目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ:セキュリティ・アディッショナルタイム(24)(4/4 ページ)
2018年8月にセキュリティカンファレンス「Black Hat USA 2018」が開催された。Googleによる基調講演や、「モグラたたきを終わらせ、根本的な原因を解決する」ための取り組みを実践した企業による講演の模様をお届けする。
開発者を妨げず、開発段階にセキュリティを統合するには
このように「大本の原因に取り組む」、すなわち開発段階からセキュリティを意識し、リリース前に極力脆弱性をつぶしていくことの重要性は、広く理解され始めている。問題は、開発者に負担をかけたり、開発プロセスの効率を損なったりすることなくいかにそれを実現するかだ。
市場には、そんな取り組みを手助けするツールが徐々に登場してきた。中でもデジタルトランスフォーメーションを前提に、CI/CD(継続的インテグレーション/継続的デリバリー)で開発からデプロイまでを迅速に回していく開発スタイルとの統合を念頭に置き、リリースのスピードを殺すことなくセキュリティを確保するというアプローチが目立っている。
例えば「IAST」(Interactive Application Security Testing:対話型アプリケーションセキュリティテスト)や、「RASP」(Run-time Application Security Protection)と呼ばれる製品群がそれに当たるだろう。IASTは、開発パイプラインの中にセキュリティチェックを埋め込み、リアルタイムにコードを解析して問題の修正を促すテストツールだ。一方RASPは、リアルタイムにコードを解析するところまでは同じだが、その情報に基づいて外部からのさまざまな攻撃を防ぐ役割を果たす。
これまで、デプロイされたWebアプリケーションをSQLインジェクションやクロスサイトスクリプティングを狙う攻撃から保護するのはWebアプリケーションファイアウォール(WAF)の役割だった。
だが、RASP製品を提供する一社、ShiftLeftの創立者で会長を務めるManish Gupta氏は、「長年にわたってセキュリティ業界に携わってきたが、マルウェアや新たな攻撃が登場すると新たなシグネチャを書いて提供し、また新たな脅威が生まれるとシグネチャを書き……の繰り返しで、リアクティブだった。これに対しRASPは保護すべき対象のソースコードを解析し、どこに脆弱性があるかを理解した上で、入力されたクエリに対して動的な保護を提供する」と述べている。
Gupta氏は「アプリケーションをスキャンし、弱いところを理解した上でポリシーを作成して保護するため、非常に正確で、WAFに付きものだった誤検知が少ないことがメリットの一つだ」とした。
また、アプリケーションの中身を理解することで、SQLクエリ一つ一つを解析するのではなく、実際に問題を引き起こすSQLクエリのみを解析する仕組みだ。効率的で、パフォーマンスに与える影響が少ないことが2つ目の利点だという。
さらに、CI/CDパイプラインと統合し、ソフトウェア開発サイクルの中にシームレスに統合できることが3つ目のメリットだ。ShiftLeftのRASP製品「Security DNA」は、JenkinsやChef、Puppetといったさまざまなツールと連携できる他、AWS LambdaのようなFunction as a Service(FaaS)やサーバレスの環境にも対応する。
アプリケーションの脆弱性の中には、「問題であることは分かっていても、さまざまな事情で今すぐには修正できない」といったものも少なくない。例えば、「検査で10件見つかった脆弱性のうち修正できたのが7つだけ」という場合でも、マイクロエージェントが残った3つの脆弱性に自動的にフォーカスして保護していく。次のリリースでさらにもう一つ脆弱性を直したとしたら、コード分析に基づいて残る2つを保護するといったことができる。
「これまで脆弱性分析の世界とWAFの世界は別々だったが、ShiftLeftではこれらを統合し、自動化されたループの中に組み入れていく。ひいては、セキュリティをDevOpsのプロセスに統合していける」(Gupta氏)
もちろん、「RSAPがあればセキュアな開発プロセスやセキュアコーディングは必要ない」ということではない。RSAPは、それらを補い自動的かつ継続的に保護していく仕組みだという。
「あらゆる業界において、あらゆるイノベーションがソフトウェアによって生まれている。そのソフトウェアを、リアクティブではないやり方で守っていかなくてはならない。つまり、開発を終え、デプロイする段階で最後にセキュリティを加えるのではなく、Devのプロセスの中にセキュリティを組み込み、リアルタイムに問題を解析し、それぞれのアプリの特性・環境に応じて守っていくことが効果的だ」(Gupta氏)
なお、Black Hat名物の一つである「Arsenal」でも、日々のセキュリティ解析やインシデントレスポンス作業の一部を自動化し、支援してくれるツール、それも多くがオープンソースソフトウェアとして公開されているツールが紹介され、各ブースとも押すな押すなの大盛況となっていた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Codenomicon 2018で語られた「Dev」と「Sec」連携のポイント
「Black Hat USA 2018」に先駆けて2018年8月7日にSynopsysが開催した「Codenomicon 2018」では、セキュリティ担当者と開発者、運用者が一体となってセキュアなアプリケーションを迅速にリリースに必要なポイントが紹介された。
Flash Playerが廃止、影響は?
2017年7月のセキュリティクラスタでは、「Adobe Flash Player」が話題になりました。脆弱性によってユーザーが攻撃にさらされることが多く、2020年末に廃止されることが発表されて、ようやくかとほっとするツイート、さらには移行について考えるツイートが多数ありました。7月はあまり大きなセキュリティインシデントが発生せず、無事に米国の「Black Hat USA」「DEF CON 25」に遠征できた方が多かったようです。どちらもとても盛り上がったようでした。
PCデポよりゴルスタより「アカウントロック」が気になる?
2016年8月は、各所で恒例のセキュリティイベントが開催されました。また、PCデポやゴルスタの1件が話題になると同時に、「アカウントロック」や「攻撃手法の公開」の是非について議論が交わされたのでした。