アプリケーションのセキュリティ - セキュリティの柱

アプリケーションのセキュリティ

アプリケーションのセキュリティ (AppSec) は、開発するワークロードのセキュリティ特性の設計、構築、テストの各方法の全体的なプロセスを説明するものです。適切なトレーニングを受けた人材を組織に配置した上で、ビルドのセキュリティ特性を理解してインフラストラクチャをリリースし、自動化を使用してセキュリティの問題を識別する必要があります。

ソフトウェア開発ライフサイクル (SDLC) とリリース後プロセスの一部としてアプリケーションセキュリティテストを採用することで、本稼働環境でのアプリケーションのセキュリティ問題の識別、修正、防止のための構造的なメカニズムを確立することができます。

ワークロードを設計、構築、デプロイ、運用する際、アプリケーション開発手法にはセキュリティコントロールを含める必要があります。その中で、継続的な欠陥削減のプロセスと技術的負債の低減を調整します。例えば、脅威モデリングを設計フェーズで使用すると、設計上の欠陥を早期に発見することができ、後になって問題を軽減するのと比較して、欠陥の修正をより簡単に、より安価に行うことができます。

一般的に、SDLC の早期に欠陥を解決することで、コストと複雑性を抑えられます。最も簡単な問題解決の方法は、そもそも問題を抱えないことです。したがって、最初に脅威モデルを作成することで、設計フェーズから適切な成果にフォーカスすることができます。AppSec プログラムが成熟するにつれて、自動化を使ってテストの数を増やしたり、ビルダーへのフィードバックの忠実性を高めたり、セキュリティレビューに必要な時間を短縮したりすることができます。これらすべてのアクションは、構築するソフトウェアの品質を改善し、本稼働への機能の実装までの時間を短縮します。

これらの実装ガイドラインは、組織と文化、パイプラインセキュリティ、パイプラインでのセキュリティ、および依存関係管理の 4 つの領域にフォーカスしています。各領域は、実装可能な一連の原則と、ワークロードの設計、開発、構築、デプロイ、運用のエンドツーエンドビューを提供します。

AWS には、アプリケーションのセキュリティプログラムに対処する際に使用できる多くのアプローチがあります。これらのアプローチの一部はテクノロジーに依存し、他のアプローチはアプリケーションのセキュリティプログラムにおける人や組織にフォーカスします。