2022年 アプリケーションセキュリティに関する個人的考察
2022/1/12 - 読み終える時間: 4 分
2022 Robservations on Application Security の翻訳版です。
2022年 アプリケーションセキュリティに関する個人的考察
2022年1月11日
著者: Rob Cuddy / Global Application Security Evangelist
2021年は、情報セキュリティ分野に限らず、サイバーセキュリティが大きなトピックであったことは周知の通りです。年初、注目を集めたのは、スーパーボウルの時期に小さな浄水場で起きたサプライズ寸前の攻撃でした。年が明けると、ランサムウェアやサプライチェーンの事故が大量に発生しました。5月には大統領令がニュースになるほどの盛り上がりだった。そしてもちろん、ここ数週間は、Log4j の脆弱性についても耳にしたことでしょう。これらのことが、サイバーセキュリティを前面に押し出しました。
そして、2021年の始まりを思い返すと、当時の私の個人的考察はこうなっていました。
- QAがセキュリティ・パーティに参加(IASTに感謝)
- 開発者に優しい脅威のモデル化
- ベストプラクティスの出現 - 特にオープンソースについて
- 真のエントリーレベルと明確なキャリアパス
ほとんどの場合、この1年を通して、それぞれの進歩が見られました。セキュリティ活動への参加を求められる品質保証チームの数は増加し、IASTはそのための素晴らしい方法を提供してくれました。2020年後半に導入された新しい脅威モデリング・マニフェストが、2021年にはより多くの支持と議論を集めるのを見ました。また、ソフトウェア構成分析、強力なソフトウェア部品表の考え方に関する議論、推奨、実践が大幅に増加し、これらの議論が継続することを期待しています。そして最後に、職務内容の定義や、サイバーセキュリティの職務に新しい人材が流入する方法について、大きな前進が見られました。その好例が、VCISO の Naomi Buckwalter が設立した新しい組織 Cybergatebreakers や、BISO の Alyssa Miller によるこの新しい Cybersecurity Careers の書籍です。また、Alyssa の "From Barista to Cyber Security Pro"と題した素晴らしい講演を YouTube でぜひご覧ください。
さて、2021年が過ぎ、2022年が始まるにあたり、私が考えていること、期待していることは何でしょうか? というご質問をいただきました。早速ですが、2022年の私、Rob なりの個人的考察 - Robservations - を紹介します。
アプリケーション・セキュリティは、すべての製品リリースで完全に現実のものとなる
もちろん、アプリケーション・セキュリティは常に重要ですが、歴史的に見ると、プロセスのどこかでより「ボルトオン」されるものでした。今日、リスクを減らすために、もはや後期のテスト(ペンテストを含む)だけに頼ることができないことは明らかです。セキュリティは、最初から「焼き込み」でなければならないのです。2022年には、2021年に大きな部分を占めていた脅威のモデル化の議論が、完全な設計の議論に拡大すると私は予想しています。組織の計画策定において、セキュリティはより積極的な役割を果たすようになると思います。特に、優れたセキュリティは、顧客の信頼と信用に最も重要だからです。
そして、なぜこれがそれほど重要なのでしょうか? 私たちは、インターネットに接続される機器の数や種類が驚くほど増加していることをよく理解しています。特にヘルスケア分野では、フィットネス用ウェアラブルやペースメーカー、さらにはセンサーを搭載した錠剤を摂取してデータをモニターし、医師に送信するなどの大きな技術革新が起こっています。もし、これらのセンサーが危険にさらされた場合、どのような混乱が起こるか想像してみてください。もし誰かが診断データを変更し、まったく間違った治療法が処方されたらどうでしょう?あなたは今、そのようなものを飲み込む気になれますか? 私は、あなたがどう思うか知りませんが、まずセキュリティについてもっと確実なものを求めます。
この点で、アプリケーション・セキュリティは大きな違いをもたらすことができます。今日のIoTの一部であることは確かですが(IoT の脆弱性に関するOWASPトップ10で証明されています)、改善の余地はたくさんあります。今日、セキュリティに関する話題の多くは、強力なパスワードやデフォルト設定などのデバイス管理項目に関するものです。IoTやアプリケーションの利用が一般的に拡大するにつれ、デバイスに常駐し動作するコードの安全性を確保することが最も重要になります。デバイス上で取得、処理、保存されるデータが常に適切に保護されていることを確認することに、より大きな焦点が当てられるようになることが予想されます。また、これらのデバイスに接続するインターフェースも、より強固なものになることが予想されます。また、この分野、特にAPIや、製造業、小売業、銀行業などの業界における脆弱性をテストするためのツールや手法も改善されることが予想されます。
データ・プライバシーに関する法律がアプリケーション・セキュリティの変更を促進し続ける
米国のコロラド州、バージニア州、カリフォルニア州と中国、ブラジルの共通点とは? いずれも2021年に新たなデータプライバシー法を承認または制定している。データプライバシーが市民や消費者の大きな関心事であることは間違いない。そして、人々が最もデータに接するのはどこでしょうか? アプリケーションです。データプライバシー規制には、アプリケーションとアプリケーションセキュリティに関するより強い文言が含まれるようになっています。その良い例として、ニューヨーク州金融サービス局(NYDFS)の NYDFS 23 CRR-NY 500 は、「堅牢な」セキュリティに関する文言を含んでおり、2020年に施行されたニューヨーク州 SHIELD ACT は、5575 条 B 項に「妥当なセキュリティ要件」の包括的概念を追加しています。また、Spirionのこの素晴らしいサイトが示すように、他の多くの州は、データ損失だけでなく、不正アクセスさえも報告するよう組織に要求しています。今後、機密データを適切に取り扱っていることを証明するよう、企業に対する圧力が高まることが予想される。また、データインシデントをめぐる詳細な報告についても、より厳格な変更が行われることが予想されます。
APIセキュリティの重要性
これは、アプリケーションセキュリティの実態に関する最初のロブセンスに関連しますが、特に API テストの重要性が高まっています。2019 年には OWASP API Top 10 が発表され、API に対する直接的なガイダンスやアドバイスが提供されるようになりました。そしてそれ以降、APIセキュリティテストに関する議論と改善が盛んに行われています。API テストを専門に行う団体も登場し、その必要性についてウェビナーシリーズを実施しました。
API はデータを誤用や損失にさらす可能性が非常に高いため、API には特別な注意を払う必要があり、特に API がしばしば運用する前提条件に注意を払う必要があります。例えば、認証(多くはログイン情報を要求せず、トークンに依存する)やリソースの使用(多くはリクエスト量を制限しない)に関する仮定は、テストと検証を行わない場合、意図しない結果を素早く導く可能性があります。実際、Mitre の att&ck データベースには、企業向けに呼び出された Native API テクニックの特定のセットが存在します。2022年には、APIのためのより具体的なツールやテスト手法が登場することを期待します。また、ベンダーのチェックリストやNISTサイバーセキュリティフレームワークのような場所で、APIの検証が特に呼びかけられるのを見ることもできるでしょう。
リスクをより明確にし、解明し、低減するためのデータの相関関係
最後の大きなトレンドは、セキュリティテストの相関性と、そのデータをより総合的に活用してアプリケーションのリスクを軽減することです。相関関係とはどういう意味でしょうか? 今日、静的テスト(SAST)、動的テスト(DAST)、対話型テスト(IAST)、ランタイム保護(RASP)、ペンテストがあり、それぞれが独自の結果セットを生成し、アプリケーションのリスクの状態について1つのビューを提供します。しかし、セキュリティがシフトレフトされ、開発パイプラインと価値の流れに組み込まれ続けると、真の問題に優先順位を付け、最も影響力のある改善活動に的を絞る必要性が最も高くなります。誰も誤検出を追ったり、エクスプロイトできないものを修正したりして時間を無駄にしたくはないのです。今後は、脆弱性を効果的に特定し、検証し、ワンクリックで適用できるような、的を射た改善策を提供するための協調的な取り組みを期待します(コピー&ペーストは不要です)。
以上、2022年のアプリケーションセキュリティロバーベーションを紹介しました。この1年を簡単に振り返り、次の1年を展望していただければ幸いです。このコーナーや Application Paranoia のポッドキャストでは、今年もさまざまなお話を伺っています。