--API経済圏という言葉が出てきており、アプリケーションの開発が変化している。また、IoTなどの新しい種類のアプリケーションも出てくる。そこでも脆弱性の問題が出てくると思うが、管理はどうしたらいいのか?
マイクロサービスという新しいコンセプトが出てきている。マイクロサービスは通常、コンテナで実装されており、コンテナはセキュリティとライセンス管理という点で、新たな問題を呈している。
OS、データベース、アプリケーションサーバ、HTTPなどを含み、その上にアプリケーションが載るというアプリケーションスタックがある。このスタックがどのようなものでできているのか、バージョンは何か、既知の脆弱性はないかなどを知っておくことが重要だ。
IoTについてだが、IoTデバイスはソフトウェアで構成されており、家庭、自動車、ウェアラブルなどさまざまなものに実装される。これは攻撃者に新しい機会を、セキュリティ専門家に新しい課題をもたらすものだ。各社は少しでも早く製品を市場で展開しようと急いでおり、それに当たってオープンソースの利用が増えている。
そのため、やはり管理の問題が出てきているが、実に大規模な実装ベースに対して起きることになる。やはり、オープンソースソフトウェアのバグを素早く発見して、修正することが非常に重要になる。
アプリケーションの脆弱性が報告されることには、良い面と悪い面がある。ベンダーやアプリケーション開発元に脆弱性を報告するためには、どうやってエクスプロイトするのかも公開することになるため、悪意ある攻撃者にも情報が渡ってしまうことになる。こうなると、対応するスピードがとても大切になる。