CISOがWebアプリケーションのセキュリティを確保するための4つのヒント:セキュリティ責任者に送るヒント集(1)
昨今のデジタルでつながった世界では、「Webアプリケーションが世界を動かす」と言っても過言ではありません。新しいECサービスの立ち上げから遠隔医療ポータルの展開に至るまで、Webアプリケーションはあらゆるビジネス部門や環境に不可欠なものとなっています。本稿では、CISOがWebアプリケーションのセキュリティを確保するための4つのヒントを紹介します。
Webアプリケーションのセキュリティ確保における課題
Webアプリケーションには膨大な数があり、その安全性を確保することが課題となっています。開発者は常に複雑化するビジネス機能やアプリケーションを構築しており、組織によっては、1日に何度も新しいWebアプリケーションの更新やリリースを行っています。英国のインターネットサービス企業Netcraftの調査によると、現在世界中で20億近くのWebアプリケーションが存在しており、犯罪者に悪用されるリスクの高い脆弱(ぜいじゃく)性が数百億個存在しているそうです。
またロシアのサイバーセキュリティ企業Positive Technologiesが2019年に行った調査では、Webアプリケーション1つにつき平均33個の脆弱性があることが分かりました。脆弱性のまん延は、クラッカーに格好の攻撃機会を与えており、セキュリティチームは対応に苦慮しています。
この問題は、「異なるクラウドやITプラットフォームなど、複数のツールで設計されたアプリケーションのセキュリティをいかに確保するか」という課題とともに、さらに深刻化しています。しかし、ほとんどの組織では、ビジネスで使用されているクラウドベースのWebアプリケーションの数が過小評価されています。また一部の組織では、セキュリティチームがこれらの脆弱性を評価して修正する技術的なスキルを持っていないこともあります。
Enterprise Strategy Groupの調査によると、アプリケーションセキュリティにおける、サイバーセキュリティスキルは最も不足しており(32%)、ほとんどのソリューションは非常に技術的で使いにくいものであるといいます。多くの場合、100対1の比率で開発者の数が圧倒しており、セキュリティチームは人員不足に陥っています。セキュリティスキルとリソースの不足により、多くの組織が、Webアプリケーションをサイバー脅威から適切に防御できずにいます。
Webアプリケーションは、その開発者によって保守されており、脆弱性が広く公開されることは一般的ではないため、従来の脆弱性と異なり、WebアプリケーションにおいてCVE(Common Vulnerabilities and Exposures)評価は用いられません。従って、これらの「未知」の脆弱性についてテストする他の手段が必要となります。そして、内部のセキュリティチームと開発チームが協力して、設定やコードの問題などのリスクを特定し、これらの脆弱性を修正できるようにしなければなりません。
CISOがWebアプリケーションのセキュリティを確保するための4つのヒント
実は、Webアプリケーションのセキュリティを強化する方法は存在します。以下、CISO(最高情報セキュリティ責任者)がWebアプリケーションのセキュリティを確保するための4つのヒントを紹介します。
1.自社のサイバーセキュリティ環境を把握する
急速に変化するWebアプリケーションのダイナミックな環境では、脆弱性管理を自動化する必要があります。
さらに、より安全なコードを生成すべく、Webアプリケーションの既知の脆弱性について、優先的に対処すべき重要な脆弱性をまとめ、啓発するプロジェクト「Open Web Application Security Project(OWASP)Top 10」を使用することが効果的です。
2.セキュリティにおける盲点を取り除く
Webアプリケーションの可視性の低さは、セキュリティチームにとって大きな問題となっています。従来のHTMLベースのWebアプリケーションから最新のWebフレームワークを使用して構築されたアプリケーションまで、全てのアプリケーションをスキャンするようにしてください。
無効および期限切れの証明書、または不適切に発行された証明書がないかどうかをチェックし、サイバー犯罪者に貴重な情報を与えないようにしましょう。
多くのWebアプリケーションは、機密性の高いユーザーデータへのアクセスを制御するための認証を行っており、アプリケーションを評価する能力を阻害する可能性があります。このような場合、フォームベースやクッキーベースの認証など、幅広い認証オプションをサポートするアプリケーションスキャンを使用することで対応できます。
Webアプリケーションの85%は、コンテンツ管理システム、Webサーバ、言語エンジンなどのサードパーティー製およびオープンソースソフトウェア(OSS)のコンポーネントで構成されています。これらのコンポーネントは、セキュリティチームにはなじみのない分野かもしれませんが、危険な脆弱性を含んでいることが多く、評価が必要です。
これらのサードパーティー製コンポーネントを特定して評価する能力は、Webアプリケーションのセキュリティにおいて非常に重要であり、包括的なWebアプリケーションのスキャンの一部として実行される必要があります。
3.セキュリティチームのリソースを最適化し、効率的に脆弱性に対処できる環境を作る
非常に多くの脅威や脆弱性が出現している状況では、何に焦点を当てるべきかを把握するのは困難です。この問題は、セキュリティチームが、脆弱性の優先順位を付けるのに必要なデータと洞察力を欠いていることで、さらに深刻なものとなっています。この結果、組織は過剰で不必要なサイバーリスクにさらされることになります。
この課題に対処するために、アプリケーションをスキャンすることで、偽陽性を最小限に抑え、組織を攻撃の危険にさらす可能性のある偽陰性を特定できます。これにより、本来バグではないものの対応に当たる開発者の時間を節約し、セキュリティを向上させ、チームを最適化することができます。
4.拡大した攻撃面に対処するにはセキュリティへの新たなアプローチが必要
Webアプリケーションの攻撃面や脅威の状況は絶えず進化しているため、Webアプリケーションの安全性確保は今後非常に複雑になる可能性があります。この複雑さと攻撃面の拡大に対処するには、Webアプリケーションのスキャンへの新しいアプローチと特別な注意が必要となります。
OWASPなどによって特定される一般的なWeb上の脆弱性は、標的型攻撃でしばしば使用されますが、サードパーティーのコンポーネントの脆弱性もまた、脆弱なコンポーネントを探して悪用する自動攻撃に用いられることがあります。
今後増えることが予想されるWebアプリケーションにおけるサイバー脅威を防ぐためにも、これらの対策を十分に行いWebアプリケーションのセキュリティを強化することが必要です。
次回は、3つ目のヒントにあったチーム最適化、組織の話に関連し、DevSecOps導入のポイントをお伝えします。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
DX時代の今、経営層やエンジニアに問い直す、「セキュリティ対策」と「セキュリティバイデザイン」の意義とは
近年の複雑化、多様化するサイバー攻撃を迎え撃つセキュリティ対策は、迅速なサイクルを回す開発が求められるデジタルトランスフォーメーション(DX)の阻害要因になるのではという意見もある。その中、DXとセキュリティの両立に有効なのが「セキュリティバイデザイン」だ。では、企業がセキュリティバイデザインに取り組む上で、どのような課題があるのか。
経営陣が欲しい「セキュリティ」、その3つの誤解と真実
デジタルトランスフォーメーション(DX)、システム刷新、そしてセキュリティ――昨今のIT投資における企業・団体の悩みは大きくなる一方だ。OWASP Japanリーダーで、アスタリスク・リサーチのCEOを務める岡田良太郎氏が、経営陣の誤解を解き、IT担当者にエールを送る。
主人公/ラスボスの視点からRPGを題材にサイバーセキュリティを解説した人気連載を無料提供
人気過去連載を電子書籍化し、無料ダウンロード提供する@IT eBookシリーズ。第57弾は、5章にわたってRPGを題材にサイバーセキュリティについて理解を深めてもらうという異色連載『RPGに学ぶセキュリティ』です。時に主人公の視点から、また時にはラスボスの立場に立って、RPGを見直してみると、サイバーセキュリティとの関連性が浮かび上がってきます。