組織階層におけるソフトウェア再考

2023年06月01日掲載
ピーテル・ダンヒョウ著
ケーススタディ

組織階層におけるソフトウェア再考

2023年06月01日掲載
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

この記事の一版は ダークリーディング.この記事はDark Readingに掲載されたものを更新し、ここにシンジケートされています。

組織の中で誰が誰の部下かを示す業務報告図や階層図を、誰もが一度は目にしたことがあるのではないでしょうか。組織図と呼ばれることもありますが、誰が自分のために働き、誰が自分の上司であるかを知らせるのに便利なツールです。例えば、典型的な組織図では、コーディンググループの責任者は製品開発担当ディレクターに、そのディレクターはイノベーション担当バイスプレジデントにレポートします。そして、その権限線は、会社組織の上下に続いていきます。このような組織図を見て、どこかに自分だけの小さなブロックを見つけようとしたことがない人はいないでしょう。

人間が階層や構造に魅了されるのは不思議なことではありません。歴史的に見ても、非常に危険な世界に直面していた太古の時代から、私たちは長い間、種として生き続けてきたのです。私たちは決して最強でも最速でもありませんでしたが、家族、部族、グループをまとめ、生き、繁栄させるために、全員が自分の立場と責任を理解し、チームとしてうまく機能していました。現代の組織図は、そのような時代と古代の成功の延長線上にあるものなのです。

しかし、事業の規模などに関係なく、ほとんどすべての組織図に共通していることがあります。それは、組織図の構成要素がすべて人間、あるいは人間の集団であるということです。機械が人間を監督する時代ではないので、今のところ組織図は人間だけのものなのです。しかし、私たちのソフトウェアにも組織階層が必要なのでしょうか?

もちろん、会社の組織図にソフトを追加しろと言っているわけではありません。誰も上司にアプリを持たせようとは思いません。上司に昇給を求めるなんて、もってのほかでしょう?しかし、最近のアプリケーションやプログラムが直面している脅威の状況は、はるか昔、私たち人類の祖先が直面した危険な環境と同じではありません。アプリやソフトウェアの責任を厳格な階層構造の中で定義し、最小限の特権でポリシーを実施することで、アプリやソフトウェアが壊滅的に荒れた脅威の状況に直面しても、生き残り、繁栄することができるのです。

アプリやソフトウェアへの攻撃が過去最高を記録

ソフトウェアのためのより良い組織階層を作る必要性を理解するためには、まず脅威の状況を理解することが重要です。最近の攻撃者、そして攻撃者のために働くボットや自動化されたソフトウェアは、悪用するために防御の遅れを常にスキャンしています。人間に対するフィッシングなどの攻撃は依然として行われていますが、最も熟練したハッカーは、その取り組みの大半をソフトウェアへの攻撃にシフトしています。

そして、すべてのソフトウェアが狙われている一方で、最も成功している攻撃は、アプリケーション・プログラミング・インターフェース、またはAPIに対して行われています。APIとは、開発者がアプリやプログラムのために、小さくても重要なタスクを実行するために使用するソフトウェアの小さな断片のことです。APIは柔軟でユニークなものが多く、時には開発プロセスで必要に応じてその場で作成されることもあります。

APIは確かに柔軟ですが、その機能に対して過剰な権限を与えられていることも少なくありません。開発者は、例えば、APIが管理するプログラムが発展し変化し続けても機能し続けることができるように、APIに多くの権限を与える傾向があります。しかし、このことは、攻撃者がこの権限を侵害した場合、例えば、特定のデータベースの1つの塊にアクセスする権限だけでなく、もっと多くの権限を得ることになることを意味します。ネットワーク全体の管理者権限に近いものまで取得する可能性があるのです。

複数のセキュリティ調査会社が、今日のクレデンシャルを盗む攻撃の圧倒的多数はAPIのようなソフトウェアに対して行われていると述べているのも不思議ではありません。アカマイはその数を全体の75%としており、ガートナーもAPIに関わる脆弱性が最も頻繁に発生する攻撃ベクトルになっていると述べています。また、Salt Labsの最新のレポートでは、APIに対する攻撃は昨年と比較して約700%増加しています。

ソフトウェアの組織図を作成する

認証情報を盗む脅威に対して組織が対抗する方法の1つは、ネットワーク内で最小権限、あるいはゼロトラストを実施することです。これは、ユーザーが自分の仕事やタスクを達成するために必要な、ぎりぎりの権限を受け取ることを制限するものです。このアクセスは、時間や場所などの要素によってさらに制限されることが多い。これにより、たとえクレデンシャル・ステーリング攻撃が成功したとしても、攻撃者は短時間に限られた機能を実行する権限しか持たないため、あまり良いことはありません。

最小特権は良い防御策ですが、通常、人間のユーザーにのみ適用されます。しかし、APIにも高い特権があることを忘れがちであり、また、それほど規制されていないことが多い。サイバー攻撃のパターンを追跡しているOpen Web Application Security Project(OWASP)によると、アクセス制御の不備が公共の敵ナンバーワンになった理由の1つはこれです。 

この重大な問題を解決するには、単純にソフトウェアに最小権限を適用すればいいと言うのは簡単です。しかし、それを実行するのはもっと大変です。まず、開発者にその危険性を認識させる必要があります。そして、APIやその他のソフトウェアは、それが存在するコンピュータネットワーク内の組織図の一部として公式に配置されるか、少なくとも想定されるべきです。例えば、APIが予約アプリケーションの一部としてリアルタイムのフライトデータを取得することを想定しているのであれば、給与計算や財務システムとも接続できるようにしなければならない理由はないでしょう。ソフトウェアの組織図では、これらのシステムを直接結ぶ線はもちろん、点線で結ぶ線さえもない。

開発者が、組織内で運用されている何千、何百万ものAPIを示す組織図を実際に作成することは、おそらく非現実的なことでしょう。しかし、APIがもたらす危険性を認識し、APIのアクセス権を業務に必要なものだけに制限することは、昨今、誰もが直面しているクレデンシャルを盗む攻撃の横行を阻止する上で大きな意味を持ちます。それは意識することから始まり、APIやソフトウェアを人間のユーザーと同じように慎重に扱うことで終わります。
‍。

開発チームのレベルアップを図りたいですか?APIセキュリティの問題などをナビゲートする私たちの アジャイルlearning platform開発者ファーストのセキュリティツールで、APIセキュリティの問題などを解決しましょう。

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

組織階層におけるソフトウェア再考

2024年1月22日発行
Pieter Danhieux著

この記事の一版は ダークリーディング.この記事はDark Readingに掲載されたものを更新し、ここにシンジケートされています。

組織の中で誰が誰の部下かを示す業務報告図や階層図を、誰もが一度は目にしたことがあるのではないでしょうか。組織図と呼ばれることもありますが、誰が自分のために働き、誰が自分の上司であるかを知らせるのに便利なツールです。例えば、典型的な組織図では、コーディンググループの責任者は製品開発担当ディレクターに、そのディレクターはイノベーション担当バイスプレジデントにレポートします。そして、その権限線は、会社組織の上下に続いていきます。このような組織図を見て、どこかに自分だけの小さなブロックを見つけようとしたことがない人はいないでしょう。

人間が階層や構造に魅了されるのは不思議なことではありません。歴史的に見ても、非常に危険な世界に直面していた太古の時代から、私たちは長い間、種として生き続けてきたのです。私たちは決して最強でも最速でもありませんでしたが、家族、部族、グループをまとめ、生き、繁栄させるために、全員が自分の立場と責任を理解し、チームとしてうまく機能していました。現代の組織図は、そのような時代と古代の成功の延長線上にあるものなのです。

しかし、事業の規模などに関係なく、ほとんどすべての組織図に共通していることがあります。それは、組織図の構成要素がすべて人間、あるいは人間の集団であるということです。機械が人間を監督する時代ではないので、今のところ組織図は人間だけのものなのです。しかし、私たちのソフトウェアにも組織階層が必要なのでしょうか?

もちろん、会社の組織図にソフトを追加しろと言っているわけではありません。誰も上司にアプリを持たせようとは思いません。上司に昇給を求めるなんて、もってのほかでしょう?しかし、最近のアプリケーションやプログラムが直面している脅威の状況は、はるか昔、私たち人類の祖先が直面した危険な環境と同じではありません。アプリやソフトウェアの責任を厳格な階層構造の中で定義し、最小限の特権でポリシーを実施することで、アプリやソフトウェアが壊滅的に荒れた脅威の状況に直面しても、生き残り、繁栄することができるのです。

アプリやソフトウェアへの攻撃が過去最高を記録

ソフトウェアのためのより良い組織階層を作る必要性を理解するためには、まず脅威の状況を理解することが重要です。最近の攻撃者、そして攻撃者のために働くボットや自動化されたソフトウェアは、悪用するために防御の遅れを常にスキャンしています。人間に対するフィッシングなどの攻撃は依然として行われていますが、最も熟練したハッカーは、その取り組みの大半をソフトウェアへの攻撃にシフトしています。

そして、すべてのソフトウェアが狙われている一方で、最も成功している攻撃は、アプリケーション・プログラミング・インターフェース、またはAPIに対して行われています。APIとは、開発者がアプリやプログラムのために、小さくても重要なタスクを実行するために使用するソフトウェアの小さな断片のことです。APIは柔軟でユニークなものが多く、時には開発プロセスで必要に応じてその場で作成されることもあります。

APIは確かに柔軟ですが、その機能に対して過剰な権限を与えられていることも少なくありません。開発者は、例えば、APIが管理するプログラムが発展し変化し続けても機能し続けることができるように、APIに多くの権限を与える傾向があります。しかし、このことは、攻撃者がこの権限を侵害した場合、例えば、特定のデータベースの1つの塊にアクセスする権限だけでなく、もっと多くの権限を得ることになることを意味します。ネットワーク全体の管理者権限に近いものまで取得する可能性があるのです。

複数のセキュリティ調査会社が、今日のクレデンシャルを盗む攻撃の圧倒的多数はAPIのようなソフトウェアに対して行われていると述べているのも不思議ではありません。アカマイはその数を全体の75%としており、ガートナーもAPIに関わる脆弱性が最も頻繁に発生する攻撃ベクトルになっていると述べています。また、Salt Labsの最新のレポートでは、APIに対する攻撃は昨年と比較して約700%増加しています。

ソフトウェアの組織図を作成する

認証情報を盗む脅威に対して組織が対抗する方法の1つは、ネットワーク内で最小権限、あるいはゼロトラストを実施することです。これは、ユーザーが自分の仕事やタスクを達成するために必要な、ぎりぎりの権限を受け取ることを制限するものです。このアクセスは、時間や場所などの要素によってさらに制限されることが多い。これにより、たとえクレデンシャル・ステーリング攻撃が成功したとしても、攻撃者は短時間に限られた機能を実行する権限しか持たないため、あまり良いことはありません。

最小特権は良い防御策ですが、通常、人間のユーザーにのみ適用されます。しかし、APIにも高い特権があることを忘れがちであり、また、それほど規制されていないことが多い。サイバー攻撃のパターンを追跡しているOpen Web Application Security Project(OWASP)によると、アクセス制御の不備が公共の敵ナンバーワンになった理由の1つはこれです。 

この重大な問題を解決するには、単純にソフトウェアに最小権限を適用すればいいと言うのは簡単です。しかし、それを実行するのはもっと大変です。まず、開発者にその危険性を認識させる必要があります。そして、APIやその他のソフトウェアは、それが存在するコンピュータネットワーク内の組織図の一部として公式に配置されるか、少なくとも想定されるべきです。例えば、APIが予約アプリケーションの一部としてリアルタイムのフライトデータを取得することを想定しているのであれば、給与計算や財務システムとも接続できるようにしなければならない理由はないでしょう。ソフトウェアの組織図では、これらのシステムを直接結ぶ線はもちろん、点線で結ぶ線さえもない。

開発者が、組織内で運用されている何千、何百万ものAPIを示す組織図を実際に作成することは、おそらく非現実的なことでしょう。しかし、APIがもたらす危険性を認識し、APIのアクセス権を業務に必要なものだけに制限することは、昨今、誰もが直面しているクレデンシャルを盗む攻撃の横行を阻止する上で大きな意味を持ちます。それは意識することから始まり、APIやソフトウェアを人間のユーザーと同じように慎重に扱うことで終わります。
‍。

開発チームのレベルアップを図りたいですか?APIセキュリティの問題などをナビゲートする私たちの アジャイルlearning platform開発者ファーストのセキュリティツールで、APIセキュリティの問題などを解決しましょう。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。