CISOがWebアプリケーションのセキュリティを確保するための4つのヒント:セキュリティ責任者に送るヒント集(1)
昨今のデジタルでつながった世界では、「Webアプリケーションが世界を動かす」と言っても過言ではありません。新しいECサービスの立ち上げから遠隔医療ポータルの展開に至るまで、Webアプリケーションはあらゆるビジネス部門や環境に不可欠なものとなっています。本稿では、CISOがWebアプリケーションのセキュリティを確保するための4つのヒントを紹介します。
Webアプリケーションのセキュリティ確保における課題
Webアプリケーションには膨大な数があり、その安全性を確保することが課題となっています。開発者は常に複雑化するビジネス機能やアプリケーションを構築しており、組織によっては、1日に何度も新しいWebアプリケーションの更新やリリースを行っています。英国のインターネットサービス企業Netcraftの調査によると、現在世界中で20億近くのWebアプリケーションが存在しており、犯罪者に悪用されるリスクの高い脆弱(ぜいじゃく)性が数百億個存在しているそうです。
またロシアのサイバーセキュリティ企業Positive Technologiesが2019年に行った調査では、Webアプリケーション1つにつき平均33個の脆弱性があることが分かりました。脆弱性のまん延は、クラッカーに格好の攻撃機会を与えており、セキュリティチームは対応に苦慮しています。
この問題は、「異なるクラウドやITプラットフォームなど、複数のツールで設計されたアプリケーションのセキュリティをいかに確保するか」という課題とともに、さらに深刻化しています。しかし、ほとんどの組織では、ビジネスで使用されているクラウドベースのWebアプリケーションの数が過小評価されています。また一部の組織では、セキュリティチームがこれらの脆弱性を評価して修正する技術的なスキルを持っていないこともあります。
Enterprise Strategy Groupの調査によると、アプリケーションセキュリティにおける、サイバーセキュリティスキルは最も不足しており(32%)、ほとんどのソリューションは非常に技術的で使いにくいものであるといいます。多くの場合、100対1の比率で開発者の数が圧倒しており、セキュリティチームは人員不足に陥っています。セキュリティスキルとリソースの不足により、多くの組織が、Webアプリケーションをサイバー脅威から適切に防御できずにいます。
Webアプリケーションは、その開発者によって保守されており、脆弱性が広く公開されることは一般的ではないため、従来の脆弱性と異なり、WebアプリケーションにおいてCVE(Common Vulnerabilities and Exposures)評価は用いられません。従って、これらの「未知」の脆弱性についてテストする他の手段が必要となります。そして、内部のセキュリティチームと開発チームが協力して、設定やコードの問題などのリスクを特定し、これらの脆弱性を修正できるようにしなければなりません。
CISOがWebアプリケーションのセキュリティを確保するための4つのヒント
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
DX時代の今、経営層やエンジニアに問い直す、「セキュリティ対策」と「セキュリティバイデザイン」の意義とは
近年の複雑化、多様化するサイバー攻撃を迎え撃つセキュリティ対策は、迅速なサイクルを回す開発が求められるデジタルトランスフォーメーション(DX)の阻害要因になるのではという意見もある。その中、DXとセキュリティの両立に有効なのが「セキュリティバイデザイン」だ。では、企業がセキュリティバイデザインに取り組む上で、どのような課題があるのか。
経営陣が欲しい「セキュリティ」、その3つの誤解と真実
デジタルトランスフォーメーション(DX)、システム刷新、そしてセキュリティ――昨今のIT投資における企業・団体の悩みは大きくなる一方だ。OWASP Japanリーダーで、アスタリスク・リサーチのCEOを務める岡田良太郎氏が、経営陣の誤解を解き、IT担当者にエールを送る。
主人公/ラスボスの視点からRPGを題材にサイバーセキュリティを解説した人気連載を無料提供
人気過去連載を電子書籍化し、無料ダウンロード提供する@IT eBookシリーズ。第57弾は、5章にわたってRPGを題材にサイバーセキュリティについて理解を深めてもらうという異色連載『RPGに学ぶセキュリティ』です。時に主人公の視点から、また時にはラスボスの立場に立って、RPGを見直してみると、サイバーセキュリティとの関連性が浮かび上がってきます。