ソフトウェア脆弱性の悪用は、サイバーセキュリティ侵害の最も一般的な経路の1つです。マイアミを拠点とするソフトウェア・プロバイダ Kaseya 社に対する攻撃で、ハッカーは同社の仮想システム管理者・ソフトウェアの脆弱性を悪用しました。同社の企業システムだけでなく、Kaseya 社の顧客のシステムにも感染させました。
別のランサムウェア攻撃では、ハッカーが非アクティブなVPNアカウントのために侵害されたパスワードを使用して、コロニアル・パイプライン社のネットワークを侵害しました。コロニアル・パイプライン社は、米国東海岸沿いの燃料供給パイプライン全体を閉鎖しなければなりませんでした。また、同社は約500万ドルの身代金を支払いました。
高レベルの組織に対するランサムウェア攻撃が増加しているため、アプリケーション・セキュリティとデータ保護が企業にとってますます重要になっています。幸いなことに、モダン・アプリケーションは、セキュリティを念頭に置いてゼロから構築されており、 従来のアプリケーションよりもグローバルなセキュリティ脅威に対する耐障害性が高まります。
モダン・アプリケーション開発プロセスには、データ保護に関していくつかのメリットがあります。詳しく見てみましょう。
セキュリティを一から
モダン・アプリケーション開発では、セキュリティの問題がプロセスのできるだけ早い段階で解決されるため、アプリケーションの耐障害性とセキュリティが向上します。この手法は、DevOps モデルに IT セキュリティを組み込む DevSecOps と呼ばれます。DevSecOps 環境では、セキュリティは開発、運用、セキュリティ・チームの間で共有される責任です。
この方法論を通じて、プロジェクトのセキュリティとコンプライアンスの目標は、後見として導入されるのではなく、計画段階から定義されます。自動化は、初期設計から開発、統合、テスト、配信に至るまで、ソフトウェア開発プロセスのあらゆる段階にセキュリティを統合するために使用されます。これにより、アプリケーションのセキュリティ基準と要件への準拠が保証されます。
DevSecOps の実践により、アプリケーション開発チームはセキュリティ問題の発生時に対処します。これにより、脆弱性がリリースされた製品に侵入する可能性が大幅に低減されます。
より安全なコード
バグや脆弱性は、アプリケーションへの感染に最も頻繁に使用されるハッカーの出入り口です。その結果、モダン・アプリケーションは、セキュリティ・ツール、プロセス、フレームワークを使用して、コード内のセキュリティ手順を自動化し、実行します。
モダン・アプリケーション開発における継続的な統合とテストにより、コードの脆弱性を引き起こすバグやエラーのリスクを低減します。開発プロセス全体で継続的にテストを実施することで、バグや脆弱性を早期に発見し、発見された時点で修正することができます。
継続的な統合(CI)プロセスでは、各コード・チェックインにより、ユニットおよび統合テストを実行するビルドがトリガーされます。テストに失敗した場合は、コードが次のステージに移動する前に解決する必要があります。これにより、開発から実稼働まで、コードに障害が発生しても、他のステージでテストが実行できないようにすることができます。
また、コード分析ツールや脆弱性評価は、機能、API、オープンソース・ライブラリ、モジュールの脆弱性を検出するためにも使用され、データの損失やデータの不適切な使用につながる可能性があります。
統合セキュリティ・テスト
モダン・アプリケーション開発は、ソフトウェア開発プロセス全体にセキュリティ・テストを統合します。これにより、ソフトウェアが脆弱性について徹底的にテストされ、コードがセキュリティとデータ保護の基準を満たしていることが保証されます。実行可能なセキュリティ・テストには、脆弱性評価、受け入れテスト、動的テスト、ペネトレーション・テストなどがあります。
脆弱性スキャンでは、セキュリティの抜け穴が本番環境に押し出されていないことが確認されています。 受け入れテストでは、認証とログイン機能が必要に応じて機能していることを保証します。
動的テストでは、自動化ツールと手動レビューの両方を使用して、コードの実行機能を評価します。テストでは、ソフトウェアがさまざまなユーザー権限でどのように動作するか、および重大なセキュリティ障害が発生したときにどのように動作するかを分析します。
ペネトレーション・テストは、ソフトウェアがリリースされる前に実行し、脆弱性を検出します。これらのテストの結果は、ソフトウェアをより堅牢にし、エクスプロイトに対して脆弱にするために使用できます。
継続的な監視
継続的な監視は、開発プロセスのあらゆる段階でセキュリティの脅威やコンプライアンスの問題に対する可視性を開発者や運用チームに提供する自動化されたプロセスです。ソフトウェアがリリースされると、継続的な監視プロセスによって、本番環境で発生した問題がチームメンバーに警告されます。これらの早期警告は、検出された問題に関する重要なフィードバックを提供し、適切な人々に警告し、できるだけ早く問題を解決できるようにします。
さらに、継続的な監視により、過去および現在の問題に関するリアルタイムのデータと指標を提供します。チームは、将来起こり得るリスクや脆弱性を防ぐために、この情報を使用することができます。また、インシデント対応、脅威評価、根本原因分析、データベース・フォレンジックなどのセキュリティ対策の実装にも役立ちます。これらのセキュリティ対策は全て、データ保護において重要な役割を担っています。
クラウドベースの環境
モダン・アプリケーションは通常、クラウドアーキテクチャ上に構築されており、データを安全に維持するためのいくつかの重要なメリットを提供します。例えば、クラウドベースの環境では、パブリック、プライベート、ハイブリッド・クラウドなど、複数の環境にわたって完全な可視性を維持できます。
アプリケーション開発チームは、クラウド環境を積極的に監視し、セキュリティの脅威、マルウェア、疑わしいユーザーの行動やファイルアクティビティを特定できます。レプリケーション、リカバリ、信頼性の高いデータ・バックアップなどのディザスタ・リカバリ・タスクは簡単です。さらに、暗号化とデータ削減サービスにより、秘密データの安全性を確保します。
また、クラウドベースの環境では、セキュリティ制御の定義と自動化が容易になります。これらの制御は、ポリシーを定義し、データ損失の防止と検出を支援するアクセスを管理します。
モダン・アプリケーションには近代的なデータ保護が必要
企業のデータを安全に保護するために、近代的な時代のために特別に設計されたデータインフラへの切り替えを検討してください。ピュア・ストレージは、次のようなソリューションにより、データ保護のニーズを満たします。
- ランサムウェアのデータ保護と組み込みのデータレプリケーション
- FlashBlade//S 高速リストアにより、高速で信頼性の高いデータのバックアップとリカバリを実現します。開発、テスト、本番ワークロードに、最大 270TB/時のデータ・リカバリ性能を提供します。
- ピュア・ストレージ ActiveCluster は、イーサネットとファイバーチャネルをサポートする真のビルトイン・アクティブ-アクティブ・クラスタです。
ピュア・ストレージの近代的なデータ保護およびディザスタ・リカバリ・ソリューションのメリットを活用します。
