アプリケーション セキュリティとは

 

アプリケーション セキュリティとは、アプリケーション内のデータやコードを盗難や乗っ取りから保護することを目的とした、アプリケーション レベルのセキュリティ対策です。アプリケーション セキュリティは、アプリケーションの開発や設計時に生じるセキュリティ上の考慮事項に対応するものですが、展開後のアプリケーションを保護するシステムとアプローチもこれに該当します。

 

アプリケーション セキュリティは、セキュリティの脆弱性を特定したり最小化するハードウェア、ソフトウェア、および手順などで構成されます。外部のユーザーがインターネット越しにコンピューターの IP アドレスを確認できないようにするルータは、ハードウェアによるアプリケーション セキュリティの一種です。アプリケーション レベルのセキュリティ対策は、一般的にソフトウェアにも組み込まれています。たとえば、許可および禁止するアクティビティを厳密に定義するアプリケーション ファイアウォールなどがあります。手順に含まれるものには、アプリケーションのセキュリティ ルーチン(定期的なテストのような処理手順)などがあります。

VMware のアプリケーション セキュリティ

環境全体のアプリケーション攻撃対象領域を縮小して脅威を軽減する方法

無償ダウンロード 

アプリケーション セキュリティの定義

アプリケーション セキュリティは、不正なアクセスや改変などの脅威に対するセキュリティの脆弱性を回避するためのセキュリティ機能を開発、テストし、アプリケーションに組み込むプロセスです。

 

アプリケーション セキュリティが重要な理由

現在のアプリケーションはさまざまなネットワークから利用でき、クラウドにも接続していることが多いため、セキュリティの脅威や侵害に対して脆弱です。そこで重要になるのがアプリケーション セキュリティです。ネットワーク レベルのセキュリティの確保に加え、アプリケーション自体を保護することへの要求や動機も高まっています。その理由の 1 つに、アプリケーションを対象とする攻撃が以前より増えていることが挙げられます。アプリケーション セキュリティ テストの実施は、アプリケーション レベルの弱点を明らかにし、こうした攻撃を防止するのに役立ちます。

 

アプリケーション セキュリティのさまざまな機能

アプリケーションのセキュリティ機能には、認証、認可、暗号化、ログ収集、アプリケーション セキュリティ テストなど、さまざまな機能が含まれます。アプリケーションの脆弱性を緩和するコードを開発者が書くこともできます。

 

ソフトウェア開発者は、認証と認可の手順をアプリケーションに組み込み、認可済みのユーザーのみにアプリケーションへのアクセスを許可することができます。認証プロセスにより、ユーザーが本人であることを確認できます。認証プロセスは、アプリケーションにアクセスする際にユーザー名とパスワードの入力を求め、ユーザーにログインしてもらうことで実現できます。多要素認証では、パスワードなどの既知の情報、モバイル デバイスなどの所有物、または指紋や顔などの本人のみが持つ特徴など、複数の要素を使った認証を行います。

 

認証が成功すると、ユーザーはアプリケーションにアクセスし、使用することが許可されます。システムでは、ユーザー ID と認可済みユーザーのリストが照合され、そのユーザーにアプリケーションへのアクセスが許可されているかどうかを検証できます。認証は必ず認可の前に行われる必要があります。これは、アプリケーションで認証に成功したユーザーの認証情報のみを認可済みユーザーのリストと照合するためです。

 

認証済みのユーザーにのみアプリケーションの使用を許可する仕組みのほかにも、さらに機密データの漏洩や不正利用を防ぐためのセキュリティ対策があります。クラウドベースのアプリケーションでは、機密データを含むトラフィックがエンド ユーザーとクラウドとの間でやり取りされるため、このトラフィックを暗号化することでデータの安全性を確保できます。

 

アプリケーションへのセキュリティ侵害が発生した場合、データにアクセスしたユーザーとアクセス経路の特定には、ログが役立ちます。アプリケーションのログ ファイルでは、アプリケーションのどの部分にどのユーザーがアクセスしたかを示すタイムスタンプ付きの記録を確認できます。これらすべてのセキュリティ制御が正常に機能していることを確認するには、アプリケーション セキュリティ テストが必要です。

 

クラウド アプリケーションのセキュリティ

クラウド アプリケーションのセキュリティでは、対処するべき課題が増加します。クラウド環境ではリソースが共有されるため、クラウドベースのアプリケーションではそれぞれのユーザーが閲覧を許可されているデータにのみアクセスするように、特別な注意を払う必要があります。また、クラウドベースのアプリケーションではユーザーとアプリケーションとの間でインターネット経由でデータがやり取りされるため、機密データはより脆弱な状態になります。

 

モバイル アプリケーションのセキュリティ

モバイル デバイスも、プライベート ネットワークではなくインターネット経由で情報を送受信するため、攻撃に対して脆弱になります。企業では、アプリケーションにリモートでログインする従業員に仮想プライベート ネットワーク(VPN)を提供し、モバイル アプリケーションのセキュリティ レベルを高めることができます。IT 部門でも、企業ネットワークに接続するモバイル デバイスで従業員が使用するモバイル アプリケーションを精査し、企業のセキュリティ ポリシーに適合するかどうかを確認してから使用を許可することができます。

 

Web アプリケーションのセキュリティ

Web アプリケーションのセキュリティは、ブラウザー インターフェイスを使用して、インターネット経由でユーザーがアクセスするアプリケーションやサービスなどの Web アプリケーションを対象とします。Web アプリケーションは、ユーザーが使用しているローカルのマシンではなくリモートのサーバで実行されるため、インターネット経由の情報のやり取りが発生します。Web アプリケーションのセキュリティは、Web アプリケーションのホストや Web サービスの提供を行う企業にとって、特別な懸念事項となります。多くの場合、このような企業ではネットワークへの侵入防止のため、Web アプリケーション ファイアウォールが採用されます。Web アプリケーション ファイアウォールは、データ パケットを検査し、有害と考えられるデータ パケットをブロックする仕組みです。

 

アプリケーション セキュリティ制御とは

アプリケーション セキュリティ制御は、コード レベルでアプリケーションのセキュリティを強化して、脅威に対する脆弱性を緩和する技術です。アプリケーション セキュリティ制御では、アプリケーションの弱点を悪用してサイバー犯罪者が送り込む予期しない入力に対して、アプリケーションがどのように応答するかをコントロールします。プログラマーは、予期しない入力から導かれる結果をより詳細に制御できるようにアプリケーション コードを記述できます。ファジングは、アプリケーション セキュリティ テストの一種です。ファジングでは、予期しない値や入力から得られる結果をテストして、想定外のアプリケーションの動作を引き起こし、セキュリティ ホールの原因となるパターンを見つけます。

 

アプリケーション セキュリティ テストとは

アプリケーション開発者がソフトウェア開発プロセスの一貫として行うテストです。アプリケーション セキュリティ テストでは、新しいアプリケーションやアップデート版のアプリケーションにセキュリティ上の脆弱性が存在していないかどうかを検証します。セキュリティ監査を行うと、アプリケーションが特定のセキュリティ基準に準拠しているかどうかを確認できます。アプリケーションがセキュリティ監査に合格しても、アプリケーションへのアクセスは認可されたユーザーにのみ許可する必要があります。侵入テストでは、サイバー犯罪者の手口を想定してアプリケーションへの侵入方法を探ります。侵入テストには、ソーシャル エンジニアリングと呼ばれる、ユーザーをそそのかして不正なアクセスを許可させる試みも含まれます。一般的に侵入テストの担当者は、未認証でのセキュリティ スキャンと認証済みのログイン ユーザーでのセキュリティ スキャンの両方を実施し、いずれの状態でも見つからないようなセキュリティ上の脆弱性を検査します。

アプリケーション セキュリティに関連する VMware の製品、ソリューション、リソース

デスクトップとアプリケーションの仮想化におけるデータ セキュリティを確保するための 3 つのステップ

VMware が提供しているデスクトップとアプリケーションの仮想化ソリューションは、企業データを保護しながら従業員の生産性を高めるために役立ちます。その方法についてご紹介します。デスクトップとアプリケーションの仮想化では、企業データを 3 種類の簡単な方法で保護できます。

最新のアプリケーションの保護における課題

最新のアプリケーションは、一般的にサーバ、仮想マシン、サービス、データベースのすべてが連携して稼動するネットワークで構成されています。そのため、アプリケーション セキュリティは、アプリケーションそのものと同様に俊敏である必要があります。

アプリケーション セキュリティ ソフトウェア:AppDefense

脅威を追跡するのではなく、アプリケーションの本来の稼動状態や振る舞いを把握し、その状態に変化が生じると脅威が侵入したと判断します。脅威が検出されると、自動的に対応します。

アプリケーションとインフラストラクチャの保護

vSphere は包括的な組み込みのセキュリティ機能を提供し、Software-Defined Data Center(SDDC)の基盤として、アプリケーション、データ、インフラストラクチャ、アクセスを保護します。

あらゆる場所でアプリケーションを保護するための 5 つの方法

最新のアプリケーションは、ハッカーやマルウェアに対して脆弱です。サイバー攻撃はかつてないほど簡単に仕掛けることができ、セキュリティ侵害による被害は拡大しています。

ネットワーク仮想化とセキュリティ ソフトウェア

VMware NSX® Data Center は、ネットワークの仮想化とセキュリティをソフトウェアで実現するソリューションです。Software-Defined Data Center(SDDC)の主要コンポーネントであり、データセンター、クラウド、アプリケーションを接続および保護する Virtual Cloud Network の基盤となります。