ADRについて知っておくべき12のこと

アプリケーションセキュリティを取り巻く情勢は目まぐるしく変化している。最近注目を集めたセキュリティ侵害事件や、相次いで市場に登場する新しいADR(アプリケーションにおける検知と対応)ソリューションを踏まえ、従来のテクノロジではなぜ組織を保護できていないのか、そしてADRがどのように状況を一変させるのかを理解することが重要だ。ここでは、ADRについて知っておくべき重要な12項目を紹介しよう。

ADRに注目すべき理由 

検知・対応(Detection and Response)セキュリティツールを使えば、ネットワークトラフィック、エンドポイントやクラウドのアクティビティ、IDの振る舞いについての可視化ができるだろう。しかし、これらには盲点もある。これらのセキュリティツールは、アプリケーションセキュリティのインシデントや侵害への対応の助けにはなっているだろうか？ゼロデイは？カスタムコードの脆弱性は？

おそらく、無理だろう。最新の攻撃の多くはアプリケーション層、つまりWebアプリケーションやAPI(アプリケーションプログラミングインターフェイス)で発生・展開するが、このアプリケーション層はセキュリティ対策の盲点となっている。だからこそ、ADRは「アプリケーションを保護するために必要なギャップを埋めるテクノロジ」と呼ばれ、話題になっているのだ。

ADRを理解し、ニーズに合った適切なソリューションを決定できるように、知っておくべき最も重要なことをまとめた。

ADRについて知っておくべき12のこと

1. ADRとは？

ADRは、脅威の検知と対応において深刻な可視性のギャップに対処するために必要不可欠なプラットフォームだ。従来のセキュリティツールは、クラウド、ネットワーク、エンドポイントのアクティビティを可視化するが、何がアプリケーション層を攻撃しているかの詳細な情報を見逃している。ADRはこの点においてが役割を果たす。アプリケーションとAPIの振る舞いをきめ細かく可視化し、異常を認識して特定し、アプリケーション層全体で脅威の検知と対応を的確に行うことができる。

ADRの検知層と対応層について理解する

2. ADRは、本番環境のアプリケーションを保護するための他のツールとどう異なるのか？

ADR以外にも、本番環境でアプリケーションセキュリティのインシデントを検知して対応するための従来のオプションが3つあるが、それぞれに限界があり、真のADRとしては効果がない。true ADR.

• WAF(Webアプリケーションファイアウォール) — WAFは既知の脅威に対する単純な攻撃をブロックするのに役立つが、大きな制限がある。WAFは境界で動作し、送受信トラフィックを検査して悪意のあるパターンを特定する。アプリケーション内部の動きを可視化することはできず、攻撃を正確に検知できない。WAFは検知漏れと過検知の両方で悪名高く、大量の誤検知アラートはセキュリティ部門の負担となり、実際の攻撃の多くを検知できない。
• 従来のセキュリティ運用ツール — XDR(拡張型の検知と対応)、EDR(エンドポイントにおける検知と対応)、NDR(ネットワークにおける検知と対応)、CDR(クラウドにおける検知と対応)、SIEM(セキュリティ情報/イベント管理)、SOAR(セキュリティのオーケストレーションと自動化による対応)、CNAPP(クラウドネイティブアプリケーション保護プラットフォーム)などは、特定の目的には有用だ。これらのツールは、センサーからのデータや、ホスト、コンテナ、ネットワークデバイス、クラウド環境からのログファイルを受け取る。アプリケーションの攻撃によって発生する、二次的な影響を検知できる可能性もある。しかし、アプリケーションとAPIのセキュリティを可視化できないため、これらのツールはアプリケーショセキュリティのインシデントの検知と対応には効果がない。 
• セキュアなソフトウェア開発 — AST(アプリケーションセキュリティテスト)を使用することで、開発者は開発ライフサイクル中に脆弱性を見つけて排除することができる。これは理論的には良さそうに聞こえるが、実際には、ASTやSCA(ソフトウェアコンポジション解析)ツールは、ポリシーに基づいて脆弱性を特定し、脆弱なライブラリが取り込まれるのを防ぐことができるが、本番環境での攻撃を阻止することはできない。
  

3. ADRはどのようにしてアプリケーションを可視化するのか？エージェントや何か他の方法を使用するのか？パフォーマンスへの影響は？ 

ADRは、アプリケーションとAPIのセキュリティに対する統合的なアプローチとして設計されている。完全に分散された軽量のエージェントを使用して、実行中のアプリケーションやAPI内からアプリケーションセキュリティの振る舞いを監視し、この監視データがセキュリティオペレーションセンター(SOC)で使用している他のプラットフォーム(SIEM、SOAR、CNAPPなど)に送られる。

ADRにより高精度で豊富なセキュリティ情報が提供されることで、誤検知を減らすことができる。また、本番環境のセキュリティ情報を使用したリスクの優先順位付けが可能になり、対策プロセスが合理化される。ADRによりセキュリティが開発パイプラインに統合されることで、DevSecOpsの実践がサポートされ、開発担当がセキュリティを損なうことなく迅速にイノベーションを起こせるようになる。

4. アプリケーションの振る舞いについてADRで具体的にどのような情報が得られるのか？

ADRは、データフローを追跡し、脆弱なコードの実行を特定し、アプリケーションロジック内の異常な動きを見つける。セキュリティ運用担当には、アプリケーションへの攻撃に関する詳細情報が送られ、ガイドラインに基づきアプリケーションの脅威に対処できる。開発者とアプリケーションセキュリティ担当には、攻撃が発生している関数の行数に至るまでの詳細なスタックトレースがあり、より効率的に脆弱性を修正することができる。

5. 情報はどのように視覚的に表現されるのか？アプリケーションの動きを簡単に理解して、潜在的な脅威を特定できるのか？

主要なADRソリューションには、組織のアプリケーションセキュリティ体制を完全に把握するための、優れた検索およびクエリ機能、豊富なデータのダッシュボード、強力な分析機能が提供されている。ダッシュボードは、ロールベースのアクセス制御と、より詳細な情報を得るためのデータ照会・分析機能によって、さまざまな役割(開発、セキュリティなど)に合わせて調整することができる。

6. ADRはどのような種類の攻撃を検知してブロックできるのか？

ADRのエージェントは、様々な手法(ランタイムでの動作解析、コード解析、ライブラリ解析、設定ファイル解析など)を使用してセキュリティテレメトリを収集することにより、アプリケーションを内側から守る。ADRが検知・ブロックできる攻撃の種類の一例：

• SQLインジェクション / NoSQLインジェクション

• クロスサイトスクリプティング(XSS)

• アカウント乗っ取り(ATO)

• コマンドインジェクション

• OGNL(Object Graph Navigation injection)インジェクション

• JNDI(Java Naming and Directory Interface injection)インジェクション

• サーバサイドリクエストフォージェリ(SSRF)

• テンプレートインジェクション

• 安全でないファイルのアップロード

• パストラバーサル 

• 反射型クロスサイトスクリプティング(XSS)

• 安全でないデシリアライズ
  

• XML外部実体参照(XXE)
  
• クラスローダの改ざん

7. ADRはゼロデイ攻撃や未知の脅威から守ってくれるのか？

ADRはアプリケーション層の内部に配置されているため、既知および未知の脆弱性の両方に対する攻撃の全体像を把握するために必要な情報がある。これには、XDRやWAFが見逃すアプリケーション層でのゼロデイ攻撃も含まれる。

ADR(アプリケーションにおける検知と対応)が「新たなカテゴリー」

8. ADRはAIで生成されたコードに対する脅威を検知できるのか？

AI(またはAIアシスタント)を使用してコーディングを行っている場合、開発スピードは上がるが、同時により多くの脆弱性も生み出していることになる。 ADRなら、開発段階での脆弱性にはAST(アプリケーションセキュリティテスト)で、本番環境の脆弱性にはADRで対処できる。

9. ADRではどのような対応策(攻撃のブロック、セキュリティ担当への警告など)をとることができるのか？ 

ADRは本番アプリケーションへの攻撃を検知し、リアルタイムでブロックする。そして、監視データを使用してアラートを送信し、迅速かつ効果的なインシデント対応を推進する。詳細なガイドライン、アプリケーションのアラート、監視データにより、対応担当者は必要なデータと専門知識を確実に入手できる。SIEMやXDRと連携することで、最も効果的な箇所で対応策を実行できるようになる。

10. 脅威の深刻度に基づいて対応策をカスタマイズできるか？

組織固有の要件やリスク許容度、ブロックすべき脅威の種類、SOC(セキュリティオペレーションセンター)の分析担当に提供するアラート・監視データのレベルに基づいて、ADRをどのように機能させるかを定義することができる。.

11. SOCではADRをどのように使用するのか？データの共有や自動ブロックは可能か？

ADRにより、SOC担当は本番環境のAPIとコードを把握できるようになる。アプリケーション内に組み込まれたエージェントによって、コード実行中にセキュリティに関連するアプリケーションの振る舞いが継続的に監視され、アプリケーションスタック全体の異常な動きが検知できる。

TADRは「インサイドアウト」アプローチを採用しており、カスタムコードやオープンソース(OSS)コードで実行時にのみ現れる攻撃を検知できる。ADRからSIEMやSOARソリューションへのアラートの送信など、脅威や攻撃のデータを SOCに送信することで、インシデント対応ワークフローを強化できる。また、攻撃の状態と攻撃に関連する脆弱性のデータで、さらにアラートを充実させることもできる。ADRの情報を、インシデント対応ワークフローを推進するSOARのプレイブックの一部にすることもできる。

12. 最新のADRソリューションに求められる機能とは？

機能はベンダーによって異なるが、高度なソリューションでは以下のような機能が提供されるべきだ。

• アプリケーションセキュリティモデル

  エンタープライズアプリケーションエコシステムのDST(デジタルツイン)の作成。これは、統合されたリアルタイムのビューで、インベントリ、攻撃対象領域、脆弱性、脅威、防御、接続などをカバーするモデルとなる。数百から数千のアプリケーションを処理できるDSTによって、単一のモデル内で比類のない解析、正確なリスクの優先順位付け、効果的なインシデント対応を可能にする。

• 検索、ダッシュボード、レポート

  豊富なデータのダッシュボードと強力な分析機能。これにより、ポートフォリオ全体のアプリケーションセキュリティの状況を完全に把握することができる。ダッシュボードは、ロールベースのアクセス制御により、さまざまな役職(開発、セキュリティなど)に合わせて提供され、データの照会・分析機能によって、より必要な情報が得られる。

• 最新のデータストリーミングアーキテクチャ

  分散アーキテクチャによって、あらゆる環境のさまざまなソースから大量のセキュリティデータを効率的に取り込み、解析できるプラットフォーム。脆弱性と攻撃に関するリアルタイムの監視データがセキュリティ運用担当と開発者に通知され、脅威の迅速な特定と対応を可能にする。

ADRテクノロジで組織をどのように守ることができるかについての詳細は、 ContrastのADRのデモをリクエストしてほしい。

関連記事/サイト：

• Contrastブログ：SOCアナリスト時代にADRを知っていればよかった！ 
• Contrastブログ：CISOよ、目を覚ませ！ アプリケーションの盲点を照らすADRというフラッシュが必要だ
• Contrastブログ： 攻撃の仕組み