アプリケーションセキュリティ(AppSec)とは？

by Canonical on 23 June 2025

サイバーセキュリティの世界は変わりました。サイバー攻撃、マルウェア、ランサムウェアのリスク増大に加え、新しいサイバーセキュリティ規制の圧力、情報漏洩や違反にかかる高額の罰金により、もはやアプリケーションセキュリティ（AppSec）は必須です。

このブログ記事では、このような課題に対処し、基本的なセキュリティ対策を中心として業務やシステムを守る方法を紹介します。AppSecの概要と利点、AppSecの設計と実装に取り組む方法を説明した後、セキュリティに関するCanonicalチームのアドバイスとAppSecのベストプラクティスを検討しましょう。

AppSecとは

アプリケーションセキュリティ（略してAppSec）とは、アプリケーションのライフサイクルを通じて脆弱性の悪用を防ぐあらゆるツール、操作、処理を含む幅広い用語です。アプリケーションセキュリティの目的は1つです。アプリケーションへの不正アクセス、悪用、有害な改ざんの糸口を攻撃者に与えるアプリケーションやシステムの弱点を見つけ、未然に修正することです。

アプリケーションセキュリティとは、システムとアプリケーションを守る1つの対策ではありません。むしろ、初期設計、チームでの作業、ツール、使用するネットワーク、最終的な運用開始、製品の長期的なサポートに至るすべてです。アプリケーション、組織、プロセス全体にわたって脆弱性を見つけ、大きな問題になる前に是正する全作業と言えます。

AppSecとは、1つのツール、技術、操作でもありません。アプリケーションのセキュリティを全体的に高めるため、開発から運用開始までのさまざまなソフトウェアエンジニアリング業務を含む概念です。

アプリケーションセキュリティの利点

優れたAppSecは、システムやアプリケーションのセキュリティ強化、ユーザーの信頼性向上、罰金やサイバーインシデントの削減、規制コンプライアンスの継続など、組織に多くの利点をもたらします。

一般にAppSecは以下において重要な役割を果たします。

• コードが本物で有害な改ざんがないことを確認する
• アプリケーションのCVE数を減らす
• 機密データを保護する
• アプリケーション、システム、データベースへの不正アクセスをブロックする
• 攻撃者、マルウェア、データ漏洩、その他のサイバーインシデントを阻止する
• 規制に適合する
• ビジネスの中断を防ぐ
• セキュリティ侵害やサイバーインシデントを防ぐ
• サイバーインシデントによる経済的損害、評判の低下、ブランドの傷を防ぐ

アプリケーションセキュリティの9つのベストプラクティス

AppSecは、開発ライフサイクルのすべての部分にわたり、組織全体で幅広く行うことであり、組織のパイプラインのすべての段階、レイヤー、プロセス、ツールを含めることが重要です。

このためには、組織と技術スタックの両方の改善を目指す必要があります。つまり、ソフトウェア、ハードウェア、内部/外部ネットワーク、インフラストラクチャのすべてを改善するとともに、設計プロセス、社内プロセス、通信パイプライン、組織構造も評価し、改善する必要があります。

堅牢で信頼性の高いAppSec戦略を立てるために、私は自分の経験から以下の9つの重点項目を提案します。

1) 設計と概念化の段階から始める

セキュリティは、コードを書くずっと前に始まります。アプリケーションセキュリティの欠点の大半は、選択した技術やアーキテクチャの適切な検討、綿密な脆弱性評価、リスク分析によって排除できます。

長期的なサイバーセキュリティ対策をサポートする堅実で持続可能なものを選択してください。たとえばUbuntuは開発者の間で極めて人気の高いプラットフォームです。単にオープンソースだからではありません。サポート付きで安定性と信頼性に優れているため、ソフトウェアが成長し、複雑化するにつれて必然的に生じる課題にも対処できるからです。セキュリティデザインも同様に考えましょう。将来に向け、信頼できるものを土台に選ぶ必要があります。

2) 最も起こる可能性の高いリスクや攻撃を明らかにする

優れたAppSecには、脆弱性管理や脆弱性評価（これもCanonicalウェブサイトのブログを参照）も欠かせません。選択したアーキテクチャと計画中のアプリケーションデザインに対し、広く深く徹底した調査を実行してください。特に「攻撃者が侵入する可能性が最も高い経路や場所はどこか？」を検討します。

脆弱性管理においては、脅威の深刻度、リソース管理、リスクが生じる可能性とのバランスに注意が必要です。組織全体のリスク許容度に基づき、最も生じる可能性が高く、深刻な脅威から対処していきます。

これにより脅威を選別し、最も重要な脆弱性に対処しながら、アプリケーションセキュリティを全体的に改善するロードマップを明確に描くことができます。

また、システム堅牢化という概念に捉われないことを強くおすすめします。繰り返しますが、AppSecは全体的なものです。ソフトウェア、ハードウェア、ネットワークという従来の枠の外にあるサイバーセキュリティリスクも慎重に調査する必要があります。これには、従業員の審査と採用、建物へのアクセス制限、職場内外でのコミュニケーション方法などが含まれます。

3) サイバーセキュリティの基本事項を再検討し、徹底する

優れたAppSecでは、アプリケーション設計とサイバーセキュリティ管理の基本事項が重要です。サイバーセキュリティを確保し、堅牢なAppSecを整備する推奨手順は以下のとおりです。

• 可能な限りゼロトラスト戦略を採用する
• 認証、許可、アクセス制限のセキュリティを確認する（認証情報の管理も）
• 「セキュアバイデフォルト」の設定を使用する
• 攻撃対象領域を最小化する：使用していないポート、コンポーネント、パッケージなどがあれば、必要になるまでデフォルトで無効化する
• 暗号化を適切に使用し、保存中、送信中のデータを保護する
• 機密データはすべて暗号化し、プレーンテキストやクリアテキストのデータを避ける
• すべての入力を検証し、すべての例外を処理する
• アプリやシステムへのアクセス許可を最小限に抑え、デイゼロからサーバーサイドのリクエスト偽造を阻止するようベースラインを設計する
• アプリやシステムを構築する全員が共通脆弱性を認識し、回避できるよう、セキュリティの基本事項について定期的な開発者トレーニングとスキルアップを行う

セキュリティの基本事項を徹底する方法は数多くありますが、どれを選ぶにしても、常に複数の攻撃経路を考慮し、多層型の防御を構築することが重要です。これに関するガイドをお探しの方には、多層型セキュリティの構築に関する最新のホワイトペーパーを強くおすすめします。

4) ソフトウェアのサプライチェーンを考慮する

当然ながら、コンポーネントが安全に運用および使用でき、使用している限りメンテナンスを受けられることを確認する必要があります。

パッケージやコンポーネントの提供元、依存ファイル、セキュリティ上の義務（パッチやセキュリティ更新）を慎重に検討してください。悪用される可能性の高い依存ファイルが1つでもあれば、自社と自社の評判が危険にさらされます。

セキュリティパッチを配信する信頼性の高い提供元のコンポーネントとパッケージを使用するだけでなく、既知の脆弱性のあるライブラリを使用しないよう、何らかの点検手順を設けるべきです。

5) 厳しいテストを継続的に行う

言うまでもありませんが、アプリケーションやシステムを実際に運用する前の厳しいテストは必須です。新しいサイバーセキュリティ規制により、かつてマーク・ザッカーバーグが言った「即座に行動せよ、そして破壊せよ」のようなスピード第一の市場化は難しくなりました。

ソフトウェア、システム、製品は、予期しない状況や環境でも想定どおりに動作する必要があります。

テスト、テスト、またテストです。そしてテストのテストも

6) 頻繁な監査と外部テスト

この項目は上の続きと言えます。アプリを自社でテストするだけで十分ではありません。すべての組織には、厳しいテストを妨げる盲点、思い込み、優先事項があります。安全だと確信する（安全だと思うのではなく）唯一の方法は、第三者の確認を得ることです。

その確認を行うのが、アプリケーションとシステムのセキュリティテストを実行できる独立した機関です。テストには、製品や市場のニーズに応じ、ペネトレーションテスト、検証テスト、コンプライアンス評価などがあります。ペネトレーションテストやセキュリティテストなどを提供する組織は山ほどあります。きちんと仕事をすることが証明された組織を選びましょう（CREST認証を取得しているなど）。

7) 長期的なモニタリング

もう1つ重要な手順は、アプリやシステムの運用中のサイバーインシデントを長期的に監視および検出することです。これにより、いつ、どのようにインシデントが起きたかがわかるだけではありません。侵害やサイバーインシデントの範囲を評価し、被害を受けたシステムの修復やセキュリティ確保も容易となります。

長期的なモニタリングはAppSec対策の有効性を評価する上で重要です。継続的なモニタリングとテストがなければ、脅威情勢の絶え間ない変化や毎日のように発見される新しい脆弱性に適応できません。

リリース後も長期的なモニタリングを継続するには、安定したセキュリティレポートのワークフロー、そして社内と社外の両方のレポートへのインシデント対応プロセスが必要です。アプリを実行する組織は、ユーザーや第三者が脆弱性の可能性を報告でき、組織側でそれに対処できるよう、明確なマニュアルと十分にテスト済みのメカニズムを準備する必要があります。何か事件が起きたときのためのインシデント対応プレイブックを作成し、テストしておくことも重要です。

8) 既存のものは活用する

どんな組織にもセキュリティチームが必要ですが、だからと言ってすべてゼロから作る必要はありません。自動化ツール、専用プラットフォーム、特化したアプリケーションのほか、セキュリティのベースラインを満たす作業を代行してくれるサービスプロバイダーは多数あります。ノータッチのパッチ適用、24時間無休のモニタリングやイベントアラート、自動化されたDAST/SASTツールがあれば、製品を広範囲にわたってテストできます。

たとえばUbuntu Proです。Ubuntu Proは、再起動不要の自動パッチ適用、36,000以上の信頼できるパッケージライブラリ（主要なツールチェーンやアプリケーション）へのアクセスなどにより、継続的な脆弱性管理に必要な手作業や事務作業の大半を実行します。これがあれば、OSやアプリのパッチ適用に時間や手間を取られることはありません。

9) セキュリティに実績のある専門家と協力する

うれしいことにAppSecは十分に確立された分野であり、豊富なリソースがあります。たとえばOWASPは非営利のコミュニティですが、必要な人すべてに貴重なサイバーセキュリティリソースを提供しています。

ベースラインを整える知識、時間、リソースが自社になくても、AppSec業界には、実証済みのサイバーセキュリティ対策、協調して脆弱性に対応するプラットフォーム、信頼できるセキュリティプロバイダー、業界ベンチマーク、安定した長期サポートがふんだんにあります。Canonicalは20年にわたり、Ubuntuをはじめ、開発者コミュニティで人気の高い多くのオープンソースアプリやサービスの開発とメンテナンスを続けています。Canonicalの製品は、ソフトウェア開発における20年の実績に加え、20年にわたるセキュリティの教訓を踏まえています。

近年、セキュリティは人間のすべての行動にあり、全員の責任であるというサイバーセキュリティの理念が一般的になりつつありますが、結局のところ、AppSecの包括的なアプローチもそれに通じるものがあります。脅威の増加、新しい脆弱性の登場、予測不能な攻撃経路、全世界的なサイバーセキュリティ規制の強化（膨大な罰金は言うまでもなく）により、AppSecの必要性に議論の余地はありません。これまで以上に、プロセスの厳密な点検、高度なサイバーセキュリティの基本理念に基づく設計、信用あるソフトウェアサプライチェーンからのパッケージ取得を心がけてください。

アプリケーションセキュリティ対策にかかる手間と時間を軽減する方法は、ubuntu.com/proをご覧ください。