテストやDAST/SAST等によるセキュリティテスト、WAFや脆弱性診断による継続的な運用の3ステップでリスクを低減します。 - 【組織面】情報セキュリティマネジメント・CSIRT・DevSecOps
組織全体でセキュリティ基準を統一する情報セキュリティマネジメント、インシデント発生時に対応するCSIRT、開発プロセス全体にセキュリティを組み込むDevSecOpsの3つで、予防・対応・開発の各フェーズをカバーします。 - 【人材面】業務委託・社内教育・採用・自動化ツールの活用
業務委託で専門性を確保する方法、社内教育で自社ニーズに合った人材を育成する方法、即戦力を採用する方法があり、自社の状況に応じて組み合わせます。人材確保が困難な場合は、脆弱性診断ツールなどの自動化により、専門知識がなくても対策を実施できる体制を構築できます。
アプリケーションセキュリティは、技術・組織・人材の3領域を包括的に整備することで、単一の対策では防ぎきれないリスクにも対応可能になります。
各対策の具体的な実施手順については「アプリケーションセキュリティに有効な対策」をご覧ください。
