政府機関のデータは常に個人ハッカーや国家が支援するハッカーによる悪意のあるアクティビティの標的になっています。ソースコードや設計の弱点、パッチが適用されていない脆弱性、不十分なアプリケーション・セキュリティ対策なども組織や有権者を重大なリスクにさらす要因です。そのため、最近の複雑なアプリケーション環境においてセキュリティを維持することが政府機関の重要課題となっています。
最近の政府機関に対するセキュリティに関する指令や連邦サイバーセキュリティの戦略計画に伴い、ソフトウェア開発ライフサイクルの全段階にわたり品質とセキュリティに対するリスクを検出および管理する一連のツールや自動プロセスを構築することが不可欠です。
FTCおよびVerizonによる最近の報告によると、政府機関のアプリケーションは重大な容赦ない攻撃に直面し、あらゆる業種の中でサイバーインシデントおよび侵害の標的となった件数が最大です。米国国家科学技術会議(NSTC)が定めた目標は、攻撃のコストが侵害による利益の可能性を上回るようなアプリケーション・セキュリティおよびリスク管理対策を実現することです。
組織のサイバーセキュリティに関する意思決定は、組織の資産、脆弱性、潜在的な脅威の評価を共有したうえで行い、セキュリティ投資がリスク情報に基づいて行われるようにする必要があります。これは、資産、脆弱性、露出、潜在的な脅威に関して組織に十分な情報がない場合でも、達成しなければなりません。"
NSTC
|Federal Cybersecurity Research and Development Strategic Plan、2016年2月
連邦指令および戦略構想は、アプリケーション・セキュリティの目標達成度、セキュリティ・ハッカーの阻止、連邦政府全体へのソフトウェア普及の奨励に対する基準を規定しています。
政府機関アプリケーションの不具合1件あたりの目標コード行数
実効性のあるリスク管理により攻撃者の優位を排除するまでの目標期限
オープンソースとしてリリースする必要がある政府機関コードの最低割合
攻撃が低コストでできる理由はどこにあるのでしょうか。アプリケーション・コード内のパッチが適用されていない脆弱性や特定されていない脆弱性は容易にエクスプロイトされます。パッチが未適用、またはゼロデイ脆弱性を持つコンポーネントが1つでもあると、膨大な数のアプリケーションが危殆化する可能性があります。最近の米国国土安全保障省の報告では、セキュリティ・インシデントの90%がソフトウェアの不具合に対するエクスプロイトによるものと推定しています。
アプリケーションの脆弱性を検出して修正することにより、敵対者の抑止と攻撃成功の防止に重大な影響がもたらされます。