Application Security Orchestration and Correlation(ASOC)はアプリケーション・セキュリティ(AppSec)・ソリューションに分類され、ワークフローの自動化による脆弱性のテスト・修正の効率化を支援します。ASOCソリューションは様々なAppSecソース(SAST、DAST、IASTツールなど)からデータを収集して1つのデータベースに統合し、結果の相関付けを行って重要な修正作業に優先順位を付けます。最終的な結果により、セキュリティ・チームは情報に基づいた効率的な方法でAppSec(アプリケーション・セキュリティ)のアクティビティを合理化できます。
大局的に見ると、ASOCの最大の利点はDevSecOpsの効率向上に役立つことです。アジャイル開発では迅速化とツールの向上が求められるため、セキュリティ・チームにとって適切なリソース管理と修復アクティビティが大きな課題となります。ASOCはその課題に取り組む上で重要な役割を果たします。
ASOCはセキュリティの取り組みに様々な利点をもたらします。
AppSecの一般的な問題は、脆弱性管理とCI/CD(継続的インテグレーション/継続的開発)パイプラインの分離です。ASOCでは、複数のソースから得られた統合テスト結果を1つのツールに一元化して結果を関連付け、リスクの高い脆弱性に優先順位を付けることでギャップを埋めることができます。これにより、開発速度に遅れを生じることなく、CI/CDパイプライン内のセキュリティ・オーケストレーションが可能になります。
セキュリティ・チームに対する要求が増え続ける中、セキュリティ・チームと開発チームに課される脆弱性の過負荷を軽減するために、ASOCの役割は間違いなく重要性を増していきます。既存のパイプラインで継続的に自動スキャンを行うASOCソリューションでは、単一のソースから、組織で使用されるすべてのツールの自動スキャンをスケジュールできます。将来的には、AppSecは、ASOCを信頼できる唯一の情報源として採用し、その情報源を活用してAppSecポートフォリオを効果的かつ効率的に管理する方向に向かう可能性が高いでしょう。
包括的なASPMソリューションを提供するSynopsysのSoftware Risk Managerでは、次のことが可能です。
Software Risk Manager がどのようにセキュリティ活動を合理化し、テスト結果に優先順位をつけるかについて、詳しくはこちらをご覧ください。