ブログ

2022年に無視できないサイバーセキュリティの課題

マティアス・マドゥ博士
2022年3月28日発行

この記事のバージョンは、次のように掲載されました。 Infosecurity Magazine.この記事は更新され、ここにシンジケートされています。

この2年間は、まあ、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一晩でリモートワークのモデルに落とされたため、ほとんどの組織のサイバーセキュリティの青写真が試されることになったのです。特に、パンデミックが始まって以来、サイバー犯罪の報告件数が300%も増加したことを受け、私たちは業界として、より高度に適応する必要がありました。

私たちは皆、いくつかの教訓を学びました。一般的なサイバーセキュリティだけでなく、コードレベルのソフトウェアのセキュリティと品質もより真剣に受け止められているという事実に、私は安心感を覚えています。ソフトウェアのサプライチェーンの安全性に関するバイデンの大統領令は、特にSolarWindsの大量侵入事件をきっかけに、重大な問題を浮き彫りにしました。私たち全員がセキュリティにもっと関心を持ち測定可能なセキュリティ意識を持って脆弱性を減らす努力をする必要があるという考え方は、間違いなく会話の中でもっと大きな部分を占めています。

しかし、サイバー犯罪者との戦いにおいては、できるだけ彼らと歩調を合わせ、予防的な考え方で彼らの遊び場を先取りすることが必要です。 

来年から波に乗ってきそうなのは、こんなところでしょうか。

メタバースは新たな攻撃対象

メタバースはインターネットの次の進化かもしれませんが、ソフトウェアやデジタル環境のセキュリティに対する多くの産業の取り組み方において、同様の変革はまだ実現されていないのです。 

フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられないだろうが(そして、誰もがメタバースに足を踏み入れる間は、おそらくたくさんある)、この没入型の仮想世界を実現する実際のインフラとデバイスは、安全でなければならないだろう。スマートフォンが私たちのオンライン生活を助けたように、VRヘッドセットのような周辺機器は、ユーザーデータの山への新しいゲートウェイとなるのです。IoTガジェットを安全にするためには、ますます複雑化する組み込みシステムのセキュリティが必要ですが、メインストリームのVR/ARという勇敢な新世界も例外ではありません。Log4Shellの悪用で明らかになったように、コードレベルの単純なエラーは、脅威の仕掛け人のためのバックステージパスへと発展し、シミュレーションされた現実では、すべての動作が盗まれる可能性のあるデータを作り出します。  

メタバースの成功には、暗号通貨の実用化(最新のミームコインの乱発ではなく)と、NFTのような価値あるアイテムの導入が必要です。つまり、私たちの現実の富、アイデンティティ、データ、生活は、人々を危険にさらす新しい「ワイルド・ウエスト」に開放される可能性があるのです。私たちエンジニアは、壮大な機能や拡張に狂奔する前に、この新しい広大な攻撃対象領域をゼロから最小化することを優先させるべきです。

Log4Shellをきっかけとした法整備

多くの開発者が大混乱に陥り、広く使われているログ記録ツールLog4jの悪用可能なバージョンのインスタンスや依存関係を見つけようと躍起になっていましたが、この休暇が楽しいものであったとは思えません。 

このゼロデイ攻撃は、6年以上たった今でも悪用されている壊滅的なHeartbleed OpenSSL脆弱性とLog4Shellが比較され、過去最悪の攻撃とされています。このタイムラインが何であれ、私たちは将来にわたってLog4Shellの二日酔いに悩まされることになるでしょう。Heartbleedから学んだ教訓、少なくともできるだけ早くパッチを配布し、実装する必要性という点では、多くの組織が自らを保護するために十分迅速に行動していないことは明らかです。企業の規模にもよりますが、パッチ適用は非常に困難で官僚的であり、部門横断的な文書化と実装を必要とします。IT部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典のような知識を持っていないことが非常に多く、混乱やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに阻まれています。このような作業方法には正当な理由がありますが(誰も作業に支障をきたして何かを壊したくはない)、パッチが遅すぎるということは、カモにされているのと同じです。

SolarWindsの攻撃がソフトウェアのサプライチェーンのゲームを変えたように、Log4Shellの後にも同じようなことが起こると私は予想している。一部の重要な業界では、すでにパッチ管理の義務付けや推奨が行われていますが、広く法制化されるかは別の話です。予防的なソフトウェア・セキュリティは、緊急のセキュリティ・パッチを完全に回避するための最善の方法ですが、セキュリティのベスト・プラクティスでは、パッチ適用が譲れない優先事項であることが規定されています。私は、このことが話題になり、迅速かつ頻繁にパッチを適用するようにという微妙な勧告につながると考えています。 

アーキテクチャのセキュリティがより重視される(そして開発者はまだ準備ができていない)

OWASP Top 10 2021では、新たにいくつかの重要な項目が追加され、またインジェクションの脆弱性が首位から3位に転落するというサプライズもありました。これらの新しい項目は、開発者が安全なコーディングとセキュリティのベストプラクティスを身につけるための「第2段階」のようなもので、悲しいことに、適切に訓練されない限り、ほとんどの人はリスクを減らすためにプラスの影響を与えることができないのです。

コードによくあるセキュリティ・バグに対処するには、開発者がセキュリティ・スキルを身につける必要があることは以前から分かっていましたし、組織も開発者主導の予防を前提にした方が反応がよいです。しかし、「安全でない設計」が OWASP トップ 10 に入っており、単一のタイプのセキュリティバグではなく、アーキテクチャのセキュリティ問題のカテゴリであることから、開発者は、一度習得した基本をさらに押し進める必要があります。脅威のモデル化に関する学習環境(理想的にはセキュリティチームのサポートが必要)は、開発者のスキルアップに成功すれば大きなプレッシャーとなりますが、現状ではほとんどのソフトウェアエンジニアにとって大きな知識格差となっています。

このような事態に対処するには「村が必要」であり、組織は、開発者のワークフローを大きく崩すことなく、彼らの好奇心を誘い、前向きなセキュリティ文化を作り出す役割を果たすことができる。

リソースを見る
リソースを見る

サイバー犯罪に対抗するためには、できるだけ彼らと歩調を合わせ、予防的な考え方で彼らの遊び場を先取りすることが必要です。ここでは、来年、サイバー犯罪者が騒ぎ出すと思われる場所を紹介します。

ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
著者
マティアス・マドゥ博士
2022年3月28日発行

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

この記事のバージョンは、次のように掲載されました。 Infosecurity Magazine.この記事は更新され、ここにシンジケートされています。

この2年間は、まあ、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一晩でリモートワークのモデルに落とされたため、ほとんどの組織のサイバーセキュリティの青写真が試されることになったのです。特に、パンデミックが始まって以来、サイバー犯罪の報告件数が300%も増加したことを受け、私たちは業界として、より高度に適応する必要がありました。

私たちは皆、いくつかの教訓を学びました。一般的なサイバーセキュリティだけでなく、コードレベルのソフトウェアのセキュリティと品質もより真剣に受け止められているという事実に、私は安心感を覚えています。ソフトウェアのサプライチェーンの安全性に関するバイデンの大統領令は、特にSolarWindsの大量侵入事件をきっかけに、重大な問題を浮き彫りにしました。私たち全員がセキュリティにもっと関心を持ち測定可能なセキュリティ意識を持って脆弱性を減らす努力をする必要があるという考え方は、間違いなく会話の中でもっと大きな部分を占めています。

しかし、サイバー犯罪者との戦いにおいては、できるだけ彼らと歩調を合わせ、予防的な考え方で彼らの遊び場を先取りすることが必要です。 

来年から波に乗ってきそうなのは、こんなところでしょうか。

メタバースは新たな攻撃対象

メタバースはインターネットの次の進化かもしれませんが、ソフトウェアやデジタル環境のセキュリティに対する多くの産業の取り組み方において、同様の変革はまだ実現されていないのです。 

フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられないだろうが(そして、誰もがメタバースに足を踏み入れる間は、おそらくたくさんある)、この没入型の仮想世界を実現する実際のインフラとデバイスは、安全でなければならないだろう。スマートフォンが私たちのオンライン生活を助けたように、VRヘッドセットのような周辺機器は、ユーザーデータの山への新しいゲートウェイとなるのです。IoTガジェットを安全にするためには、ますます複雑化する組み込みシステムのセキュリティが必要ですが、メインストリームのVR/ARという勇敢な新世界も例外ではありません。Log4Shellの悪用で明らかになったように、コードレベルの単純なエラーは、脅威の仕掛け人のためのバックステージパスへと発展し、シミュレーションされた現実では、すべての動作が盗まれる可能性のあるデータを作り出します。  

メタバースの成功には、暗号通貨の実用化(最新のミームコインの乱発ではなく)と、NFTのような価値あるアイテムの導入が必要です。つまり、私たちの現実の富、アイデンティティ、データ、生活は、人々を危険にさらす新しい「ワイルド・ウエスト」に開放される可能性があるのです。私たちエンジニアは、壮大な機能や拡張に狂奔する前に、この新しい広大な攻撃対象領域をゼロから最小化することを優先させるべきです。

Log4Shellをきっかけとした法整備

多くの開発者が大混乱に陥り、広く使われているログ記録ツールLog4jの悪用可能なバージョンのインスタンスや依存関係を見つけようと躍起になっていましたが、この休暇が楽しいものであったとは思えません。 

このゼロデイ攻撃は、6年以上たった今でも悪用されている壊滅的なHeartbleed OpenSSL脆弱性とLog4Shellが比較され、過去最悪の攻撃とされています。このタイムラインが何であれ、私たちは将来にわたってLog4Shellの二日酔いに悩まされることになるでしょう。Heartbleedから学んだ教訓、少なくともできるだけ早くパッチを配布し、実装する必要性という点では、多くの組織が自らを保護するために十分迅速に行動していないことは明らかです。企業の規模にもよりますが、パッチ適用は非常に困難で官僚的であり、部門横断的な文書化と実装を必要とします。IT部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典のような知識を持っていないことが非常に多く、混乱やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに阻まれています。このような作業方法には正当な理由がありますが(誰も作業に支障をきたして何かを壊したくはない)、パッチが遅すぎるということは、カモにされているのと同じです。

SolarWindsの攻撃がソフトウェアのサプライチェーンのゲームを変えたように、Log4Shellの後にも同じようなことが起こると私は予想している。一部の重要な業界では、すでにパッチ管理の義務付けや推奨が行われていますが、広く法制化されるかは別の話です。予防的なソフトウェア・セキュリティは、緊急のセキュリティ・パッチを完全に回避するための最善の方法ですが、セキュリティのベスト・プラクティスでは、パッチ適用が譲れない優先事項であることが規定されています。私は、このことが話題になり、迅速かつ頻繁にパッチを適用するようにという微妙な勧告につながると考えています。 

アーキテクチャのセキュリティがより重視される(そして開発者はまだ準備ができていない)

OWASP Top 10 2021では、新たにいくつかの重要な項目が追加され、またインジェクションの脆弱性が首位から3位に転落するというサプライズもありました。これらの新しい項目は、開発者が安全なコーディングとセキュリティのベストプラクティスを身につけるための「第2段階」のようなもので、悲しいことに、適切に訓練されない限り、ほとんどの人はリスクを減らすためにプラスの影響を与えることができないのです。

コードによくあるセキュリティ・バグに対処するには、開発者がセキュリティ・スキルを身につける必要があることは以前から分かっていましたし、組織も開発者主導の予防を前提にした方が反応がよいです。しかし、「安全でない設計」が OWASP トップ 10 に入っており、単一のタイプのセキュリティバグではなく、アーキテクチャのセキュリティ問題のカテゴリであることから、開発者は、一度習得した基本をさらに押し進める必要があります。脅威のモデル化に関する学習環境(理想的にはセキュリティチームのサポートが必要)は、開発者のスキルアップに成功すれば大きなプレッシャーとなりますが、現状ではほとんどのソフトウェアエンジニアにとって大きな知識格差となっています。

このような事態に対処するには「村が必要」であり、組織は、開発者のワークフローを大きく崩すことなく、彼らの好奇心を誘い、前向きなセキュリティ文化を作り出す役割を果たすことができる。

リソースを見る
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。

この記事のバージョンは、次のように掲載されました。 Infosecurity Magazine.この記事は更新され、ここにシンジケートされています。

この2年間は、まあ、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一晩でリモートワークのモデルに落とされたため、ほとんどの組織のサイバーセキュリティの青写真が試されることになったのです。特に、パンデミックが始まって以来、サイバー犯罪の報告件数が300%も増加したことを受け、私たちは業界として、より高度に適応する必要がありました。

私たちは皆、いくつかの教訓を学びました。一般的なサイバーセキュリティだけでなく、コードレベルのソフトウェアのセキュリティと品質もより真剣に受け止められているという事実に、私は安心感を覚えています。ソフトウェアのサプライチェーンの安全性に関するバイデンの大統領令は、特にSolarWindsの大量侵入事件をきっかけに、重大な問題を浮き彫りにしました。私たち全員がセキュリティにもっと関心を持ち測定可能なセキュリティ意識を持って脆弱性を減らす努力をする必要があるという考え方は、間違いなく会話の中でもっと大きな部分を占めています。

しかし、サイバー犯罪者との戦いにおいては、できるだけ彼らと歩調を合わせ、予防的な考え方で彼らの遊び場を先取りすることが必要です。 

来年から波に乗ってきそうなのは、こんなところでしょうか。

メタバースは新たな攻撃対象

メタバースはインターネットの次の進化かもしれませんが、ソフトウェアやデジタル環境のセキュリティに対する多くの産業の取り組み方において、同様の変革はまだ実現されていないのです。 

フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられないだろうが(そして、誰もがメタバースに足を踏み入れる間は、おそらくたくさんある)、この没入型の仮想世界を実現する実際のインフラとデバイスは、安全でなければならないだろう。スマートフォンが私たちのオンライン生活を助けたように、VRヘッドセットのような周辺機器は、ユーザーデータの山への新しいゲートウェイとなるのです。IoTガジェットを安全にするためには、ますます複雑化する組み込みシステムのセキュリティが必要ですが、メインストリームのVR/ARという勇敢な新世界も例外ではありません。Log4Shellの悪用で明らかになったように、コードレベルの単純なエラーは、脅威の仕掛け人のためのバックステージパスへと発展し、シミュレーションされた現実では、すべての動作が盗まれる可能性のあるデータを作り出します。  

メタバースの成功には、暗号通貨の実用化(最新のミームコインの乱発ではなく)と、NFTのような価値あるアイテムの導入が必要です。つまり、私たちの現実の富、アイデンティティ、データ、生活は、人々を危険にさらす新しい「ワイルド・ウエスト」に開放される可能性があるのです。私たちエンジニアは、壮大な機能や拡張に狂奔する前に、この新しい広大な攻撃対象領域をゼロから最小化することを優先させるべきです。

Log4Shellをきっかけとした法整備

多くの開発者が大混乱に陥り、広く使われているログ記録ツールLog4jの悪用可能なバージョンのインスタンスや依存関係を見つけようと躍起になっていましたが、この休暇が楽しいものであったとは思えません。 

このゼロデイ攻撃は、6年以上たった今でも悪用されている壊滅的なHeartbleed OpenSSL脆弱性とLog4Shellが比較され、過去最悪の攻撃とされています。このタイムラインが何であれ、私たちは将来にわたってLog4Shellの二日酔いに悩まされることになるでしょう。Heartbleedから学んだ教訓、少なくともできるだけ早くパッチを配布し、実装する必要性という点では、多くの組織が自らを保護するために十分迅速に行動していないことは明らかです。企業の規模にもよりますが、パッチ適用は非常に困難で官僚的であり、部門横断的な文書化と実装を必要とします。IT部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典のような知識を持っていないことが非常に多く、混乱やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに阻まれています。このような作業方法には正当な理由がありますが(誰も作業に支障をきたして何かを壊したくはない)、パッチが遅すぎるということは、カモにされているのと同じです。

SolarWindsの攻撃がソフトウェアのサプライチェーンのゲームを変えたように、Log4Shellの後にも同じようなことが起こると私は予想している。一部の重要な業界では、すでにパッチ管理の義務付けや推奨が行われていますが、広く法制化されるかは別の話です。予防的なソフトウェア・セキュリティは、緊急のセキュリティ・パッチを完全に回避するための最善の方法ですが、セキュリティのベスト・プラクティスでは、パッチ適用が譲れない優先事項であることが規定されています。私は、このことが話題になり、迅速かつ頻繁にパッチを適用するようにという微妙な勧告につながると考えています。 

アーキテクチャのセキュリティがより重視される(そして開発者はまだ準備ができていない)

OWASP Top 10 2021では、新たにいくつかの重要な項目が追加され、またインジェクションの脆弱性が首位から3位に転落するというサプライズもありました。これらの新しい項目は、開発者が安全なコーディングとセキュリティのベストプラクティスを身につけるための「第2段階」のようなもので、悲しいことに、適切に訓練されない限り、ほとんどの人はリスクを減らすためにプラスの影響を与えることができないのです。

コードによくあるセキュリティ・バグに対処するには、開発者がセキュリティ・スキルを身につける必要があることは以前から分かっていましたし、組織も開発者主導の予防を前提にした方が反応がよいです。しかし、「安全でない設計」が OWASP トップ 10 に入っており、単一のタイプのセキュリティバグではなく、アーキテクチャのセキュリティ問題のカテゴリであることから、開発者は、一度習得した基本をさらに押し進める必要があります。脅威のモデル化に関する学習環境(理想的にはセキュリティチームのサポートが必要)は、開発者のスキルアップに成功すれば大きなプレッシャーとなりますが、現状ではほとんどのソフトウェアエンジニアにとって大きな知識格差となっています。

このような事態に対処するには「村が必要」であり、組織は、開発者のワークフローを大きく崩すことなく、彼らの好奇心を誘い、前向きなセキュリティ文化を作り出す役割を果たすことができる。

ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

下のリンクをクリックし、この1ページのPDFをダウンロードしてください。

ダウンロード

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
シェアする
ご興味がおありですか?

シェアする
著者
マティアス・マドゥ博士
2022年3月28日発行

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

この記事のバージョンは、次のように掲載されました。 Infosecurity Magazine.この記事は更新され、ここにシンジケートされています。

この2年間は、まあ、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一晩でリモートワークのモデルに落とされたため、ほとんどの組織のサイバーセキュリティの青写真が試されることになったのです。特に、パンデミックが始まって以来、サイバー犯罪の報告件数が300%も増加したことを受け、私たちは業界として、より高度に適応する必要がありました。

私たちは皆、いくつかの教訓を学びました。一般的なサイバーセキュリティだけでなく、コードレベルのソフトウェアのセキュリティと品質もより真剣に受け止められているという事実に、私は安心感を覚えています。ソフトウェアのサプライチェーンの安全性に関するバイデンの大統領令は、特にSolarWindsの大量侵入事件をきっかけに、重大な問題を浮き彫りにしました。私たち全員がセキュリティにもっと関心を持ち測定可能なセキュリティ意識を持って脆弱性を減らす努力をする必要があるという考え方は、間違いなく会話の中でもっと大きな部分を占めています。

しかし、サイバー犯罪者との戦いにおいては、できるだけ彼らと歩調を合わせ、予防的な考え方で彼らの遊び場を先取りすることが必要です。 

来年から波に乗ってきそうなのは、こんなところでしょうか。

メタバースは新たな攻撃対象

メタバースはインターネットの次の進化かもしれませんが、ソフトウェアやデジタル環境のセキュリティに対する多くの産業の取り組み方において、同様の変革はまだ実現されていないのです。 

フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられないだろうが(そして、誰もがメタバースに足を踏み入れる間は、おそらくたくさんある)、この没入型の仮想世界を実現する実際のインフラとデバイスは、安全でなければならないだろう。スマートフォンが私たちのオンライン生活を助けたように、VRヘッドセットのような周辺機器は、ユーザーデータの山への新しいゲートウェイとなるのです。IoTガジェットを安全にするためには、ますます複雑化する組み込みシステムのセキュリティが必要ですが、メインストリームのVR/ARという勇敢な新世界も例外ではありません。Log4Shellの悪用で明らかになったように、コードレベルの単純なエラーは、脅威の仕掛け人のためのバックステージパスへと発展し、シミュレーションされた現実では、すべての動作が盗まれる可能性のあるデータを作り出します。  

メタバースの成功には、暗号通貨の実用化(最新のミームコインの乱発ではなく)と、NFTのような価値あるアイテムの導入が必要です。つまり、私たちの現実の富、アイデンティティ、データ、生活は、人々を危険にさらす新しい「ワイルド・ウエスト」に開放される可能性があるのです。私たちエンジニアは、壮大な機能や拡張に狂奔する前に、この新しい広大な攻撃対象領域をゼロから最小化することを優先させるべきです。

Log4Shellをきっかけとした法整備

多くの開発者が大混乱に陥り、広く使われているログ記録ツールLog4jの悪用可能なバージョンのインスタンスや依存関係を見つけようと躍起になっていましたが、この休暇が楽しいものであったとは思えません。 

このゼロデイ攻撃は、6年以上たった今でも悪用されている壊滅的なHeartbleed OpenSSL脆弱性とLog4Shellが比較され、過去最悪の攻撃とされています。このタイムラインが何であれ、私たちは将来にわたってLog4Shellの二日酔いに悩まされることになるでしょう。Heartbleedから学んだ教訓、少なくともできるだけ早くパッチを配布し、実装する必要性という点では、多くの組織が自らを保護するために十分迅速に行動していないことは明らかです。企業の規模にもよりますが、パッチ適用は非常に困難で官僚的であり、部門横断的な文書化と実装を必要とします。IT部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典のような知識を持っていないことが非常に多く、混乱やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに阻まれています。このような作業方法には正当な理由がありますが(誰も作業に支障をきたして何かを壊したくはない)、パッチが遅すぎるということは、カモにされているのと同じです。

SolarWindsの攻撃がソフトウェアのサプライチェーンのゲームを変えたように、Log4Shellの後にも同じようなことが起こると私は予想している。一部の重要な業界では、すでにパッチ管理の義務付けや推奨が行われていますが、広く法制化されるかは別の話です。予防的なソフトウェア・セキュリティは、緊急のセキュリティ・パッチを完全に回避するための最善の方法ですが、セキュリティのベスト・プラクティスでは、パッチ適用が譲れない優先事項であることが規定されています。私は、このことが話題になり、迅速かつ頻繁にパッチを適用するようにという微妙な勧告につながると考えています。 

アーキテクチャのセキュリティがより重視される(そして開発者はまだ準備ができていない)

OWASP Top 10 2021では、新たにいくつかの重要な項目が追加され、またインジェクションの脆弱性が首位から3位に転落するというサプライズもありました。これらの新しい項目は、開発者が安全なコーディングとセキュリティのベストプラクティスを身につけるための「第2段階」のようなもので、悲しいことに、適切に訓練されない限り、ほとんどの人はリスクを減らすためにプラスの影響を与えることができないのです。

コードによくあるセキュリティ・バグに対処するには、開発者がセキュリティ・スキルを身につける必要があることは以前から分かっていましたし、組織も開発者主導の予防を前提にした方が反応がよいです。しかし、「安全でない設計」が OWASP トップ 10 に入っており、単一のタイプのセキュリティバグではなく、アーキテクチャのセキュリティ問題のカテゴリであることから、開発者は、一度習得した基本をさらに押し進める必要があります。脅威のモデル化に関する学習環境(理想的にはセキュリティチームのサポートが必要)は、開発者のスキルアップに成功すれば大きなプレッシャーとなりますが、現状ではほとんどのソフトウェアエンジニアにとって大きな知識格差となっています。

このような事態に対処するには「村が必要」であり、組織は、開発者のワークフローを大きく崩すことなく、彼らの好奇心を誘い、前向きなセキュリティ文化を作り出す役割を果たすことができる。

目次

リソースを見る
ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リソース・ハブ

始めるためのリソース

その他の記事
リソース・ハブ

始めるためのリソース

その他の記事