アプリケーションセキュリティ
アプリケーションセキュリティ(AppSec)
別称: AppSec, ソフトウェアセキュリティ
定義
ソフトウェアのライフサイクル全体を通じて、悪用・改ざん・不正アクセスに耐えられるように設計・構築・テスト・運用する分野。
アプリケーションセキュリティは、ソフトウェアに悪用可能な脆弱性が存在せず、本番環境でも自衛できるようにするための人・プロセス・ツールを包括する分野です。脅威モデリング、セキュアデザイン、セキュアコーディング規約、コードレビュー、自動テスト(SAST、DAST、IAST、SCA)、依存関係の管理、WAF や RASP などのランタイム保護までを対象とします。AppSec チームは開発と協働して CI/CD パイプラインにセキュリティゲートを組み込み、修正コストが最も低い段階で脆弱性を検出します。目標は完璧ではなく、デリバリ速度・攻撃面・ビジネス影響のバランスを取った許容可能なリスク水準の達成です。
例
- GitHub Actions パイプラインに Semgrep の SAST と Snyk の SCA スキャンを追加する。
- リリースごとにステージング環境に対して OWASP ZAP の DAST スキャンを実行する。
関連用語
セキュアソフトウェア開発ライフサイクル(SSDLC)
要件・設計・実装・テスト・リリース・運用といったソフトウェア開発の各フェーズにセキュリティ活動を組み込んだライフサイクル。
DevSecOps
セキュリティの責任を DevOps のワークフローに組み込み、安全なソフトウェアを継続的かつ高速に提供するための文化とプラクティス群。
シフトレフトセキュリティ
セキュリティ活動をソフトウェアライフサイクルの早い段階に前倒しし、コードが本番に到達する前に脆弱性を発見・修正する取り組み。
SAST(静的アプリケーションセキュリティテスト)
ソースコード・バイトコード・バイナリを実行せずに自動解析し、インジェクションや安全でない API、弱い暗号などのセキュリティ欠陥を検出する手法。
DAST(動的アプリケーションセキュリティテスト)
稼働中のアプリケーションにネットワーク経由でアクセスして行うブラックボックス型のセキュリティテストで、ランタイムでのみ現れる脆弱性を検出する。
OWASP Top 10
OWASP Top 10 — definition coming soon.