Top Trends in Cybersecurity for 2024 | 
開発チームは、インターネットに面したアプリケーションのセキュリティにおいて重要な役割を果たす。 悪者はこれらのチームが遭遇する最も重大な脅威であるが、ビジネス、エンジニアリング、セキュリティの領域全体で機能要件と機能以外の要件のバランスを取りながら、セキュリティ修正を実装する際の内部課題にも直面している。 CI/CDの自動化により開発チームがコードをリリースできる速度が増していることは、開発とリリースサイクルのプロセスにセキュリティプロセスとツールを完全に統合することの重要性も浮き彫りにしている。 アプリケーションのセキュリティニーズの認識を高め、ビジネスに影響を与えるウェブアプリケーションのセキュリティイベントのリスクを軽減する5つのセキュリティ質問。
1.アプリケーションコードの脆弱性を特定して修正する方法
動的(DAST)、静的(SAST)、インタラクティブなアプリケーションセキュリティテストツールは、Webアプリケーションの脆弱性を見つけるのに役立つ。 DASTとSASTのツールは、ランタイムの弱点を見つけるのにさまざまな方法がある。 DASTはウェブアプリケーションへの攻撃(クロスサイトスクリプティングなど)を試みるが、SASTツールはソースコードに安全でない手法(初期化されていない変数など)を探す。 継続的インテグレーション/継続的デプロイメント(CI/CD)パイプラインで両方を使用することで、本番環境に到達する前に、devsecopsプロセスの一部として欠陥を発見できる。
一部のソース管理リポジトリはCIプラクティスと統合して、変更ごとにセキュリティスキャンを実行できる。 リポジトリでは、CIプラクティスがすべての変更リクエストの一部としてSASTを実行することが必要になる場合がある。 スキャンでセキュリティの結果が報告されている場合’リポジトリが変更要求の承認を妨げる可能性がある これらのスキャンを手動または自動で実行するチームは、セキュリティリスクを大幅に軽減できる。 同様に、CDには新しいコードの展開時にDASTスキャンを含めることができる。
Software Composition Analysis (SCA)ツールは、オープンソースやサードパーティのライブラリの脆弱性をスキャンして識別することもでき、問題を修正することができる。 マイクロサービスやAPIを活用したコンポーザブルまたはプログレッシブなウェブアプリが一般的になってきているため、APIに対する適切な保護を持つことも同様に重要である。 これには、APIディスカバリ、JSONスキーマ検証、およびプロパティタイプとプロパティ値の完全性が攻撃者によって侵害されないようにするためのチェックポイントが含まれる。 API Gatewayソリューションを活用してAPIへの不正アクセスを防止するとともに、サードパーティのスクリプト保護も、悪意のあるアクティビティやMagecartスタイルのサプライチェーン攻撃を防ぐ役割を果たしている。
スキャンは多くの結果を生成する可能性がある。 脆弱性管理システムの助けを借りても、それらすべてを評価して優先順位を付けるのに時間がかかる。 WebアプリケーションおよびAPI保護(WAAP)により、チームが優先順位を付けて修正を適用しながら、脆弱性を軽減するための迅速なアクションを実行できる。
さらに、WAAPで保護されたWebアプリまたはAPIに対してDASTスキャンを実行すると、アプリの全体的なセキュリティ体制を改善できる。 WAAPが停止しない攻撃は、セキュリティチームが詳細な調整のために識別することができる。 WAAPに含まれているルールがDASTスキャンからの検出を軽減できない場合は、特定の検出に対処するためにカスタムWAAPルールを記述して展開することができる。 これらの脅威を軽減するために、チームはセキュリティパッチや差し迫った攻撃を待つ必要がなくなった。
2.テクノロジースタックの脆弱性を特定して修正する方法は?
現代のウェブアプリケーション技術スタックは、ウェブサーバやデータベースサーバ、ウェブ開発フレームワークなど、多くのコンポーネントから構成されている。 一部のコンポーネントはプラグイン、拡張、アドオンで拡張可能である。 各サードパーティコンポーネントのインベントリを作成し、重要なセキュリティパッチを理解して適用することは、すべてのアプリケーションセキュリティプログラムの一部である必要がある。 しかし、開発スプリントを必要とするアプリケーションコードを変更しなければ、クリティカルパッチを適用できない場合がある。
ソフトウェアやシステムにパッチが適用されていない脆弱性は、サイバー犯罪者にとって非常に一般的な攻撃ベクトルである。 IBMによれば、2022年のデータ漏洩による世界の平均コストは435万ドルを超え、データ漏洩に完全に対処するまでの時間は月単位で測定されることが多い。 ソフトウェアパッチを適用することで、既知のセキュリティ脆弱性を修正する時間を増やすことができる。 Webアプリケーションチームは、毎月、またはソフトウェアリリースがあるときなど、定期的にソフトウェアパッチをテストして適用する必要がある。 そうすることで、脆弱性が存在する時間と攻撃者がそれらを悪用しなければならない時間を減らすことができる。 弱点が長ければ長いほど、悪意のある攻撃者がそれらを悪用する可能性が高くなる。
アプリケーション固有のセキュリティルールの包括的なセット、より一般的なOWASPルール、およびコーナーケースに対処する柔軟なカスタムルールを備えたWAAPにより、開発チームは即座に修正(「仮想パッチ」)を適用してアプリケーションコードにパッチを適用して更新する余裕を与え、悪用を防止することができる。 さらに、セキュリティチームは、機密性の高いオペレーティングシステムファイルやパスへのアクセスを自動的または簡単にブロックするWAAPソリューションを主張する必要がある。
ステージング環境またはQA環境でWAAPを実行すると、特定のWAAP設定で攻撃を防止できるかどうかを把握できるが、実稼働Webトラフィックに対してWAAPを実行する代わりになるものはない。 デュアルWAAPモードの機能により、セキュリティチームが本番トラフィックで新しいWAAPルールをテストできるようになり、新たな脅威を阻止し、応答時間を大幅に短縮するために必要な監視機能と制御機能が提供される。
3.セキュリティイベントがサーバー容量に与える影響は?
サーバー容量とクラウドコストのバランスは、顧客体験とビジネスニーズのトレードオフである。 しかし、不正なユーザーに対応するためにサーバー容量を割り当てることは最善の方法ではない。
2022年の夏から秋にかけて、日本の政府機関や米国の空港ウェブサイトを標的にしたKillnetのようなAPTによる注目度の高いDDoS攻撃の脅威は依然として存在するが、マルチGbpsの範囲で攻撃が見られることははるかに一般的である。 NETSCOUTによると、3秒に1回のDDoS攻撃が発生する。 DDoS攻撃を測定するために帯域幅のみを使用することは別として、要求レート(すなわち、要求毎秒(RPS)または百万パケット毎秒(Mpps)))はアプリケーションインフラストラクチャを保護する上で同様に重要な考慮事項である。 スキャナやボットネットがWebアプリケーションを攻撃した場合、これらのセキュリティイベントはニュースにならないかもしれないが、サイトでの顧客体験に影響を与える可能性がある。
トラフィックをレート制限し、重要なエンドポイントへの攻撃を軽減するきめ細かい機能を備えたクラウドベースのWAAPを利用すると、Webアプリケーションに影響を与える前に、この望ましくないトラフィックの多くをフィルタリングして、実際のユーザーのためにサーバ容量を維持できる。
4.遵守する必要があるコンプライアンス要件はあるか。
業界やアプリケーションの種類によっては、アプリケーションが業界の規制に準拠している必要がある場合がある。 あなたの場所がクレジットカードの支払を処理すれば、多分PCI準拠でなければならない。 アプリケーションが使用および保持するデータの機密性が高いため、SOC 2コンプライアンスを遵守する必要がある場合がある。 これらの規制の多くはWAAPの使用を要求している。
業界規制が適用されない場合でも、業界のベストプラクティスとガイドラインに従うことを検討することができる。 Center for Internet Security controlsまたはAWS Well-Architected Frameworkを使用できる。 WAAPは悪意のあるWebトラフィックを検査してフィルタリングできるため、WAAPの使用を推奨している。
5.アプリの更新/廃止プロセスとは?
古いTECHスタック上に構築されたアプリケーションは、更新または廃止されるべきである。 多くの企業は、テックスタックがメンテナンスされていなければ、古いアプリケーションコードを修正できなくなっている。 セキュリティとビジネスニーズのバランスをとるには、暫定的な解決策が必要になる場合がある。 包括的なDASTスキャンと、適切なカスタムルールを使用して慎重に調整されたWAAPを必要に応じて実行することで、Webアプリケーションがアップグレードまたは廃止されるまで安全に実行できる。
他に質問は?
ウェブアプリケーションのセキュリティを確保することは、セキュリティ、エンジニアリング、ビジネス上の利益のバランスを取ることを必要とする重要なタスクである。 時にこれらの利害が対立し、開発者が行動を起こすのは困難である。
WAAPはこのギャップを埋めるのに役立ち、チームは脅威に優先順位を付けてCI/CDパイプラインに修正を実装する。 強力で費用対効果の高いWAAP Insightsにより、WAAP導入の障壁が低くなった。
Webセキュリティの強化に関するすべての質問とWAAP Insightsの回答を得るためにお問い合わせ。
