2021 Robservations for Application Security の翻訳版です。
2021 アプリケーションセキュリティに関する 2021年の自分なりの展望
2021年1月7日
著者: Rob Cuddy / Global Application Security Evangelist
1 年前、アプリケーションセキュリティのホットな話題のほとんどは DevSecOps に関連していました。継続的なデリバリパイプラインでのセキュリティテストの自動化、開発者をセキュリティテストにもっと参加させるための最良の方法を見つけ出すこと、またはセキュリティ運用センター (SOC) のセキュリティ専門家が開発チームとより良いパートナーになるための方法を見つけることなど、DevSecOps を現実のものにすることが話題になっていました。
そして、パンデミックが発生しました。
パンデミックの流行に伴い、特にランサムウェアを介したサイバー攻撃が驚くほど増加しました。これにより、DevSecOps は「必要なものを持っているイニシアチブ」から「必要不可欠なプログラム」へと移行する必要性が強調されました。さて、予想以上に困難な一年に「さようなら」と言ったところで、アプリケーション・セキュリティに関連して 2021 年に注目すべき重要なことは何でしょうか?という質問をいただきました。
QAがセキュリティパーティに参加する(ありがとう、IAST!)
多くの組織では、DevOps パイプラインに何らかの形で自動化されたセキュリティテストを組み込み、通常は継続的な統合ビルドの一部として実施しています。これにより、SDLC の早い段階で開発チームにより良いフィードバックが得られます。しかし、DevSecOps が DevOps のスピードで高品質のセキュアなソフトウェアをリリースするレベルに到達するためには、セキュリティは全体的な品質を構成する不可欠な要素と見なされなければなりません。機能性とパフォーマンスが品質とユーザーエクスペリエンスを牽引するのと同じように、今ではセキュリティも同様に重要な要素となっています。
2020年には、QA の専門家が他の種類のテストと並行して何らかの形のセキュリティテストを実施することを求められるようになっています。DevOps 環境におけるアプリケーションセキュリティ」と題した Ponemon Institute の調査では、620人以上の回答者のうち11%が、自分の役割に品質保証が含まれていると報告しています。
また、セキュリティテストに QA をより良く関与させる方法を探している組織には、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)を利用することをお勧めします。インタラクティブなテストでは、アプリケーションの動作に合わせてセキュリティ脆弱性を発見することができます。これは、QA チームが機能テストを実施している間に、同時にセキュリティ問題を発見することができることを意味します。そして、これらの脆弱性がアプリケーションの使用中に発見されるという事実は、誤検出率がゼロに近いことを意味します。
開発者に優しい脅威のモデリング
脅威のモデリングは、2020年の DevOps 関連イベントで頻繁に登場したトピックでした。 DevOps Enterprise Summit や SAYA 10x イベントでのセッションは、ほんの一例でした。そして、これは私の同僚である Colin Bell 氏と私が個人的に All Day DevOps と Agile Techwell DevSecOps Summit で議論したトピックである。これらはすべて、セキュリティの可視性を高め、開発者とセキュリティ専門家の連携をより良くするための方法として、脅威モデルの演習に開発者をより多く関与させるという考え方を肯定しています。
そして2020年後半には、脅威モデリングをより効果的なものにするための中核的な価値観と原則を提供する、協調的な脅威モデリングのマニフェストが発表されました。その中で言及されているコア・プリンシプルの1つを紹介しよう。
"脅威のモデリングは、組織の開発プラクティスと整合性をとり、システムの管理可能な部分を対象とした反復的な設計変更に従わなければならない。
ここで強調されているのは、開発プラクティスとの整合性です。これを実現する最善の方法は、開発者を脅威モデルの演習に参加させることです。これにより、少なくとも 2 つの明確な利点が得られる。
開発者を脅威モデルに組み込む方法を探している場合は、カードゲームElevation of Privilege(Githubにもあります)や Backdoors & Breaches のようなリソースは、楽しくて罪のない環境で議論や教育を促進するのに最適な方法です。
新たなベストプラクティス - 特にオープンソースのために
セキュリティは常に重要視されてきましたが、多くのビジネス専門家がリモートワークに移行し、サイバー犯罪の増加がすでに指摘されていることもあり、セキュリティは CISO だけが中心となって取り組むべきテーマから、すべての人が最優先で取り組むべきテーマへと変化しています。組織がリスクを低減するためには、費用対効果の高い効率的な方法でリスクを低減することが最重要課題となっています。
そのため、より多くのベストプラクティスが必要とされています。
公平に見ても、今日では、機械学習を活用して開発チームに結果を提示する前に誤検出を識別するなど、優れたアプリケーション・セキュリティのベストプラクティスが数多く存在しますが、これまでのところ、そのほとんどは社内コードに焦点を当てています。
オープンソースの利用が急増しているこの時代には、定義されたベストプラクティス、テクニック、リファレンスアーキテクチャ、オープンフレームワークやコード共有に関する教育やトレーニングが必要とされています。私は 2021年にはこのニーズが大きく高まると予想していますが、実際、現在、OSSF(Open Source Security Foundation)と呼ばれるグループがまさにその取り組みを行っています。議論に貢献することに興味があるなら、Github のワークグループをチェックしてみてください。
アプリケーションセキュリティのベストプラクティスのためのもう一つの素晴らしいリソースをお探しなら、友人のTanya Janca (@shehackspurple)さんの新刊 Alice & Bob Learn Application Security をぜひチェックしてください。
実際のエントリーレベルと明確なキャリアパス
2021年にもっと多くの議論が行われると予想されるもう一つの分野は、セキュリティ関連のキャリア、特にエントリーレベルのポジションに関連したものです。
サイバーセキュリティのスキルギャップが深刻化しているという統計を聞いたことがあります。問題の真の部分は、スキルを学び成長させることができる現実的なエントリーレベルの職務を持つことであり、それに加えて、セキュリティの専門知識のキャリアパスが明確に定義されていないという追加の課題があります。私の友人の CISO の一人が、David Spark 氏のポッドキャストにゲストとして出演した際に、次のように語っていました。
「私たちのような立場の人間にとって、エントリーレベルの役割とは何かを定義するのは非常に難しいことです。私たちは誰一人としてセキュリティの初級職に就いたことがありませんでした。私たちは最初のセキュリティ担当者で、自分たちで作り上げていったのです」
今日では、学んだスキルを証明するためのさまざまな資格が存在しますが、その多くは取得するのに相当な時間とエネルギー、労力を必要とします。中には現場での経験を必要とするものもあり、「鶏と卵」の問題が発生します。
簡単に言えば、私たちはもっと良い方法を採る必要があるということです。学界と協力して、正しい基礎スキルを教え、卒業生がサイバー活動に参加して意味のあるエントリーレベルの役割を果たすために必要な能力を身につけられるようにしなければなりません。そして、成功に向けてのプロセスの一部として、リスク、失敗、学習、成長といった個々のニーズを、組織が許容するリスク許容度とのバランスをとることができるようにしなければなりません。メンターシップや見習いは、それを可能にするための長い道のりを歩むことができます。
詳細はこちら
アプリケーションセキュリティは重要であり、2021年には、継続的なメトリクスに基づいた改善が、アプリケーションセキュリティテストプログラムに与える影響を最大化するための努力を続けていきます。これが何を意味するのかについて詳しく知りたい方は、Application Paranoia ポッドキャストを聴いて、IAST のエピソードをご覧ください。 このポッドキャストは、Apple Podcasts、Spotify、Google Podcasts、Buzzsprout で視聴できます。 また、ポッドキャストの同僚である Colin Bell 氏とKris Duer 氏との Continuous Security ウェビナーもご覧いただけます。