Home ハウツー すべての開発者が尋ねるべき5つのセキュリティ上の質問
Applications

すべての開発者が尋ねるべき5つのセキュリティ上の質問

About The Author

Outline

開発チームは、インターネットに接続するアプリケーションのセキュリティにおいて重要な役割を果たします。 これらのチームが直面する最も重大な脅威は悪者ですが、ビジネス、エンジニアリング、セキュリティの領域全体で機能要件と非機能要件のバランスを取りながら、セキュリティ修正を実装することで、内部的な課題にも直面します。 CI/CDの自動化により、開発チームがコードをリリースできる速度が向上していることは、開発およびリリースサイクルのプロセスにセキュリティプロセスとツールを完全に統合することの重要性を浮き彫りにしています。 ここでは、アプリケーションセキュリティニーズの認識を向上させ、ビジネスに影響を与えるWebアプリケーションセキュリティイベントのリスクを軽減するための5つのセキュリティ質問を紹介します。

1.アプリケーションコードの脆弱性を特定して修正するにはどうすればよいですか?

動的(DAST)、静的(SAST)、およびインタラクティブなアプリケーションセキュリティテストツールは、Webアプリケーションの脆弱性を見つけるのに役立ちます。 DASTツールとSASTツールは、さまざまな方法でランタイムの弱点を見つけるのに役立ちます。 DASTはWebアプリケーションに対して攻撃(クロスサイトスクリプティングなど)を実行しようとしますが、SASTツールはソースコード内の安全でないプラクティス(初期化されていない変数など)を探します。 継続的インテグレーション/継続的デプロイメント(CI/CD)パイプラインで両方を使用することで、開発プロセスの一部として欠陥を本番環境に到達する前に発見することができます。

一部のソース管理リポジトリでは、CIプラクティスと統合して、変更ごとにセキュリティスキャンを実行できます。 リポジトリでは、CIプラクティスがすべての変更リクエストの一部としてSASTを実行する必要がある場合があります。 スキャンによってセキュリティの結果が報告される場合、リポジトリによって変更リクエストの承認が妨げられることがあります。 これらのスキャンを手動または自動で実行するチームは、セキュリティリスクを大幅に軽減できます。 同様に、CDには新しいコードの展開時にDASTスキャンを含めることができます。

Software Composition Analysis(SCA)ツールを使用して、オープンソースまたはサードパーティのライブラリの脆弱性をスキャンして特定し、問題を修正することもできます。 マイクロサービスやAPIを活用したコンポーザブルまたはプログレッシブのWebアプリケーションが一般的になってきているため、APIに対する適切な保護を行うことも同様に重要です。 これには、APIディスカバリ、JSONスキーマ検証のチェックポイント、およびプロパティタイプとプロパティ値の整合性が攻撃者によって侵害されないようにするチェックポイントが含まれます。 API Gatewayソリューションを活用してAPIへの不正アクセスを防止すると同時に、サードパーティのスクリプト保護も、悪意のある活動やMagecartスタイルのサプライチェーン攻撃を防止する役割を果たします。

スキャンによって多くの結果が得られる場合があります。 脆弱性管理システムの助けを借りても、それらすべてを評価して優先順位を付けるには時間がかかります。 WebアプリケーションおよびAPI保護(WAAP)を使用すると、チームが優先順位を付けて修正を適用しながら、脆弱性を軽減するための対策を即座に実行できます。

さらに、WAAPで保護されたWebアプリまたはAPIに対してDASTスキャンを実行すると、アプリの全体的なセキュリティ態勢が改善されます。 WAAPが停止できなかった攻撃は、セキュリティチームによって識別され、さらに微調整できます。 WAAPに含まれているルールがDASTスキャンからの検出を軽減できない場合は、特定の検出に対処するためにカスタムWAAPルールを作成して展開できます。 チームは、これらの脅威を軽減するために、セキュリティパッチや差し迫った攻撃を待つ必要がなくなりました。

2.テックスタックの脆弱性を特定して修正するにはどうすればよいですか?

Modern Webアプリケーションテクノロジスタックは、Webサーバ、データベースサーバ、Web開発フレームワークなど、多くのコンポーネントで構成されています。 一部のコンポーネントは、プラグイン、拡張、アドオンで拡張可能です。 各サードパーティコンポーネントのインベントリを作成し、重要なセキュリティパッチを理解して適用することは、すべてのアプリケーションセキュリティプログラムの一部である必要があります。 ただし、開発スプリントを必要とするアプリケーションコードに変更を加えないと、クリティカルパッチを適用できない場合があります。

ソフトウェアやシステムにパッチが適用されていない脆弱性は、サイバー犯罪者にとって非常に一般的な攻撃ベクトルです。 IBMによると、2022年にはデータ侵害による世界の平均コストが435万米ドルを超え、データ侵害に完全に対処するまでの時間は数か月で測定されることがよくあります。 ソフトウェアパッチを適用することで、既知のセキュリティ脆弱性を修正する時間を増やすことができます。 Webアプリケーションチームは、毎月、またはソフトウェアリリースがあるたびに、ソフトウェアパッチを定期的にテストして適用する必要があります。 これにより、欠陥が存在する時間が短縮され、攻撃者がそれらを悪用する時間が短縮されます。 脆弱性が長く残るほど、悪意のある攻撃者が脆弱性を悪用する可能性が高くなります。

包括的なアプリケーション固有のセキュリティルールセット、より一般的なOWASPルール、およびコーナーケースに対処するための柔軟なカスタムルールを備えたWAAPを使用すると、開発チームは、アプリケーションコードにパッチを適用して更新する余裕を与えながら、攻撃を防止するための即時修正(別名「仮想パッチ」)を適用できます。 さらに、セキュリティチームは、機密性の高いオペレーティングシステムのファイルやパスへのアクセスを自動的または簡単にブロックするWAAPソリューションを主張する必要があります。

ステージング環境またはQA環境でWAAPを実行すると、特定のWAAP設定が攻撃を防ぐかどうかを把握できますが、実稼働Webトラフィックに対してWAAPを実行する代わりになるものはありません。 デュアルWAAPモード機能を使用すると、セキュリティチームは本番トラフィックで新しいWAAPルールをテストでき、新たな脅威を阻止し、応答時間を大幅に短縮するために必要な監視機能と制御機能を提供できます。

3.セキュリティイベントがサーバ容量に与える影響は何ですか?

サーバー容量とクラウドコストのバランスは、顧客体験とビジネスニーズのトレードオフです。 ただし、不正なユーザーに対応するためにサーバー容量を割り当てることは、最善の方法ではありません。

2022年の夏から秋にかけて、日本の政府機関や米国の空港のウェブサイトを標的としたKillnetなど、APTによる注目度の高いDDoS攻撃の脅威は残ってい ますが、マルチGbpsの範囲で攻撃を受けることははるかに一般的です。 NETSCOUTによると、3秒に1回のDDoS攻撃が発生します。 DDoS攻撃を測定するために帯域幅を使用するだけでなく、アプリケーションインフラストラクチャを保護するために、リクエストレート(RPS)またはMpps)も同様に重要な考慮事項です。 Webアプリケーションを攻撃するスキャナやボットネットからのこれらのセキュリティイベントは、ニュースにはならないかもしれませんが、サイトでの顧客体験に影響を与える可能性があります。

トラフィックをレート制限し、重要なエンドポイントへの攻撃を緩和するきめ細かな機能を備えたクラウドベースのWAAPを活用すると、Webアプリケーションに影響を与える前にこの望ましくないトラフィックの多くをフィルタリングして、実際のユーザのサーバ容量を維持できます。

4.遵守する必要のあるコンプライアンス要件はありますか?

業界やアプリケーションの種類によっては、アプリケーションが業界の規制に準拠している必要があります。 サイトでクレジットカード決済を処理する場合は、PCIに準拠している必要があります。 アプリケーションで使用および保持されるデータの機密性が高いため、SOC 2コンプライアンスを遵守する必要がある場合があります。 これらの規制の多くは、WAAPの使用を要求しています。

適用される業界規制がない場合でも、業界のベストプラクティスとガイドラインに従うことを検討することができます。 Center for Internet SecurityコントロールまたはAWS Well-Architected Frameworkを使用できます。 どちらもWAAPを使用することをお勧めします。WAAPは悪意のあるWebトラフィックを検査してフィルタリングできるためです。

5.アプリの更新/廃止プロセスは何ですか?

古い技術スタック上に構築されたアプリケーションは、更新または廃止する必要があります。 多くの企業は、テックスタックが維持されていないと、古いアプリケーションコードを修正できなくなります。 セキュリティとビジネスニーズのバランスを取るには、暫定的なソリューションが必要になる場合があります。 包括的なDASTスキャンを実行し、必要に応じて適切なカスタムルールを使用して慎重に調整されたWAAPを実行することで、アップグレードまたは廃止されるまでWebアプリケーションを安全に実行できます。

他に質問はありますか?

Webアプリケーションのセキュリティ確保は、セキュリティ、エンジニアリング、ビジネスの利益のバランスを取る必要がある重要な作業です。 これらの利益が相反する場合があり、開発者が行動を起こすことは困難です。

WAAPは、チームが脅威に優先順位を付け、CI/CDパイプラインに修正を実装しながら、このギャップを埋めるのに役立ちます。 当社の強力で費用対効果の高いWAAP Insightsは、WAAP導入の障壁を下げました。

ウェブセキュリティの強化に関するすべての質問とWAAP Insights Answeredについては、お問い合わせください。