ホワイトペーパー
アプリケーションにおける検知と対応(ADR)の事例

著者について
Jeff Williamsは、Contrast Securityの共同創業者兼CTOとして、20年以上にわたりセキュリティリーダーシップの経験があります。それ以前は、EYに買収された革新的なアプリケーションセキュリティコンサルティング会社であるAspect Securityの共同設立者兼CEOを務めました。また、JeffはOWASP(Open Worldwide Application Security Project)の創設者であり、主要な貢献者でもあります。OWASPでは10年間グローバル会長を務め、OWASPトップ10をはじめ、人気のあるオープンソースライブラリやツールをいくつか作成しました。Jeff は、PCI SSC(PCIセキュリティ基準審議会)、NIST(米国国立標準技術研究所)、OASIS(Organization for the Advancement of Structured Information Standards、CycloneDX、OWASP Foundation、Eclipse Foundation、および多くの企業や機関に対してアプリケーションセキュリティのアドバイザーを務めています。Jeffはバージニア大学で学士号、ジョージメイソン大学で修士号、ジョージタウン大学で法学博士号を取得しています。
なぜアプリケーションやAPIは侵害され続けるのでしょうか?
私は20年以上にわたり、防衛システム、選挙システム、金融、公益事業、航空会社など、様々な分野でアプリケーションセキュリティに携わってきました。また、NSA(National Security Agency) の国立暗号大学(National Cryptologic School)で教鞭をとり、OWASPトップ10を作成し、何百もの大企業の重要なアプリケーションに対して手動による侵入テストやコードレビューを行ってきました。
私の経験上、安全なコードを一貫して書きづづけることがいかに難しいか、よく分かっています。OWASPトップ10を初めて作成してから22年が経ちますが、アプリケーションセキュリティの進歩は氷河期のようにゆっくりとしたものです。平均的なアプリケーションには、カスタムコードとライブラリの両方に数十もの深刻な脆弱性があります。中にはもっとたくさん脆弱性がある場合もあります。ソフトウェアの脆弱性が蔓延する状況を改善できなかったことを非常に残念に思っています。
多くの人が、ソフトウェアにビジネスの成功を賭けているかもしれませんが、その賭けは安全なコードを書くための「シフトレフト」の取り組みの成功にかかっています。私はキャリアの大半を同じような考え方で過ごしてきました。残念なことに、これは非常に危険な賭けであり、最先端のアプリケーションセキュリティのプログラムを持つ企業でさえもこの賭けに負けているということが、誰にとっても明らかになっています。
このような厳しい状況では、WebアプリケーションとAPIへの攻撃に対する優れた保護が絶対に必要です。ただ残念なことに、1990年代後半にWAF(Webアプリケーションファイアウォール)が登場して以来、基本的に進歩がありません。プロトコル、データ構造、アーキテクチャにおいては数十年に渡って飛躍的な革新があったにもかかわらず、WebアプリケーションとAPI(アプリケーションプログラミングインターフェイス)における防御が停滞しているとは想像しがたいですが、それが現実です。ほとんどの企業・組織では、攻撃をブロックするWAFすらありません。WAFは、ただノイズの多いアラートを出すだけで、運用担当からは無視されるものですから。
スタックの他のすべての層は、ネットワークトラフィックにセキュリティを適用する境界デバイスによる対策から、より柔軟な対策へと移行しています。サイバーセキュリティの他の分野では、XDR(拡張型の検知と対応)、EDR(エンドポイントにおける検知と対応)、NDR(ネットワークにおける検知と対応)、CDR(クラウドにおける検知と対応)、SIEM(セキュリティ情報/イベント管理)、SOAR(セキュリティのオーケストレーションと自動化による対応)、CNAPP(クラウドネイティブアプリケーション保護プラットフォーム)、ITDR(IDの脅威検知と対応)などに移行しています。これは、異常な振る舞いを特定するために、エージェント、リアルタイムテレメトリ、高度なデータ解析技術を使用する「検知と対応」のアプローチです。しかし、本番環境でのアプリケーションとAPIに対するセキュリティは石器時代のように時代遅れで、映画「エイリアン」に登場するシガニー・ウィーバーが近接探知機を頼りにしていたように、運用担当はいまだにWAFにしがみついています。
このホワイトペーパーでは、企業の安全を守るために必要なADR(アプリケーションにおける検知と対応)の戦略とテクノロジについて説明します。
なぜ本番環境でアプリケーションやAPIを保護する必要があるのでしょうか?
アプリケーション層は、現代のビジネス活動とセキュリティの生命線です。私たちは皆、金融、医療、政府、社会生活など、生活する上であらゆる重要なことをソフトウェアに任せています。しかし、この重要なアプリケーション層が、サイバー犯罪者にとってますます魅力的な標的になっています。2024年のVerizonのDBIR(データ漏洩/侵害調査報告書)1では、WebアプリケーションとAPIへの侵害は攻撃経路のトップ3に入っており、ランサムウェアインストールの侵入経路としてはWebアプリケーションがトップ2に入っています。にもかかわらず、アプリケーション層は依然として十分に保護されていません。
アプリケーション層を保護することの複雑さは、いくら強調してもし過ぎることはありません。今日のアプリケーションは動的であり、何十ものリポジトリ、何百ものライブラリ、多くのAPIやマイクロサービス、サーバレス機能、コンテナなどで構成され、マルチクラウド環境にデプロイされています。これらの要素が組み合わさることによって、脆弱性が生まれる可能性が高まります。Ponemon2によると、企業ではアプリケーションセキュリティのバックログが拡大しており、アプリケーションやAPIの脆弱性はすでに平均して数十万件に達しています。現代のアプリケーション開発では変化の量と速度が非常に大きくなってきており、従来のセキュリティ対策で対応するには困難になっています。
アプリケーションセキュリティの領域は、従来、開発者やエンジニア、およびアプリケーションセキュリティの専任者に委ねられていました。ただし、その他のセキュリティ監視はセキュリティ運用(SecOps)担当に委ねられています。今こそ、アプリケーションとAPIのセキュリティ可視性を公開し、共有責任を促進し、運用部門の効率を向上させる時が来ました。
このホワイトペーパーでは、本番環境におけるアプリケーションセキュリティの欠如という差し迫った課題について探ります。既存のソリューションの限界について深く掘り下げ、より包括的な対策の必要性に焦点を当て、ADRと呼ぶ画期的な手法を紹介します。ADRは、アプリケーションセキュリティの継続的な保護とリアルタイムの可視性を提供するように設計されています。ADRは、従来のセキュリティ対策によって生じたギャップを埋め、アプリケーション層が組織のサイバーセキュリティ戦略における盲点にならないようします。
現在のアプリケーションセキュリティにおける検知と対応:従来の3つの対策が不十分な理由
現在、企業には、本番環境におけるアプリケーションセキュリティのインシデント検知・対応について、3つの選択肢があります。そのうちの2つの選択肢である、WAFとセキュアなソフトウェア開発は、2000年代初頭に登場しましたが、どちらも現代のアプリケーションが本番環境で直面するような様々な脅威の全ての範囲に対処するために設計されたものではありません。3つ目の選択肢である、XDRやCNAPPなどの最新のツールは、アプリケーション層をカバーしていません。その結果、組織はアプリケーションの振る舞いをリアルタイムで把握できず、進行中の脅威を見逃し、効果的に対応することができません。
- WAFは、既知の脅威に対する単純な攻撃をブロックするのに役立ちますが、重大な制限があります。WAFは境界で動作し、送受信トラフィックを検査して悪意のあるパターンを特定します。しかし、WAFはアプリケーション内部の動きを可視化できないため、攻撃を正確に検知することができません。この弱点のために、WAFは検知漏れと過検知の両方で悪名高いものとなっています。また、WAFには様々な調整やメンテナンスも必要です。誤検知による大量のアラートがセキュリティ部門に負担をかける一方で、本当の危険は、多くの実際の攻撃が検知されずにWAFをすり抜けてしまうことです。
- 従来のセキュリティ運用ツールは非常に便利ですが、アプリケーションセキュリティを可視化できません。このようなツールには、XDR、EDR、NDR、CDR、SIEM、SOAR、CNAPPなどがあります。これらのツールの有効性は、センサーやログファイルから受け取るデータの品質と網羅性によって制限されます。これらのツールでは、インテグレーション機能やエージェントを使用して、ホスト、コンテナ、ネットワークデバイス、クラウド環境からログとイベントを収集します。しかし、どのセンサーもアプリケーションとAPIのセキュリティを可視化できないため、これらのツールはアプリケーションセキュリティのインシデントの検知と対応には役立ちません。
- セキュアなソフトウェア開発は、ソフトウェアが本番環境に移行される前に、開発ライフサイクル中に脆弱性を検知して排除することを目的としています。これは理論的には良さそうに聞こえますが、SAST(静的解析)、DAST(動的解析)、SCA(ソフトウェアコンポジション解析)ツールなどの旧来のAST(Application Security Testing)ツールでは、脆弱性の特定には成功していますが、脆弱性の軽減や修正には至っていません。実際、OWASPトップ10が初めてリリースされてから20年間で、脆弱性の平均数は24.2件から43.6件に増加しています。SASTツールで検知された脆弱性の対応/修復の平均時間(MTTR:Mean Time to Remediate)は、現在290日3となっています。
これらの方法はいずれも、単独では十分ではありません。これらを組み合わせたとしても、今日の複雑なアプリケーション環境に必要な包括的な保護はできません。
CISO、アプリケーションセキュリティ部門、SOC(セキュリティオペレーションセンター)との議論では、繰り返し現れるテーマがあります。それは、企業・組織は、アプリケーションとAPIのセキュリティの盲点についてもっと知りたいと考えており、その盲点を埋めるソリューションを強く望んでいるということです。CISOは、アプリケーションレベルの脅威を把握して対応できないことに懸念を示し、現在のツールが不十分であることを認識しています。業界のリーダーたちの言葉は、このギャップに取り組むことの緊急性と、この分野におけるイノベーションの必要性を強調しています。
例えば、あるCISOは次のように述べています:
「ネットワークとエンドポイントに対しては強固な防御策を講じていますが、アプリケーションに関しては、実質的に手探りで進んでいるような状態です。」
別のセキュリティ責任者は、次のように述べています:
「アプリケーション環境の複雑化が進む中、従来のセキュリティ対策ではもはや十分ではありません。より詳細な可視性と、より効果的な対応能力が必要です。」
ADRの紹介
現代のアプリケーションの複雑さと相互接続性が増すにつれ、それらを標的とする脅威の巧妙さも増しています。従来のセキュリティ対策では、アプリケーション層で必要な可視性と保護を提供するには不十分であることが分かっています。幸いなことに、ADRという新しいセキュリティ技術が登場しました。
ADRは、アプリケーションとAPIに監視機能を組み込み、リアルタイムで脅威に対して保護・検知・対応できます。ADRによって、ソフトウェアスタック全体のセキュリティ動作を継続的に可視化し、セキュリティインシデントを示す異常を特定できます。そして、脅威を軽減するためのアクションを自動的に実行し、運用部門と開発部門にインシデントの詳細情報を含むデータを得ることができます。
ADRによりアプリケーション層内での詳細なリアルタイムの可視性と保護が提供されることで、他の検知・対応ソリューションが残したアプリケーションセキュリティの重大なギャップを埋めることができます。セキュリティ担当は、他の攻撃ベクトルに対応するために、様々な検知・対応方法を導入してきました。例えば、ユーザのノートパソコンなどのデバイス向けのEDR、クラウド環境での脅威に対するCDR、IDを監視するITDRなどです。これらの技術によって、テレメトリが収集され、次世代SIEM、XDR、CNAPPプラットフォームに供給されます。しかしこれまで、アプリケーションの振る舞いを直接監視して解析し、異常な振る舞いをリアルタイムで検知するものは存在しませんでした。
ADRを導入してこのギャップを埋めることで、組織のITインフラの主要部分で攻撃者がどのように行動しているかを追跡することができます。攻撃者がアプリケーションやAPIを標的にするのは、それらが組織の最も価値のあるデータに直結しているからです。ADRを利用すれば、セキュリティ運用担当は、攻撃の起点となるアプリケーションやAPIから横方向への展開を追跡し、侵入が永続的になる前に阻止することができます。この機能により、セキュリティ運用担当は横方向の動きを抑え、敵の滞留時間を短縮できます。このホワイトペーパーの後半では、ADRをXDR、SIEM、CNAPPプラットフォームに統合して、セキュリティ運用担当が「一元管理」できるContrastのアプローチについて説明します。
ADRでサポートされるユースケース
- アプリケーションとAPIの保護 — 運用担当は、アプリケーション/API層内の脆弱性が悪用されるのを未然に防ぐセキュリティ対策を導入する必要があります。ADRを使用することで、実行中のアプリケーション内に直接セキュリティ対策を組み込むことで、カスタムコード、フレームワーク、オープンソースライブラリ、アプリケーション/APIサーバ、ランタイムプラットフォームなどのアプリケーションスタック全体を保護できます。
- 標準的なアプリケーションおよびAPIプラットフォームに導入
- Kubernetesオペレータを使用してクラスター全体に導入
- アプリケーションとAPIでの検知 — 運用担当は、アプリケーション/APIの脅威を迅速かつ正確に検知できなければなりません。ADRを活用することで、高度なアルゴリズムを使用してアプリケーションを継続的に監視し、異常な振る舞いをリアルタイムで検知できます。そして、確認されたセキュリティインシデントを迅速にトリアージするための豊富なコンテキスト情報を含むアラートを即時に提供できるようになります。
- アプリケーションの異常な振る舞いへのフラグ付けとモデル(XDR、SIEM、CNAPP)との関連付け
- あらゆるHTTPリクエストの処理に関するセキュリティ構成図の即時参照
- 誤検知のアラートを最小限に抑えた高精度な検知
- アプリケーションとAPIでの対応 — 運用担当は、特定された脅威に対して事前に定義された対応処理を迅速に実行できるよう、準備しておく必要があります。ADRにより、悪意のあるトラフィックが自動ブロックされ、侵害されたコンポーネントを隔離し、セキュリティ担当にインシデントの詳細情報を含めた通知が可能になります。これにより、セキュリティインシデントを効果的に封じ込めて無効化し、影響を最小限に抑え、アプリケーションの整合性を維持できます。
- 既知の脆弱性(CVE)の悪用の防止
- カスタムコードとライブラリの両方におけるゼロデイ脆弱性の悪用の防止
- アプリケーションとAPIのオブザーバビリティと規制要件への準拠 — 極めて複雑なアプリケーション層のセキュリティを管理するには、すべてがどのように機能するかの詳細なアーキテクチャが必要です。ADRは、すべてのアプリケーションとAPIの詳細なリアルタイムのセキュリティ構成図を自動的に生成し、それらが相互にどのように接続されているかを示します。このような構成図は、規制要件に準拠していることを確認し、組織全体で効果的なセキュリティガバナンスを実現するのに役立ちます。
- 企業全体のアプリケーション層におけるセキュリティ活動の継続的な可視化
- XDR、SIEM、SOAR、CNAPPとのシームレスな統合による包括的なセキュリティ対策
2つのシナリオ: 安全でないデシリアライズ
現在多くの企業で起こっている実際の状況を考えてみましょう。
ブラウザ内のJavaScriptユーザインターフェイスとデータを交換する、企業のWebアプリケーションを想像してみてください。開発者は、一般的なコーディングパターンに従って、ブラウザ内のデータオブジェクトをバイトストリームに「シリアライズ」し、それをWebアプリケーション内のオブジェクトに「デシリアライズ」します。開発者は、この処理によって、安全でないデシリアライズの重大な脆弱性を意図せずに導入したことには気づきませんでした。この企業が従来使用していたSASTやDASTでは脆弱性を検知できなかったため、脆弱性を残したまま本番システムが稼働してしまいました。残念ながら、これは多くの企業・組織でよくある出来事であり、その結果として「安全でないデシリアライズ」がOWASPトップ10に含まれることになっています。
ADR導入前
攻撃者は、デシリアライズの脆弱性を見つけ、サーバ上で任意のコードを実行するように設計されたペイロードを含む、悪意のあるシリアライズされたオブジェクトを作成します。シリアライズされたオブジェクトがアプリケーションに到達すると、コードで自動的にデシリアライズされます。このデシリアライズ処理の一環として、含まれているペイロードが実行され、攻撃者はサーバ上で任意のコードを実行できるようになります。つまり、サーバが完全に乗っ取られてしまうということです。
残念なことに、この企業のWAFでは攻撃がアプリケーションに到達するのを防ぐことができませんでした。WAFは、シリアライズされたオブジェクトの中身を見ることができないため、悪意のあるペイロードが正当なユーザからの通常のトラフィックと異なることを判断できないためです。
さらに、この会社のEDR、XDR、SIEM、SOAR、CNAPPソリューションもこの攻撃を見逃してしまいました。これらのプラットフォームは、既知の攻撃パターンや異常がないか、エンドポイント、ネットワーク、ログを監視することに重点を置いています。シリアライズされたオブジェクト内の攻撃は、セキュリティプラットフォームからは見えません。なぜなら、攻撃はシリアライズされたデータに埋め込まれているため、この処理に関するログは何も記録されないからです。
サーバ上で任意のコードが実行できるようになったことで、攻撃者はさらなる行動を開始します。攻撃者は最初の足がかりを利用して内部ネットワークを探り、他の脆弱性や価値の高い標的を探します。そして、侵害したサーバを利用してネットワーク内を横方向に移動します。これは、アイランドホッピングと呼ばれるプロセスで、他の内部ホストを侵害し、機密データにアクセスします。
ADR導入後
次に、同じシナリオでADRが導入されている場合を考えてみましょう。ADRプラットフォームは、アプリケーションスタック全体をリアルタイムで継続的に監視します。通常の運用中に、ADRが安全でないデシリアライズの脆弱性が悪用されていることを検知します。以下の内容を含む詳細なインシデントレポートが作成されます。
- ペイロードを含む、完全なHTTPリクエストの情報
- 実行中のコードから直接キャプチャされた、デシリアライズ処理のスタックトレース
- 攻撃されているルートのセキュリティに関する情報を提供するコンテキスト図
インシデントの詳細を確認したセキュリティ担当は、攻撃をブロックするためにADRのブロック機能を有効にすることを決定します。ADRのブロック機能では、デシリアライズ処理をサンドボックス化するように設定されており、攻撃に関連するオペレーティングシステムのコールやその他の異常な振る舞いを防ぎます。
ブロック機能を有効にすると、攻撃が再試行された時にすぐにADRが対処し、悪意のあるペイロードをブロックしてコードの実行を防ぎます。セキュリティ担当は、攻撃がリアルタイムで正常に阻止されたことを確認します。引き続き、セキュリティ担当はADRからのアラートを受け取り、悪用の試みについて常に情報を得ることができます。そして、開発者は、コードの更新中もADRがアプリケーションを保護しているという安心感のもと、コードの脆弱性に関する情報を受け取り修正作業を進めることができます。
ADRが最初から導入されていれば、状況に事前に対処できていたでしょう。ADRの深い可視性と継続的な監視機能によって、攻撃者が足場を築きインシデントを拡大する前に阻止できたはずです。コードに重大なデシリアライズの脆弱性があったとしても、ADRは安全性を確保します。カスタムコード、オープンソースライブラリ、フレームワーク、アプリケーションサーバなど、既知および未知の脆弱性を問わず、アプリケーションスタック全体を保護します。
Contrastランタイムセキュリティプラットフォーム:ADRを支えるテクノロジ
ADRの有効性は、開発、運用、セキュリティの各プロセスをシームレスに統合できる堅牢な基盤技術にかかっています。Contrastのランタイムセキュリティプラットフォームは、この基盤となり、アプリケーションランタイム内にセキュリティを組み込むための包括的なソリューションを提供することで、リアルタイムの保護、検知、および対応能力を確実にします。
上記のアーキテクチャ図で示すように、Contrastランタイムセキュリティプラットフォームは、無関係な技術の寄せ集めではなく、アプリケーションとAPIセキュリティに対する統合的なアプローチとしてゼロから設計されています。まず、アプリケーション層のエージェントにより、実行中のアプリケーションやAPI内からアプリケーションの振る舞いを監視します。この監視データは、Contrastが高度なアプリケーションセキュリティを構築・維持するための最新のデータストリーミングアーキテクチャに供給されます。このモデルは、DST(デジタルセキュリティツイン)とも呼ばれます。このモデルにより、非常に正確な問題やインシデントの特定、コンテキストに応じたリスク評価、リアルタイムの通知などが可能になります。
リアルタイムのアラートとインサイト
- リアルタイムのデータを使用してセキュリティインシデントの深刻度を評価し、コンテキストと対策を含む即時アラートをトリガーします。
- 環境全体のアプリケーションを常に監視し、変更を解析し、ポリシー違反にフラグを立てます。
- シームレスな統合が可能で、既に使用しているツールを通じて、重要なセキュリティ情報を適切な部門・担当に直接配信します。
リスクスコアリングエンジン
- 動的なリスクスコアリングエンジンは、ビジネスへの影響、脅威の状況、セキュリティの成熟度、脆弱性の詳細などの要素を考慮して、セキュリティ対策の優先順位付けを行います。
- リスクスコアリングエンジンにより、開発部門では高リスクの脆弱性の修正に集中することができ、運用部門はコードレベルの詳細な情報によってインシデントに迅速に対応することができます。
アプリケーションセキュリティモデル
- エンタープライズアプリケーションエコシステムのDSTを作成します。このモデルは、統合されたリアルタイムのビューで、インベントリ、攻撃対象領域、脆弱性、脅威、防御、接続などをカバーします。
- 数百から数千のアプリケーションを処理できるDSTは、単一のモデル内で比類のない解析、正確なリスクの優先順位付け、効果的なインシデント対応を可能にします。
検索、ダッシュボード、レポート
- 豊富なデータのダッシュボードと強力な分析機能を提供し、ポートフォリオ全体のアプリケーションセキュリティの状況を完全に把握することができます。
- ダッシュボードは、ロールベースのアクセス制御により、さまざまな役割(開発、セキュリティなど)に合わせて調整して提供され、さらに詳細な洞察を得るためにデータを照会・分析する機能も備えています。
ポリシーの一元管理
- 組織は脆弱性評価からコンプライアンスまで、アプリケーションセキュリティのあらゆる側面を、アプリケーションポートフォリオ全体にわたってリアルタイムで管理できます。
- 新しいセキュリティルールはすぐに追加することができ、すべてのアプリケーションでカスタマイズできます。追加のスキャンや再デプロイは必要ありません。
最新のデータストリーミングアーキテクチャ
- Contrastランタイムセキュリティプラットフォームの分散アーキテクチャは、すべての環境(開発、QA、本番、クラウドなど)のさまざまなソースから大量のセキュリティデータを効率的に取り込み、解析します。
- 脆弱性と攻撃に関するリアルタイムの監視データがセキュリティ運用(SecOps)と開発者に通知され、脅威の迅速な特定と対応を可能にします。
Contrastのランタイムセキュリティプラットフォームは、すでに世界の多くの大企業で数十万の重要なアプリケーションやAPIで使用されています。当社のランタイムセキュリティプラットフォームは、毎日何兆もの危険な関数呼び出しを監視し、保護しています。
ADR導入で包括的な検知と対応を実現
Contrast ADRを導入してアプリケーションセキュリティの運用を強化することを決めた、ある金融サービス企業を想像してみて下さい。当初、この企業の焦点は、プラットフォームの先進的なエージェントとリアルタイム監視機能を活用して、アプリケーション環境内の脅威を検知して対応することにありました。Contrast ADRを導入したらすぐに、セキュリティ担当はアプリケーションの振る舞いと潜在的な脆弱性について、これまでにないレベルの情報と洞察を得らるようになりました。
ステップ1:イベント管理のためのSplunkとの連携
Contrast ADRが収集するデータの粒度と関連性の高さに感銘を受けた金融サービス企業のセキュリティ担当は、この貴重な情報を既存のSIEMシステムであるSplunkと連携させようと考えました。標準化されたイベントデータのためのCIM(共通情報モデル)に準拠して、syslogを使用してContrast ADRからSplunkにイベントをストリーミングしました。
イベントがSplunkに送信されると、この金融サービス企業のセキュリティアナリストはContrast Splunkプラグインを使用してデータを可視化しました。この連携により、Contrast ADRのアプリケーションセキュリティ監視データを既存の監視およびトリアージプロセスにシームレスに組み込むことができました。Contrast ADRが提供する詳細なセキュリティ情報により、担当はインシデントをより効果的に特定し、優先順位を付けることができるようになりました。詳細な攻撃パターンを把握し、脆弱性の影響をリアルタイムで理解し、アプリケーションセキュリティのイベントをSplunk内の他のデータソースと関連付けることで、インシデント対応のワークフローを合理化できるようになりました。
ステップ2:アプリケーションセキュリティでCNAPPを強化
この金融サービス企業は、アプリケーションセキュリティの洞察をCNAPPと統合することの幅広い価値を認識し、Contrast ADRをWizにも接続しました。この統合により、インフラとそのセキュリティ状況を包括的に把握し、インフラとアプリケーションセキュリティ間のギャップを埋めることができました。
Contrast ADRから詳細なアプリケーションセキュリティのデータがWizに送られることで、セキュリティ部門は各ワークロードを掘り下げて、包括的なセキュリティアーキテクチャを確認できるようになりました。異なるコンポーネント間の相互接続を視覚化し、各接続のセキュリティへの影響を理解し、クラウド環境というより広いコンテキストの中でインシデントを浮き彫りにすることができました。これにより、アプリケーション層の脆弱性と脅威がインフラ全体のセキュリティにどのように影響するかをより深く理解することができました
ステップ3:強化されたワークフローでContrast ADRを運用
SplunkとWizにContrast ADRを統合したことで、この金融サービス企業のセキュリティ運用部門は、既存のワークフローを変更することなく、アプリケーションとAPIのセキュリティインシデントを特定し、対応できるようになりました。Splunkプラグインにより、Contrast ADRのデータに簡単にアクセスできるようになり、既存のセキュリティ運用ワークフローを自然に拡張できました。Wizでは、アプリケーションとインフラの完全なセキュリティアーキテクチャをマッピングし、重要な脆弱性を特定し、組織への潜在的な影響を理解することができるようになりました。
この事例は、堅牢なセキュリティエコシステム内にContrast ADRを導入することの変革的な影響を明確に示しています。アプリケーションランタイム内にセキュリティを組み込み、包括的な監視および管理プラットフォームと統合することで、組織は保護をアプリケーション層全体に拡張できるのです。
ADRのビジネスケース:戦略面と経済面でのメリット
ADRの導入は、セキュリティ体制の強化、コストの削減、イノベーションの推進を目指す企業・組織にとって、説得力のあるビジネスケースとなります。
セキュリティ体制を強化 — アプリケーション層に対する脅威はかつてないペースで進化しており、アプリケーションやAPIは高度な攻撃の主要な標的となっています。従来のセキュリティ対策では、アプリケーション層に必要な可視性と保護がないことが多く、壊滅的な結果をもたらす可能性のある侵害に対して脆弱なままです。ADRは革新的なソリューションであり、アプリケーション層内の脅威に対するリアルタイムの監視、検知、保護を可能にします。ADRは、アプリケーションのランタイムに直接セキュリティを組み込むことで、脆弱性が悪用される前に確実に検知・軽減されるようにし、組織全体のセキュリティ体制を大幅に強化します。
自動化された脆弱性対策でコストを削減 — データ侵害の経済的な影響は、罰金や訴訟費用などの直接的なコストだけでなく、風評被害や顧客離れなどの間接的なコストも含めて、甚大なものになる可能性があります。ADRを導入することで、脆弱性の検知・軽減が自動化され、攻撃が成功する可能性が減少するため、大幅なコスト削減につながります。脆弱性管理の自動化により、手動による介入の必要性が最小限に抑えられ、貴重なリソースが解放され、セキュリティ部門はより戦略的な取り組みに集中できるようになります。さらに、脆弱性を早期に特定して修正することで、コストのかかるインシデントを防ぎ、組織の収益を守ることができます。
CVE-2023-22527 Atlassian Confluence – テンプレートインジェクション
CVE-2023-34040 Spring/Kafka – 安全でないデシリアライズ
CVE-2023-22965 Spring4Shell – 悪意のあるデータバインド
CVE-2021-44228 Log4Shell – JNDIインジェクションによるリモートコード実行
CVE-2021-26084 Atlassian ConfluenceのELインジェクション
CVE-2020-17530 Apache Struts2 – ELインジェクション
CVE-2020-11651 Python Salt – 認証回避
CVE-2020-11652 Python Salt – ディレクトリトラバーサル
CVE-2020-9484 Apache Tomcat – 安全でないデシリアライズ
CVE-2019-2725 WebLogic –安全でないデシリアライズ
CVE-2019-0230 Apache Struts2 – ELインジェクション
CVE-2018-11776 Apache Struts2 – ELインジェクション
CVE-2016-0792 Jenkins XStream – 安全でないデシリアライズ
これらの脆弱性(CVE)は、公表される前からContrast ADRで防御されていました。
開発生産性とイノベーションを向上 — アプリケーションセキュリティの主な課題の1つは、堅牢な保護の必要性と高速なソフトウェア開発の要求とのバランスを取ることです。従来のセキュリティツールは、誤検知を大量に発生させることが多く、不要なアラートや開発サイクルの遅延につながっています。ADRは、誤検知を減らす高精度で豊富なセキュリティインサイトを提供することで、この問題に対処します。そして、本番環境のセキュリティ情報を使用したリスクの優先順位付けを可能にし、対策プロセスを合理化します。セキュリティを開発パイプラインに統合することで、DevSecOpsの実践がサポートされ、開発担当がセキュリティを損なうことなく迅速にイノベーションを起こせるようになります。
規制要件への準拠を確保 — 規制要件に準拠することは、現代のビジネス運営において非常に重要です。NIST、PCI(ペイメントカード業界データセキュリティ基準)、GDPR(EU一般データ保護規則)などによって厳しい要件が課せられています。ADRは、SEC(米国証券取引委員会)の新たな調査および開示要件を満たすために不可欠です。ADRは、セキュリティ活動の継続的な監視と詳細なレポートを提供することにより、組織が規制要件準拠を維持できるように支援します。
データ侵害のコストが壊滅的なものになりかねない時代において、ADRの戦略的導入はセキュリティ上の必須事項であるだけでなく、健全なビジネス上の意思決定でもあります。ADRに投資する組織は、現代の脅威の状況の複雑さをうまく切り抜け、危機に対する耐性を得て、信頼や長期的な成功を確実にすることができます。
ADRでサポートされるユースケース
ADRは、従来のセキュリティ対策の欠点を解決し、既存のソリューションによって残された重大なギャップを埋めることで、アプリケーション層のセキュリティを大幅に向上させます。
ADRは、リアルタイムの監視、詳細な振る舞い解析、ブロック機能を提供することで、アプリケーションセキュリティに革新的なアプローチをもたらします。高度なサイバー脅威に対する保護を強化し、脆弱性が悪用される前に検知して軽減できます。セキュリティをアプリケーションのランタイムに直接組み込むことで、アプリケーションの振る舞いを継続的に可視化して制御し、攻撃が成功するリスクを大幅に軽減できます。さらに、詳細な情報に基づいたADRの洞察と正確なリスクス評価によって、セキュリティ担当は効果的に脆弱性対応を優先順位付けし、全体的なインシデント対応や危機に対する対応力を高めることができます。
今すぐ取るべきステップ:
アプリケーションセキュリティのギャップを検証:既存のセキュリティ防御を検証し、アプリケーションやAPIの攻撃に対して効果的な保護となっているかどうかを確認しましょう。
Contrast ADRの説明を行うデモに参加:ADRが本番環境のアプリケーションとAPIにリアルタイムの可視性、継続的な監視、ブロック機能を実現できることを体感しましょう(*4)。
既存のツールと連携:XDR、SIEM、CNAPPプラットフォームとの統合を活用して、セキュリティの全体的な可視性とインシデント対応ワークフローを強化しましょう。
価値を認識:ADRが自分の組織にとってもたらすメリットを評価しましょう。
組織は、アプリケーション層の保護の重要性を認識し、ADRをサイバーセキュリティフレームワークに統合するための積極的な対策を講じる必要があります。この戦略的な投資は、組織のデジタル資産を保護し、運用の危機に対する対応力を高め、市場における競争優位性を確保するという長期的なメリットをもたらします。今こそ行動を起こし、進化し続けるデジタルの世界に置いて、組織を守るだけでなく、成功するための体制を整えましょう。
1 Verizon 2024 Data Breach Investigations Report, p. 31
2 The State of Vulnerability Management in DevSecOps
3 Veracode State of Software Security (PDF)
4 ADR demo
アプリケーションとAPIを内側から守る
1対1のデモを予約して、Contrastランタイムセキュリティで何ができるのかをご覧ください。