企業のセキュリティ、リスクが高いのはネットワークよりもアプリケーション：DevSecOpsへの取り組みが不適切

WhiteSourceは調査会社のPonemon Instituteと協力して行ったエンタープライズアプリケーションのセキュリティリスク軽減に向けた調査結果を紹介した。セキュア開発ライフサイクルを徹底することと、開発チームとセキュリティチームの連携が重要だという。

» 2021年05月21日 16時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　オープンソースセキュリティとライセンスコンプライアンス管理プラットフォームを手掛けるWhiteSourceは2021年5月13日（米国時間）、調査会社のPonemon Instituteと協力して2020年に実施した調査のレポート「Reducing Enterprise Application Security Risks: More Work Needs to Be Done」（エンタープライズアプリケーションのセキュリティリスク軽減：求められる対策強化）の要点を紹介した。

　この調査は多くの企業が「アプリケーション層は最もセキュリティリスクが高く脆弱（ぜいじゃく）だ」と考える理由を明らかにするために実施された。

エンタープライズアプリケーションのリスクに対する認識　組織内で第一優先順位にあると答えた回答が59％に及び、2015年調査よりも14ポイント増加した（出典：Ponemon Institute）

　IT担当者とITセキュリティ担当者を対象に、どんなアプローチでアプリケーションのセキュリティ確保に取り組んでいるのかを尋ねたもので、634人から回答を得た。この調査では、外部からの攻撃や権限の悪用、データ窃盗からアプリケーションを保護すること、これをエンタープライズアプリケーションセキュリティと定義している。

アプリケーションは攻撃に対して脆弱だと回答

　企業の間で、アプリケーションセキュリティに関する懸念がこれまで以上に高まっている。レポートによると、「安全ではないアプリケーションに対するハッキング」への懸念が最も大きい。

　レポートでは、アプリケーションのセキュリティリスクを軽減する取り組みに関する特定の基準を満たした企業を“ハイパフォーマー”と呼び、ハイパフォーマーと回答企業全体の回答傾向を比較した。

　ハイパフォーマーからの回答では「安全ではないアプリケーションに対するハッキング」を最大の懸念として挙げている回答者が46％に達した（回答全体では38％）。

どのようなハッキングを最も懸念しているかに対する認識　ネットワークレイヤーに対する2倍以上、アプリケーションに懸念がある。ハイパフォーマーの回答を赤色で示した（出典：WhiteSource）

アプリケーションセキュリティに対する企業の予算配分が適正ではない可能性あり

　調査対象となった組織内には平均2672のビジネスアプリケーションが展開されており、そのうち30％がビジネスクリティカルだと見なされていた。

　下図にあるように、幅広いアプリケーションセキュリティテスト（AST）ツールが採用されていることは、多くの企業がアプリケーションセキュリティを優先課題と位置付けるようになっていることを示している。

どのようにアプリケーション保護に取り組んでいるか　External pen test（外部ペネトレーションテスト）、DAST（Dynamic Application Security Testing）、WAF（Web Application Firewall）、RASP（Runtime Security Self-Protection）、Internal pen test（内部ペネトレーションテスト）、IAST（Interactive Application Security Testing）、SAST（Static Application Security Testing）、SCA（Software Composition Analysis）。SASTとDAST、IAST、SCAはセキュリティスキャニングツール。WAFとRASPはランタイムプロテクションツール（出典：WhiteSource）

　問題はこうだ。データ保護予算やセキュリティ予算は増えているものの、分野別のセキュリティリスクに関する担当者の認識と、予算の分野別の配分にはずれがある。

　各分野について、セキュリティリスクが高いと答えた回答者の割合では、アプリケーション（38％）の方がネットワーク（20％）よりもはるかに高いが、データ保護予算とセキュリティ予算の配分割合は、アプリケーション（17％）の方がネットワーク（38％）よりもはるかに低い。

セキュリティリスク認識（青色）と支出配分（赤色）のギャップ　アプリケーションとネットワークで逆転現象がみられる（出典：WhiteSource）

エンタープライズアプリケーションの脆弱性への対処

　アプリケーションの脆弱性がなぜ修正しにくいかといえば、現在のソリューションでは、脆弱なアプリケーションを迅速に修正できず、誤検知の割合が高いこと、脅威を迅速に検知できないためだ。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

狙われるWebアプリケーション、何が起こるのか
当連載ではWebアプリケーションのセキュリティがどのような状況にあり、どのような攻撃や防御策があるのかを紹介していく。第1回はWebアプリケーションがどのように狙われているのか、概要を紹介する。Webアプリケーションに向けた攻撃は数多く、規模も大きい。主に4つの部分が攻撃にさらされており、被害の内容は異なる。
DevOpsの邪魔にならないセキュリティをどう実現するか――CI/CDに統合可能な「IAST」とは
デジタルトランスフォーメーションの加速と同時に、セキュリティ品質に対するユーザーの目の厳しさが増す中、DevOpsのプロセスにいかにセキュリティを取り組むかは大きな課題だ。このような中、「IAST（Interactive Application Security Testing）」というカテゴリーのツールに注目が集まっている。
本当に攻撃されたら何するの？――クラウド環境での脆弱性検査とサイバー攻撃の検知・確認に関する基礎知識
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド環境での脆弱性検査と、サイバー攻撃を受けた場合の検知・確認方法に関する基礎知識について。