「金融」サービス企業は、デジタル時代において競争力を持つためには、新しいソリューションとサービスの「市場投入までの時間」を最適化することであることだと認識しています。

新しいアプリの展開や機能の改善でライバルを打ち負かした企業は、市場で優位を維持します。

これを実現するために、世界中の組織がDevOpsとアジャイル方法論を採用して新しいアプリやソリューションの迅速な提供、及びアップグレードを保証しています。

迅速な開発プロセスは魅力的に機能していますが、セキュリティー・チームにはまったく新しい課題をもたらします。

最近サイバー脅威が本質的に複雑化しており、アプリケーションのセキュリティ・リスクが多次元的になっています。

モノリシック・アプリケーションやクローズド・ネットワークの時代には、セキュリティをプロセスの最後に残しておいても問題はなかったかもしれませんが、デジタル変換の時代には、セキュリティ優先のアプローチが必要です。

これは特に、サイバー犯罪者や悪者から常に身を守ろうとしている銀行や金融業界に当てはまります。

今やほとんどすべての銀行やフィンテック企業が、消費者の需要により、オンラインポータルやモバイルアプリを提供しており、デジタルサービスを継続的にアップグレードする圧力が高まっています。

だからこそ、業界は常に、サイバー脅威に対する防衛方法を改善する新しい興味深い方法を模索しています。最初のステップは、もちろん、アプリケーションのコードを保護することです。

セキュアなSDLCプロセスの確立

銀行や金融機関は常にサイバースペースで攻撃を受けていますが、それらを標的にした攻撃ベクターのすべてが洗練されているわけではありません。

チームがソフトウェア開発ライフサイクル(SDLC)中にセキュリティを基礎にして、構築することを保証しながら、反復的なDevOpsデリバリと迅速なリリースサイクルを利用すれば、多くのシンプルな攻撃、および複雑な攻撃を防ぐことができます。

そのために組織は、まずアプリケーションのセキュリティ要件を確立する必要があります。開発チームとセキュリティチームは、アプリの重大なリスクを特定し、守るべき業界や規制基準があるかどうかを把握する必要があります。

開発チームとセキュリティチームの間に明確なコミュニケーションラインを確立する必要があり、適切なセキュリティ標準が設定されてから開発を開始する必要があります。

それに加えて、組織はアプリによって引き起こされる可能性のある攻撃面や様々なリスク領域について徹底的な分析を行う必要があります。

これらの攻撃対象は通常、アプリのパスとコマンド、アプリで使用される重要なデータ、そして最も重要なのは、これらのパスとデータを保護するコードです。

おそらく、SDLCプロセスにセキュリティーを導入する上で最も重要なステップは、静的分析セキュリティー・テストまたはSASTを実行することでしょう。

SASTは基本的に、アプリケーションのソースコードをスキャンして重大な脆弱性を検出し、ツールの一部の高度なバージョンはまだコンパイルされていないコードであっても自動的に実行されます。

SASTを実行することで、開発チームは最初からコードを特定し、それをセキュアにすることができ、開発の初期段階で強固でセキュアな基盤を築くことができます。

さらに、多くの金融機関が直面しているPCI-DSSなどのコンプライアンスや業界標準に関する問題もスキャンします。

SASTに続いて、開発チームはインタラクティブなアプリケーションセキュリティテスト(IAST)を使って、アプリのライブバージョンをテストする必要があります。

IASTツールは一般的にDevOps環境で動作するように設計されており、SDLCプロセスに影響を与えることなく、既存の機能テスト活動を活用して、実行中のアプリケーションの脆弱性を探します。

セキュアなSDLCを確立することは過去に大きな課題だったかも知れませんが、組織はセキュリティ目標の達成を支援するために、完全に統合されたプラットフォームを提供するベンダーに容易に頼ることができます。

適切なアプリケーション・セキュリティ・プラットフォームを選択することは、どのビジネスリーダーにとっても当然のことながら難しいでしょう。Tech Wire Asiaは、この市場の主要なアプリ・セキュリティ・プロバイダのリストを調べ、推奨できるものを見つけました。

Checkmarx:単一のプラットフォームですべてのセキュリティニーズに対応

適切な機能をすべて備えたワンストップの統合されたエンタープライズ・レベルのプラットフォームを見つけるという点で、CheckmarxのSoftware Security Platformに匹敵するものはありません。

このプラットフォームの総合的なアプローチは、セキュリティをDevOpsの方法論に完全に整合させ、SDLCのすべてのステップにセキュリティを組み込みます。

プラットフォームの中心にあるのは、Checkmarxの業界をリードするソースコード分析ソリューションであるCxSASTです。CxSASTは、開発チームがコード (コンパイルされていないものも含む) を自動的にスキャンして、セキュリティの脆弱性を検出することができる、非常に正確で柔軟なツールです。

生のソースコードをスキャンする機能により、企業は基本的に、開発ライフサイクルの初期段階でセキュリティを統合することができます。

さらに、Checkmarxは、独自の 「Best Fix Location」 によって修復作業を最適化し、1回の修正で複数のセキュリティ脆弱性を無力化するコードセグメントのクリティカルポイントを特定します。

一方、CheckmarxのInteractive Application Security Testing  (CxIAST) は、あらゆる組織のCI / CDパイプラインにシームレスに統合されているテスト対象アプリケーションの脆弱性を検出し、テストサイクル時間に影響を与えることなく、高度な脆弱性カバレッジにより、インテリジェントな修復を提供します。

オープンソース・コンポーネントと関連するリスク要因を検出する

CxSAST、CxIAST、CxOSAを備えたCheckmarxのSoftware Security Platformは、DevOpsを成功させるための理想的なプラットフォームです。

CheckmarxのSoftware Security Platformの詳細については、こちらをクリックしてご覧ください。