Contrast Securityは、2024年8月にアプリケーションにおける検知と対応(ADR)をリリースしたが、ガートナー社の最新の調査レポートでもADRが注目されている。William Dupre氏による2025 Gartner® Implement Effective Application and API Security Controls (ガートナー社顧客限定)*では、現代の複雑なアプリケーションセキュリティの問題が取り上げられている。
ガートナー社の調査によると、「Webアプリケーション、モバイルアプリケーション、APIは、ますます多くの複雑な攻撃にさらされている。アプリケーションセキュリティを担うセキュリティアーキテクトは、アプリケーションとAPIを保護するために、効果的なセキュリティ対策を多角的に組み合わせる必要がある。」
Contrastでも、そう考えている。アプリケーション層への攻撃はかつてないほど増加しており、従来の防御策だけでは現代の問題を解決できない。
ガートナー社の調査によると、「単一のセキュリティプラットフォームやソリューションで、あらゆる攻撃に対して最高レベルの防御を実装しているものはない。単一のソリューションから始める企業もあるだろうが、脅威やアプリケーション環境の変化により、時間の経過とともに、より高度なセキュリティ機能が必要になるだろう」とのことだ。
Gartner Magic Quadrant™ for SIEMはこちら
市場の方向性と、一歩先を行くための戦略を確認してほしい。
実際、Contrastの調査によると、WAF(Webアプリケーションファイアウォール)やEDR(エンドポイントにおける検知と対応)ソリューションでは、アプリケーション層での攻撃を相当数見逃していることが明らかになっている。 SAST(静的アプリケーションセキュリティテスト)やSCA(ソフトウェアコンポジション解析)などの特定時点のスキャン技術では、誤検知が多すぎて処理が遅くなり、結果的に本番コードに悪用可能な脆弱性が残ってしまう。
ガートナー社は、「セキュリティアーキテクトは、開発者、事業責任者、他のアーキテクトと協力して、リスクを軽減するために最も適切なセキュリティコンポーネントを決定すべきだ。関係者全員が防御レベルと解決策の選択肢を明確に理解することが重要だ。多様な立場の人材による脅威モデリングを実施することで、リスクに基づいた適切な対策を適用できる。」と提言している。
Contrastでは、リスクの軽減こそが目標であることに賛同しており、そのための最善の方法は、実行時の保護を含む多層的なセキュリティ対策であり、攻撃を発生時点で阻止することだと考えている。 アプリケーションがどのように攻撃されているかをリアルタイムで把握できないまま、組織が自社のアプリケーションをインターネット上に公開すべきではないと考えている。アプリケーションセキュリティ(AppSec)テストとADRを組み合わせることで、最高の観測、ワークフロー、セキュリティが実現する。Contrastでは、こうしたデータの宝庫をContrastグラフにまとめ、開発者と運用担当にとってのセキュリティを効率化する。
ガートナー社は、ADRなど複数のテクノロジを取り上げ、「これは、WebアプリケーションやAPIを保護するソリューションの一種で、潜在的な攻撃を検知し対応するために、アプリケーションの実行時動作を監視・解析する。このようなソリューションは、ランタイムアプリケーション自己保護(RASP)製品を基に発展したもので、実行中のアプリケーションを監視したり、基盤となるカーネルの動作を解析することでシステムアクティビティを把握する。」と述べている。
何十年にもわたる実績に基づき、Contrastは、実行中のアプリケーションをインストゥルメントすることこそが、現在のアプリケーションセキュリティにおける重要な要素だと確信している。 ADRテクノロジにより、組織はセキュリティ体制を進化させることができる。アプリケーション層の攻撃を検知して対応し、AIの支援によって根本的な脆弱性を修正・対策することができる。
また、WAF単体では簡単にバイパスされる可能性があると考えている。これは、ガートナー社の調査でも「エクスプロイト対策には、WAFに加えて、ADRやRASPソリューションを検討すべき」とされている。
ガートナー社のレポート全文はこちら(ガートナー購読者限定)で確認を。
なぜ重要なのか
2025年のガートナー社のレポートは、当社の主張を裏付けていると考えている。アプリケーションとAPIのセキュリティは、従来の境界防御やスキャナーだけでは不十分ということだ。防御は、コンテキストに応じたものであり、迅速に対応でき、そして、現代のソフトウェアの開発・デプロイ方法とアーキテクチャ的に適合している必要がある。
Contrast ADRが、そのビジョンを実現する。つまり、検知と対応の遅れを解消し、実際の攻撃をリアルタイムで阻止するために必要なツールをセキュリティ部門に提供することで、実現するのだ。
* 2025年4月10日、Gartner, Implement Effective Application and API Security Controls, William Dupre
GARTNERは、米国およびその他の国におけるガートナー社および/またはその関連会社の登録商標およびサービスマークであり、許可を得て使用しています。全ての権利が留保されています。ガートナーは、その調査出版物に掲載されているベンダー、製品またはサービスを推奨するものではなく、また、テクノロジユーザに対して、最高の評価やその他の指定を受けたベンターだけを選択すべきだと提言するものでもありません。ガートナーの調査出版物は、ガートナーの調査組織の見解を表したものであり、事実の記述として解釈されるべきではありません。ガートナーは、この調査に関して、明示または黙示を問わず、商品性または特定目的への適合性に関する保証を含め、一切の保証責任を負いません。
