🔒️
英語4文字のセキュリティ用語あれこれ説明できる? - SBOM/SAST/DAST...
セキュリティの話になると、謎の4文字くらいの英語が羅列しているのを見たことありません?
それらのセキュリティ用語を説明できますか?
私はできません多すぎて分からなくなるので少し整理します。
早見表
| 用語 | 一言解説 |
|---|---|
| SBOM | ソフトウェア部品表。構成要素を一覧化する。 |
| SCA | OSSやライブラリの脆弱性・ライセンス管理。 |
| AST | アプリの脆弱性を検出するセキュリティテスト。 |
| SAST | ソースコードを静的解析して脆弱性検出。 |
| DAST | 実行中アプリに攻撃して脆弱性検出。 |
| IAST | 実行中+内部情報で脆弱性を検出。 |
| MAST | モバイルアプリのセキュリティテスト。 |
| RASP | 実行中アプリをリアルタイムで防御する技術。 |
| ASOC | セキュリティツールの結果を統合・管理する。 |
| ASPM | アプリのセキュリティ体制を可視化・管理。 |
| CSPM | クラウド設定のセキュリティ管理。 |
| SIEM | ログ・イベントを分析し異常検知。 |
| CIEM | クラウド権限の可視化・リスク管理。 |
| KSPM | Kubernetesのセキュリティ設定管理。 |
| CNAPP | クラウドネイティブ環境の統合セキュリティ。 |
| CWPP | クラウドワークロードの保護。 |
備考
以降、〇〇系とそれぞれ分類をしていますが、なんとなくです。
また、これは単なるイメージですが、Platformの上に各Managementが乗っかっており、そのManagement系がテストツールや保護技術を使っているような位置づけなのかなと勝手に解釈してます。
構成管理系
SBOM(Software Bill of Materials)
- ソフトウェア部品表
- 製造業における「部品表(BOM)」のアナロジー
- 製品に含むソフトウェアを構成するコンポーネントや依存関係、ライセンスデータなどをリスト化した一覧表。
メリット
- 脆弱性対応の迅速化
- コンプライアンス/ライセンス管理
- サプライチェーンリスクの可視化
技術仕様
SBOMは標準フォーマットがあります。
| 名称 | 概要 | 標準化団体・仕様 |
|---|---|---|
| SPDX | Linux Foundationによるオープン標準のSBOMフォーマット | Linux Foundation |
| CycloneDX | セキュリティ用途を念頭に設計されたSBOM仕様 | OWASP |
| SWID | ISO標準的なソフトウェア識別タグのフォーマット | ISO/IEC 19770-2 |
SPDX: Software Package Data Exchange
SWID: Software Identification Tags
背景・歴史
- 部品表(BOM)という考え方は昔からあった
- OSSが普及し、第三者ソフトウェアを多用することにより見えないセキュリティリスクへの懸念が高まった
- 2021年5月、バイデン政権がSBOM関連の作成を義務化する大統領令を発令(主に政府関連システムが対象?)
- 日本では義務化されていない(おそらく)
- 2023年に経済産業省(METI)が「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引 ver1.0」を公表
出典:
SCA(Software Composition Analysis)
- ソフトウェア構成分析
- ソフトウェアが利用しているオープンソースコンポーネントやサードパーティライブラリに潜む脆弱性やライセンスの問題を検出、管理する。
テスト系
AST(Application Security Testing)
- アプリケーションセキュリティテスト
- ソフトウェアに対してセキュリティ脆弱性を検出するための各種ソフトウェア技術群を総称する用語
SAST(Static Application Security Testing)
- 静的アプリケーションセキュリティテスト
- ホワイトボックス型テスト
- アプリケーションのソースコードを静的に解析し、脆弱性を検出する。
DAST(Dynamic Application Security Testing)
- 動的アプリケーションセキュリティテスト
- ブラックボックス型テスト
- 実行中のアプリケーションに対して攻撃者の視点から擬似的な攻撃リクエストを送信し、アプリケーションの応答や挙動から脆弱性を検出する。
IAST(Interactive Application Security Testing)
- SASTとDASTの強みを組み合わせた手法
- アプリケーションを実行しながら、内部に組み込んだエージェントを使って動的に挙動を観察し、脆弱性を検出する。
- アプリケーションが稼働中のときに、内部情報(コード構造、データフロー、設定等)を得ながら分析を行う。
メリット
- 誤検知の低減:内部情報と実行時情報を持つため、挙動と文脈を考慮した判定ができる可能性
- ハイブリッド的検出能力:静的な構造と動的な実行挙動の両面からチェックできるため、SASTやDASTの単独では見つけづらい脆弱性を補える可能性
MAST(Mobile Application Security Testing)
- モバイルアプリケーションセキュリティテスト
- スマホアプリに特有の脆弱性を検出するためのテスト
防御系
RASP(Runtime Application Self-Protection)
- ランタイムアプリケーション自己保護
- アプリケーションの実行中に内部動作を分析し、不正・攻撃的な振る舞いや脆弱性の悪用をリアルタイムで検知・阻止するセキュリティ技術
Management系
ASOC(Application Security Orchestration & Correlation)
- アプリケーションセキュリティのツールやスキャン結果を統合してオーケストレーションさせ、統合的に脆弱性やセキュリティリスクを管理する
- 複数のASTツールの出力を一元化し、重複やノイズを削減、優先順位をつけやすくする
ASPM(Application Security Posture Management)
- アプリケーションセキュリティ態勢管理
- アプリケーション開発ライフサイクルの全体をモニタリングし、包括的に可視化・管理する
CSPM(Cloud Security Posture Management)
- クラウドセキュリティ態勢管理
- クラウドのセキュリティ態勢を維持・強化する
- クラウドサービスの設定全体を継続的にモニタリングし、設定ミスやポリシー違反、脆弱性、ドリフトを検出する
SIEM(Security Information and Event Management)
- セキュリティ情報イベント管理
- IT環境で発生するログ・イベント情報を収集・分析し、セキュリティアラートの生成・監視・対応を支援する
主な機能
- ログ・イベント収集
- 正規化、相関分析
- アラート生成・通知
- ユーザー、エンティティ行動分析
- ダッシュボード、可視化、レポート
背景・歴史
- もともとログ管理やセキュリティイベント管理のログ分析が別々の技術として存在していた
- Gartnerが2005年にSIMとSEMを統合した概念としてSIEMを提唱した
CIEM(Cloud Infrastructure Entitlement Management)
- クラウドインフラ権限管理
- クラウド環境におけるアクセス権限を管理し、セキュリティリスクを低減する
主な機能
| 機能項目 | 概要 |
|---|---|
| 権限の可視化 | クラウド上のすべてのIDと、それらに与えられている権限を検出 |
| 実効アクセス解析 | 割り当て権限だけでなく、継承・条件・ロール重複などを考慮し「実際にどのリソースまでアクセスできるか」を分析 |
| 異常・リスク検知 | 権限変更、予期せぬ権限付与、危険な権限の併用などを検知 |
メリット
- 権限過剰状態の抑制
- 最小権限の実施を持続可能に
- 複数クラウドをまたいで統一的に管理
KSPM(Kubernetes Security Posture Management)
- Kubernetesセキュリティ態勢管理
- Kubernetes環境におけるセキュリティ設定やリスクを包括的に管理し、自動的に検出・修正する
主な機能
| 機能項目 | 概要 |
|---|---|
| 構成・設定スキャン・監査 | クラスター設定、RBAC、APIエンドポイント、Podセキュリティ、ネットワークポリシー、Admission Controller設定などをスキャンし、脆弱設定やベストプラクティス違反を検出 |
| 継続的モニタリング・ドリフト検知 | クラスター構成や設定の変化を監視し、セキュリティポリシーから逸脱した部分を検知 |
| ポリシー定義・適用 | CISベンチマークや組織固有ポリシーなど、定義済みセキュリティポリシーに基づいて評価を実施 |
| 修復支援・自動化 | 脆弱設定の是正案提示や自動修復を支援 |
Platform系
CNAPP(Cloud Native Application Protection Platform)
- クラウドネイティブ環境のセキュリティを保護するための統合セキュリティプラットフォーム
詳しくはこちら
CWPP(Cloud Workload Protection Platform)
- クラウド環境で稼働するワークロード(仮想マシン、コンテナ、サーバレス関数、物理サーバー)を保護することを目的としたセキュリティソリューション群
- CSPMやCNAPPなどと併用・統合されることが多い。
主な機能
| 機能項目 | 概要 |
|---|---|
| ワークロード可視化・検出 | 稼働中のワークロードを把握・追跡する機能 |
| 脆弱性スキャン・診断 | ワークロードに既知脆弱性がないかチェック |
| 実行時保護 | 実行中のワークロードに対してマルウェアや異常挙動、攻撃パターンを検知・遮断 |
| システム整合性 | ファイル改ざんや不正な実行ファイル、許可されていないプロセス起動などを監視 |
| ネットワーク/通信制御・セグメンテーション | ワークロード間通信の制御 |
| コンプライアンス・設定チェック | 設定やポリシーがセキュリティ基準に違反していないか、設定ミスがないかをチェック |
メリット
- 統一的にワークロードを保護できる
- リアルタイムで防御が可能
- セキュリティの可視化
- セキュリティポリシーの一貫性を保てる
Discussion