Skip to content

サイバーセキュリテイに関するDavid Lindner(Contrast CISO)の視点 | 2024年5月3日

    
サイバーセキュリテイに関するDavid Lindner(Contrast CISO)の視点 | 2024年5月3日

ポイント#1

ああ、またか。Verizonの新しいデータ漏洩/侵害調査報告書(DBIR)が発表されたが、またしてもWebアプリケーションの認証情報の不正使用とWebアプリケーションの脆弱性の悪用が侵害リストのトップ3に入った。毎年同じ、お粗末な話だ。現状維持のAppSec(アプリケーションセキュリティ)ツール —  SAST(静的アプリケーションセキュリティテスト)、DAST(動的アプリケーションセキュリティテスト)、WAF(Webアプリケーションファイアウォール)など が機能していないことを、企業はどの時点で認識するのだろうか?なぜランタイムセキュリティのような新しいものを活用してみないのか?

ポイント#2

今年、VerizonのDBIRは、米サイバーセキュリティ・インフラセキュリティ庁(CISA)が公開するKEV(悪用が確認された脆弱性)を企業がどれだけ迅速に修正しているかを調査した。これらは最も重大な脆弱性である。このデータによると、30日経っても85%は対策が取られていない。私見では、ランタイムセキュリティのような緩和策の必要性が叫ばれており、このような既知の悪用された脆弱性に対処していくことが必要だと思う。

ポイント#3

最近、2018年の大規模なデータ漏えいをめぐる裁判で、Marriottが認めた安全なAES-1暗号を使用していると(5年間)偽っていたことを。実際にはSHA-1(Secure Hash Algorithm-1)を使用していた。このアルゴリズムは、次のようなものだ:

a. NISTが2011年に非推奨とした
b. 2030年12月31日以降、すべてのソフトウェアとハードウェアデバイスでサポートされなくなる
c. その理由は簡単に攻撃できるからだ

暗号化とはハッシュ化することではないし、ハッシュ化は暗号化ではない。暗号化はデータを保護しながら、キーを持つシステムが元データを使用できるようにするためのもので、ハッシュ化はシステムが元の値を知る必要がない場合にデータを不可逆的にすることを目的としている。残念ながら、SHA-1のような脆弱なハッシュアルゴリズムでは、いかなる種類のキーも必要とせずに元の値を取得できるため、その使用は非常に危険だ。まだSHA-1を使っているか?もし「いいえ」と答えるなら、本当にそうなのか?このような間違いをすると、深刻な結果を招く可能性がある。

David Lindner, Chief Information Security Officer

David is an experienced application security professional with over 20 years in cybersecurity. In addition to serving as the chief information security officer, David leads the Contrast Labs team that is focused on analyzing threat intelligence to help enterprise clients develop more proactive approaches to their application security programs. Throughout his career, David has worked within multiple disciplines in the security field—from application development, to network architecture design and support, to IT security and consulting, to security training, to application security. Over the past decade, David has specialized in all things related to mobile applications and securing them. He has worked with many clients across industry sectors, including financial, government, automobile, healthcare, and retail. David is an active participant in numerous bug bounty programs.