Skip to content

Contrastでデジタルレジリエンスを構築する3つの方法

By Jeff Williams, Co-Founder, Chief Technology Officer

10月 18, 2023

DevOps RASP IAST セキュリティ Webアプリケーション ランタイムセキュリティ WAF DAST DORA コンプライアンス

    
Contrastでデジタルレジリエンスを構築する3つの方法

サイバー攻撃、サプライチェーンの問題、洪水、津波、山火事、機器の故障そして戦争。金融セクターでは、とりわけこのようなあらゆる種類の混乱、課題、事件の中で業務を継続するしかない。

オペレーショナルレジリエンスを維持することの必要性が規制当局の下で起爆剤になっておいる。そして、規制当局は不測の事態に備える必要性をますます重視するようになっている。その代表的な例の1つが、欧州連合(EU)のデジタルオペレーショナル レジリエンス法 (DORA)だ。これは金融機関がインシデントを特定、防止、緩和、回復するための包括的な枠組みを確立し、情報通信技術(ICT)攻撃に影響を与える不利な状況にもかかわらず、重要な機能を維持し、必要不可欠なサービスを提供し、顧客、利害関係者、規制当局に対する義務を果たすことを目的としている。

ContrastがどのようにDORAをサポートしているかについては、当社のソリューション概要を参照のこと。

ソリューション概要はこちら  

DORAとは?

EU理事会は、EU(欧州連合)各国の閣僚から構成され、法律の制定や改正、政策の調整を行う権限を持つ。2022年11月に、EU理事会はサイバー脅威や業務妨害に対してEUの金融セクターを強靭に保つため、すべてのEU加盟国の金融機関(銀行、保険会社、投資会社)に一貫したITセキュリティ基準を提供することを目的としてDORAを採択した。

2022年12月、DORAは規則(EU) 2022/2554として欧州連合官報に掲載された。この法は、単なる指令とは異なりすべてのEU加盟国にとって拘束力のある規則であり、2023年1月16日に発効した。

ContrastDORAの要件にどのように対応しているか?

欧州連合官報による法規則の第25条には、ICTツールやシステムのテストに不可欠な要素が詳述されている。この新しい規制に対応するには、EUの金融サービス企業が使用するサードパーティ製ライブラリを含めカスタムアプリケーションとAPIをセキュリティで保護することが重要である。Contrast Securityは、Contrastのセキュリティプラットフォームで、DORA第25条を次のようにサポートしている。

25.1 - 第24条にいうデジタルオペレーショナルレジリエンスのテストプログラムにおいては、第4条(2)に定める基準に従い、脆弱性評価及びスキャン、オープンソース解析、ネットワークセキュリティ評価、ギャップ分析、物理的なセキュリティレビュー、アンケート及びスキャンソフトウェアソリューション、実行可能な場合にはソースコードレビュー、シナリオベースのテスト、互換性テスト、性能テスト、エンドツーエンドテスト及びペネトレーションテストなどの適切なテストの実施を定めるものとする。

Contrast は、脆弱性評価とスキャン、オープンソース解析、スキャンソフトウェアソリューション、ソースコードレビュー、エンドツーエンドテスト、ペネトレーションテストについて、§25(1)のDORAテスト要件をサポートしている。Contrastで、これらの評価を実行するプロセスを自動化し、通常の開発プロセスの一部としてリアルタイムで精度の高い検査結果を得ることができる。

 

25.2 - 証券集中保管機関および中央清算機関は、新規又は既存のアプリケーション及びインフラコンポーネント、並びに金融機関の重要な又は重要な機能をサポートするICT サービスの導入又は再導入の前に、脆弱性評価を実施するものとする。

Contrastのスピードと自然なパイプラインの統合によって、新規または既存のアプリケーションおよびAPI、コンポーネントやICTの脆弱性評価を、導入または再導入のたびに実行するという、§25(2)の要件を満たすことができる。通常のQAテスト(手動および自動)中に、Contrastで脆弱性解析が自動的に実行できるため、追加のセキュリティ作業は必要ない。

 

25.3 - 零細企業は、第1項に規定されるICTテストに対して割り当てるリソース規模と時間との間でバランスを取ったアプローチを維持する必要性を十分に考慮して、本項におけるテストを実施するものとする。また一方で、緊急性、リスクの種類、情報資産や提供するサービスの重要性、並びに金融期間が予測されたリスクを負う能力を含めて、その他の関連要素も十分に考慮するものとする。

Contrastの無限の拡張性、リアルタイムの解析、精度の高さにより、§25(3)において規模、速度、労力のバランスを上手く取ることができ、最小限の労力でソフトウェアの セキュリティを最大化できる。

Contrast Securityは、DORA規則(EU) 2022/2554への準拠に向けた重要なステップである、アプリケーションとAPIのセキュリティを確実にすることができる。デモを予約して、是非その仕組みを見て欲しい。

ランタイムセキュリティの時代へ

全てのスタックにランタイムセキュリティが含まれ、ソフトウェア開発企業が健全なアプリケーションセキュリティ(AppSec)プログラムを持ち、迅速な脆弱性対応、最小限のバックログ、高速な技術革新を実現する未来を想像している。

アプリケーションセキュリティのポッドキャストのこのエピソードを聴いてほしい。ランタイムセキュリティについて、主に以下の視点で論じている。

  • DASTをIAST(インタラクティブ・アプリケーション・セキュリティ・テスト)に簡単に置き換えるられる理由
  • WAF(Webアプリケーションファイアウォール)を捨てる時期かどうか
  • RASP(ランタイムアプリケーションセルフプロテクション)とIASTの検出およびルールテクノロジの違い
  • ランタイムセキュリティはAppSecの万能薬か?
DevOps RASP IAST セキュリティ Webアプリケーション ランタイムセキュリティ WAF DAST DORA コンプライアンス

Jeff Williams, Co-Founder, Chief Technology Officer

Jeff brings more than 20 years of security leadership experience as co-founder and Chief Technology Officer of Contrast Security. He recently authored the DZone DevSecOps, IAST, and RASP refcards and speaks frequently at conferences including JavaOne (Java Rockstar), BlackHat, QCon, RSA, OWASP, Velocity, and PivotalOne. Jeff is also a founder and major contributor to OWASP, where he served as Global Chairman for 9 years, and created the OWASP Top 10, OWASP Enterprise Security API, OWASP Application Security Verification Standard, XSS Prevention Cheat Sheet, and many more popular open source projects. Jeff has a BA from Virginia, an MA from George Mason, and a JD from Georgetown.

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 10月13日

アイランドホッピング攻撃の進化