ContrastがPwCルクセンブルクの2024年度サイバーセキュリティ&プライバシーソリューション賞を受賞

Contrast Security は、PwCルクセンブルクが主催の2024年サイバーセキュリティ&プライバシーデーにおいて、熾烈な競争をくぐり抜け年間最優秀賞を受賞した。

私たちは、生活の中で重要なことはすべてソフトウェアに任せている。このような信頼はあまりにも見当違いだ。携帯電話やネットワークを脅かすような大規模なデータ侵害のニュースが絶えないことからも明らかだ。

「どのソフトウェアか？」と聞かれれば、答えは「全て」だろう。例えば、軍隊を動かすアプリケーション、国の水道・ガス・電力網を管理するアプリケーション、銀行がお金を処理するために使用するアプリケーション、個人の健康や福祉を託すアプリケーションなどだ。

「脆弱性バックログはどのくらいの規模か」に取り組む

「アプリケーションの脆弱性のバックログのサイズについて、自分の組織に聞いてみてください。私が話をしたほとんどの企業では、何十万、何百万もの脆弱性が修正されていません。」と、Contrast SecurityのCTOで共同創業者であるJeff Williamsは、PwCの2024年サイバーセキュリティ&プライバシーデーの9分間のプレゼンテーションで述べた。この日は、各社が企業幹部や著名な審査員に向けて自社のソリューションをアピールした。

Jeffは、ソフトウェアの複雑さについてずっと話し続けてきた。Jeffは、セキュリティの専門家として数十年を過ごし、世界有数の大企業のソフトウェアに侵入テストを実施し、セキュリティを改善させるプログラムの構築を支援してきた。2002年には、学んだ知識を活かしてOWASPの設立に協力した。Jeffは、OWASP Top10を書き、アプリケーションセキュリティ(AppSec)の認知度を高めた。残念ながら、20年経った今、このソフトウェアの複雑さのために「状況は悪化している」と述べている。

この複雑さは、従来のツールでは処理しきれない。実際のところ、スキャナやファイアウォールといった従来のツールは、この複雑なパズルの1つのピースしか見ることができない。さらに「脆弱性や攻撃の根本的な原因ではなく、その症状に焦点を当てている。」とJeffは述べたが、その根本的な原因とは危険な関数(下記参照)だ。「それでは何も分からないままだ。」

従来型のAppSecツールは使い物にならない：実際にどう機能してるかについてはこちらを参照

古いセキュリティ手法に古いセキュリティツール

ソフトウェアのパイプラインのあるべき姿についてJeffはこう述べている。ソフトウェアパイプラインは、顧客がすぐに価値を実感できるように、高速化つ信頼性の高いイノベーションを迅速に提供できるべきだと。ところが、セキュリティが導入されると、WAF(Webアプリケーションファイアウォール)やSAST/DAST(静的/動的スキャン)、SCA(ソフトウェアコンポジション解析)などの従来のツールによって、ミスが生まれる。そのような従来のツールの不正確性によって、過検知やさらに悪いことに検知漏れを含む非常に不正確な結果が生まれることになる。

偽のアラートで企業が誤検知に埋もれてしまう： 
ホワイトペーパーはこちら

この混乱を解消する唯一の方法は、高額なセキュリティ専門家を雇うことであるが、その結果、ボトルネック、遅延、サイロ化を生み出し、脆弱性のバックログをさらに膨大にさせる可能性がある。

根本的な原因: 危険な関数という地雷原

私たちは脆弱性や攻撃に焦点を当てているが、それが根本的な原因ではないため、何も分からないままだ。その根本的な原因は、危険な関数なのだ。危険な関数とは、一般的なソフトウェアスタックにおけるランタイムのプラットフォームライブラリ、フレームワーク、カスタムコード、オープンソースライブラリなどに当てはまる言葉だ。

Jeffの説明によれば、実際には、そのスタックは、データベースへのクエリ、XMLの解析、ネイティブプロセスの起動、オブジェクトのデシリアライズなどの危険な処理を行う「単なる関数の山」だ。

「どのスタックにもこうした関数が何千もあります。そのため開発者は何千もの危険な関数が混在する地雷原に直面することになります。そして、それらを安全に使用する方法についてのガイダンスはありません。このため安全でないソフトウェアを基本的に避けることができません。」と彼は続けた。

ソフトウェアの複雑さをどう解消するか?

Jeffはによると、「世の中にある何百万ものライブラリ、フレームワーク、アプリケーションをすべて書き直すわけにはいきません。何兆行ものコードになってしまいます。」という。幸い、もっと良い方法がある。ランタイムインストルメンテーションを使用して、これらの危険な関数に直接セキュリティチェックを挿入する方法だ。

従来のAppSecツールに潜む危険性とランタイムセキュリティに移行すべき理由についてはこちら

その仕組みはJeffのプレゼン動画をチェック

Jeffが受賞したプレゼンテーションの全文とスライドは、この記事の冒頭にある動画にて確認できる。内容は以下の通り：

• ContrastでSQLインジェクション(OWASP Top10の常連で20年にわたり皆を悩ませてきた脆弱性)に対処する方法
• パイプラインに変更を加えずにContrastランタイムプラットホームをサーバにインストールする方法
• すべてのアプリケーションとAPIを1つずつスキャンするのではなく、分散テクノロジによって同時に保護する方法
• Floor and Décor社がContrastを使用した際のIDCレポートの結果：
  • 小売業者のAppSecバックログを92%削減
  • 776,000ドルを節約
  • 開発による生産性を13%向上

• Contrastのロードマップ：
  • セキュリティオブザバビリティ：新たに開発されたContrast Securityの技術。実行中のソフトウェアのセキュリティ青写真を描き、アプリケーションの攻撃対象領域を明らかにするアーキテクチャ設計図を自動的に作成できる。
  • セキュリティオブザーバビリティにより、企業・団体はセキュリティアーキテクチャや脅威モデリングなどのアクティビティを簡単に開始できるようになり、米サイバーセキュリティ・インフラセキュリティ庁のキュアバイデザインの誓約に定められた原則を実現できる。
    

闇の時代からAppSecを脱却させるContrast

最後にJeffは、セキュリティのインストルメンテーションについて次のようにまとめた。「産業工場では、振動、音、温度、煙など、あらゆるものを機械で計測します。」

なぜそうするかというと、計測器(インストルメンテーション)を使えば、機械が発する音の変化だけで機械の問題を予測することができるからだ。「インストルメンテーションは、災害が起こる前に問題を未然に防ぐ方法です。」とJeffは続けた。

「Contrastはランタイムセキュリティという科学を利用して、AppSecを闇の時代から引きずり出そうとしているのです。AppSecに関するすべての問題の根本原因に焦点を当てることで、ツールを統合し、最新のソフトウェアに必要な速度、精度、拡張性を実現できます。Contrastを使えば、DevSecOpsのメリットを最大限に実感できるのです。」

デモのリクエストはこちらから。

関連記事/サイト： 

• バスケットボールとアプリケーションセキュリティのインストゥルメンテーションに何の関係があるか？(Contrast Securityブログ)
• Contrastが「内側から守る」：コードの脆弱性には煙探知機を鳴らし、ランタイムのインシデント・サイバー攻撃にはスプリンクラーを作動させる (Contrast Securityブログ)
• 従来のAppSecツールの危険性とランタイムセキュリティの優位性 (Contrast Security PodCast記事)
• セキュリティオブザーバビリティ：インテリジェントなセキュリティ評価 (Contrast Securityブログ)
• 統計についての話：AppSecが誤った計算に基づいて行われる理由 (Contrast Securityブログ)
• Dangerous Functions (Contrast用語集)
• False Positive (Contrast用語集)
• Runtime Security (Contrast用語集)