Skip to content

よりスマートなAppSecへ! ADRやセキュアバイデザイン、そして「シフトスマート」でサイバーセキュリティを再定義しよう

By Contrast Marketing

11月 28, 2024

セキュリティ 脆弱性対策 ランタイムセキュリティ ADR セキュリティテスト シフトスマート

    
よりスマートなAppSecへ! ADRやセキュアバイデザイン、そして「シフトスマート」でサイバーセキュリティを再定義しよう

ジェフが長年にわたるペンテストと脅威モデリングの経験から学んだことが1つあるとすれば、それは彼らは非常に時間に追われているということだ。

「新しいアプリケーションで侵入テストと脅威モデリングを始めるときは、毎回ゼロからすべてを学ばなければならない。フレームワーク、認証、アクセスルート、データベースを理解してからでないと始められないんだ」と、Contrast SecurityのCTO兼創設者であるJeffは、The Application Security Podcastの最近のエピソードで語っている。

Contrast Securityの起源は、シンプルな問いから始まった。「脅威モデリング担当者と攻撃のテスターの効率を上げる方法はないだろうか?」答えはイエスであり、その結果生まれたのがRuntime Security Observabilityだ。これは、Contrastのアプリケーションにおける検知と対応(ADR)アプリケーションセキュリティモニタリング(ASM)技術の基盤となっている。同社のランタイムセキュリティインストゥルメントにおける長年の歴史から生まれた論理的な成果だとJeffは言う。「我々は、プロセス全体を自動化し、アプリケーションの実行中にそれを監視し、アプリケーションの動作とそれが接続するすべてのエンドポイントとセキュリティ制御を示すセキュリティブループリントを生成できることに気づいたんだ」とJeffは要約する。「ADRは、これらのセキュリティブループリントから得られる驚くべきレベルのセキュリティの詳細に基づいて構築されている。これにより、複雑な脅威、脆弱性、攻撃の検出がはるかに高速かつ正確になるんだ」

「もっと早くこのことに気づかなかったなんて、我々は恥ずべきだ」

インタビューの中で、JeffはAppSecの課題と将来の方向性について説得力のある見解を示した。ADRがランタイムセキュリティの進化をどのように表しているのか、ADRが提供するセキュリティブループリントの重要性についても言及した。またADRがDevSecOpsをどのように橋渡しするのか、「設計段階からのセキュリティ」へのアプローチの重要性、そして開発とテストにおける「シフトレフト」よりも優れた選択肢としての「シフトスマート」について説明した。

シフトレフトは、AppSecはネバーランドから生まれた、根拠のない統計に基づいている。 より思慮深い選択肢であるシフトスマートについて読んでみよう。

この会話は、ADRとその進化するAppSecの展望における役割についての包括的な概要を提供し、セキュリティ専門家や開発者にとって貴重な洞察を与えてくれる。現代のセキュリティプラクティスにとって重要なテーマとその意義を紐解いていこう。

1. ADR: ランタイムセキュリティの進化

Jeffは、ADRが解決するペインポイントを鮮やかに描写した。「新しいアプリケーションに飛び込むたびに、ゼロからスタートするようなものだ」。

この洞察から生まれたADRは、ランタイムアプリケーション保護の次の進化形であり、本番環境のアプリケーションとAPIにリアルタイムの保護を提供すると同時に、詳細なセキュリティブループリントを生成する。「これは現実であり、真実だ。これらのブループリントは、実行中のコードを監視することで直接記録される」とJeffは述べた。これらのブループリントは、ルート、バックエンド接続、セキュリティ制御、危険な関数、攻撃対象領域など、アプリケーションの機能をマッピングし、脅威モデリング担当者と侵入テスターが重要な場所に労力を集中できるようにする。

インテリジェントなセキュリティ評価 = 他の人が見えないものを見ることだ。


保護対象のアプリケーションに対する洞察が全くない従来のWebアプリケーションファイアウォール(WAF)とは異なり、ADRはアプリケーション内部から動作するため、攻撃をより正確に検出し、誤検知を減らし、運用を中断することなくアプリケーションセキュリティ(AppSec)を確保することができる。「疑わしい入力を検出するだけでなく、アプリケーションとAPI攻撃の根本原因を検出するんだ」とJeffは説明する。例えば、SQLインジェクション攻撃の場合、ADRは信頼できないデータがクエリロジックを変更したときに異常な動作を認識し、リアルタイムで攻撃にフラグを立てる。

WAF + RASP = アプリケーション保護の基準を引き上げる

誤検知をフィルタリングし、セキュリティ情報イベント管理(SIEM)や拡張検知および対応(XDR)などのセキュリティオペレーションセンター(SOC)プラットフォームとシームレスに統合することで、ADRはセキュリティチームが高優先度の脅威に常に集中できるようにする。アプリケーション環境が複雑化するにつれて、アプリケーション層に保護を組み込むADRの能力は、現代のセキュリティ戦略に不可欠なものとなっている。「我々は、車、飛行機、スペースシャトルなど、複雑で重要なもののための計測器が必要なんだ」とJeffは言う。「そうすることで、内部的な問題を特定し、それがインシデントになる前に対処することができる。ソフトウェアは人類がこれまでに創造した中で最も複雑なものだが、ほとんど計測されていない。ADRは、最新のアプリケーションとAPIの複雑さを処理するための、計測に基づいたランタイム保護を提供するんだ」。

セキュリティインストゥルメンテーションは、アプリケーション内にセンサーを埋め込むことで、アプリケーションが最も高度な攻撃からリアルタイムで自身を保護できるようにする。ebook (PDF)を読んでみよう。

2. ADRは運用上の洞察でDevSecOpsを橋渡しする

Jeffは、ADRのユニークな利点の一つとして、リアルタイムの運用上の洞察を提供することで、開発、セキュリティ、運用チームをどのように連携させるかについて説明した。「RASPはAppSecチームに販売することを目的として設計されたが、運用技術をAppSecに販売することになるので、運用チームはノーと言うだろう」とJeffは説明する。「ADRは、リアルタイムのセキュリティ情報を提供することで、運用の言葉を話す。脆弱性やチケットよりも、イベント、インシデント、ランブックに関するものなんだ」。

Jeffは、ADRが開発、セキュリティ、運用の間のサイロを取り除くことでコラボレーションを強化し、組織がDevSecOpsの真の可能性を実現するのに役立つと説明した。ADRは、セキュリティがAppSecチームによって管理される独立した機能ではなく、日々の運用に統合された一部となるようにする。この機能の融合は、ゼロデイ脆弱性に対応し、本番環境のインシデントに迅速かつ効果的に対処する上で重要だ。

単純なパターンを使用して攻撃を特定するための境界保護に頼るのではなく、ADRのセキュリティブループリントは、詳細な可視性、分析、コンテキストを提供し、運用チームがインシデントを独立して理解し、対処できるようにする。Jeffは、「ADRがDevSecOpsのOpsの部分を現実のものにすることを期待している」と付け加えた。

3. 設計段階からのセキュリティ: リスク管理から保証へ

Jeffにとって、真のセキュリティとは、「設計段階からのセキュリティ」にある。これは、システムが最初から適切な制御で構築され、それらの制御が機能するという証拠によって裏付けられていることを意味する。Jeffは、「セキュリティに関わる人が行うことのすべては、保証に貢献していなければ意味がない」と強調した。単に脆弱性を見つけるだけでは不十分だ。組み込みのセキュリティ制御と検証可能な証拠を備えたシステムを構築することで、積極的な保証が提供される。

Jeffは、1990年代以降、市場はリスク管理へと移行し、組織に受動的な考え方をもたらしていると主張する。「我々は、惑星リスクの周回軌道から抜け出せずにいる」とJeffは述べ、積極的なアプローチの必要性を強調した。「脱出速度に達して惑星の安全圏に到達するには、企業は予想される脅威に耐えられるように設計されたシステムを構築し、各制御に対して強力な証拠を提供する必要がある」とJeffは言う。そうして初めて、脅威への単なる対応を超越し、持続可能で有意義なセキュリティプラクティスに集中することができる。しかし、惑星リスクの重力は非常に強く、市場を積極的なセキュリティへと押し進めようとする善意の努力はほとんどすべて失敗に終わっている。

4. シフトスマート: 最も効果的な場所でテストする

「シフトレフト」の概念は、開発の初期段階にセキュリティテストを統合することを目的としていたが、Jeffは、それがしばしば的外れであると指摘する。「あまりにも左にシフトしすぎると、アプリケーションのコンテキストがすべて失われてしまう」とJeffは主張する。その結果、AppSecチームを圧倒し、気が遠くなるようなバックログを生み出し、大量の誤検知が発生してしまう。

代わりに、Jeffは「シフトスマート」という、より ニュアンスの異なるアプローチを提唱し、テストが最も効果的な場所、つまり本番環境に近い場所でテストを行うことを重視している。Jeffは、「テストは、最も効果的で、安価で、正確に行える場所にシフトするべきだ」と説明する。QAパイプラインでの自動テストは、最小限の追加作業でセキュリティ問題を捕捉するための素晴らしいな機会を提供する。なぜなら、この段階での発見は、アプリケーションの実際の動作を反映しているからだ。

しかし、すべての脆弱性が同じ戦略を必要とするわけではない。ハードコードされた資格情報や設定ミスなど、単純な問題は早期に対処できるが、バックエンドシステムやデータフローを含む複雑な脆弱性は、本番環境でしか得られないコンテキストを必要とする。Jeffは、「QA環境は決して正確ではない」と指摘し、現実世界の状況を誤って表現する可能性のあるシミュレートされたシステムに依存していることが多いと述べた。Jeffは、組織が開発段階でLog4jの脆弱性を解決したと考えていたにもかかわらず、本番環境ではまだ存在していたことを発見した例を挙げた。この例は、隠れたリスクを明らかにし、包括的なセキュリティカバレッジを確保するために、本番環境でのテスト、つまりシフト・スマートが重要な役割を果たすことを示している。

結論

Jeffの見解は、今日のダイナミックなアプリケーション環境において、よりインテリジェントで統合されたセキュリティ戦略の必要性を浮き彫りにしている。ADRは、 ランタイム・セキュリティの未来を象徴しており、アプリケーション層でのリアルタイム保護によって、開発、セキュリティ、運用の間のギャップを埋める。DevSecOpsの原則に沿って、運用チームに 実用的なデータを提供することで、ADRはセキュリティを日々の運用に組み込み、もはや対応の後付けではなくなる。

Jeffの推奨事項は以下の通りだ。

  • 本番環境のアプリケーションやAPIへの攻撃を検知し、対応するために十分な対策を講じているかどうかを評価する。
  • 設計段階からのセキュリティに向けて、脅威モデリングの調査、セキュリティ対策の標準化、ADRの実装など、小さな一歩を踏み出すことを検討する。
  • AppSecの活動を特定のフェーズにシフトすることに重点を置くのではなく、高精度で高速なソフトウェア開発に対応できるツールを探す。

ADR技術が組織をどのように保護できるかについて詳しく知りたい場合は、Contrast Security ADRのデモをリクエストして、その機能を実際に見てみよう。

Request a demo today

Read more: 
セキュリティ 脆弱性対策 ランタイムセキュリティ ADR セキュリティテスト シフトスマート

Contrast Marketing

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年11月15日

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年11月22日