昨今のサイバーセキュリティへの脅威は、どこにでもあり、容赦ないものです。あまりにもひどいので、プログラムを導入した後にそれらに対処しようとするのはほとんど不可能になっています。しかし、DevSecOps、継続的デリバリ、そしてかつてないほど多くのデータが得られるこの時代に、賢明な企業は、開発者をセキュリティ意識の高いスーパースターに育て上げ、一般的な脆弱性を本番稼動前に排除できるように支援しています。これまでに、Webの脆弱性とInfrastructure as Codeのバグのトップ8を紹介してきましたが、次は、ソフトウェアセキュリティの次の大きな課題について知っておくべきでしょう。準備はできていますか？

今回のブログシリーズでは、アプリケーション・プログラミング・インターフェース（API）に関連した最悪のセキュリティバグを取り上げます。これらのバグは、Open Web Application Security Project(OWASP)が発表したAPI脆弱性のトップリストに掲載されるほどのものです。現代のコンピュータ・インフラにおいてAPIがいかに重要であるかを考えると、これらの問題は、アプリケーションやプログラムから絶対に排除しなければならない重大な問題です。

コードを使ってセキュリティを強化することがなぜ必要なのか、その完璧な例は、壊れたオブジェクト・レベル認証の脆弱性の検証に見ることができます。これは、プログラマが、どのユーザがオブジェクトやデータを閲覧できるかを明示的に定義せず、また、オブジェクトの閲覧、変更、その他の操作やアクセスのリクエストを行うための何らかの検証を行わず、APIエンドポイントを通じてオブジェクトやデータの変更やアクセスを許してしまうことで起こります。APIエンドポイントとは、API自体と他のシステムとの間の通信に利用されるタッチポイントであり、多くの場合URLである。アプリ間の接続機能は、世界で最も愛されているソフトウェアを向上させましたが、気密性が高くなければ複数のエンドポイントを公開してしまう危険性があります。

また、コード作成者が親クラスのプロパティを忘れたり、継承したりすることで、コード内の重要な検証プロセスが省略されていることに気づかないこともあります。一般的には、ユーザからの入力を利用してデータソースにアクセスするすべての関数に対して、オブジェクトレベルの認証チェックを行う必要があります。

今すぐアクセスコントロールのバグを発見し、修正し、排除することができます。ゲーム感覚でチャレンジしてみてください。

あなたの成績はいかがでしたか？スコアアップしたい方は、このまま読み進めてくださいね。

壊れたオブジェクトレベルの認証の脆弱性の例としてはどのようなものがありますか？

オブジェクト・レベル・アクセス・コントロールの脆弱性により、攻撃者は本来許可されていない行為を行うことができます。これは、機密データへのアクセスや閲覧、あるいは記録の破棄など、管理者にのみ許されるべき行為かもしれません。
オブジェクトレベルの認証を定義する際には、考えられるすべてのアクションを念頭に置く必要があります。例えば、Java Spring APIでは、問題が発生する可能性のあるエンドポイントは次のようになります。

public boolean deleteOrder(Long id) {
       Order order = orderRepository.getOne(id);
       if (order == null) {
           log.info("No found order");
           return false;
       }
       User user = order.getUser();
       orderRepository.delete(order);
       log.info("Delete order for user {}", user.getId());
       return true;

APIエンドポイントは、IDごとに注文を削除しますが、この注文が現在ログインしているユーザーによって行われたかどうかは検証しません。このため、攻撃者がこの抜け道を利用して、他のユーザーの注文を削除する機会があります。

安全なアクセス制限を適切に実装するためには、以下のようなコードになります。

public boolean deleteOrder(Long id) {
       User user = userService.getUserByContext();
       boolean orderExist = getUserOrders().stream()
               .anyMatch(order -> (order.getId() == id));
       if (orderExist) {
           orderRepository.deleteById(id);
           log.info("Delete order for user {}", user.getId());
           return true;
       } else {
           log.info("No found order");
           return false;

壊れたオブジェクトレベル認証の脆弱性の解消

アクセス制御のコードは、過度に複雑である必要はありません。今回のJava Spring API環境の例で言えば、誰がオブジェクトにアクセスできるかを厳密に定義することで解決できます。

まず、誰がリクエストをしているのかを確認するために、検証プロセスを実施する必要があります。

User user = userService.getUserByContext();

次に、オブジェクトIDが存在し、リクエストを行ったユーザーのものであることを確認する必要があります。

boolean orderExist = getUserOrders().stream()
.anyMatch(order -> (order.getId() == id));

そして最後に、オブジェクトの削除に進みます。

orderRepository.deleteById(id)。

コードの中の認証方法が、組織のユーザーポリシーやデータアクセスコントロールと一致していることを確認する必要があることを覚えておいてください。コードが完全に安全であることを確認する方法として、異なる権限レベルを持つユーザが、業務を遂行するために必要なデータにアクセスできるが、自分に制限されるべきものは閲覧や変更ができないようになっていることを確認するチェックを行う必要があります。そうすることで、誤って見過ごされていたオブジェクト制御の脆弱性が発見されるかもしれません。

これらの例から得られる主な教訓は、まず、ユーザーがオブジェクトに対して取り得るすべてのアクションを定義し、強力なアクセス制御をコードに直接追加することです。そして最後に、継承された親プロパティにその仕事を任せたり、その権限を別の場所に委ねたりしてはいけません。代わりに、保護する必要のあるすべてのオブジェクトタイプについて、コードの中でユーザーの権限とアクションを明示的に定義します。

をご覧ください。 Secure Code Warriorブログページでは、この脆弱性に関するより詳しい情報や、他のセキュリティ上の欠陥の被害から組織や顧客を守るための方法を紹介しています。また、Secure Code Warrior トレーニングプラットフォームのデモをお試しいただくことで、サイバーセキュリティに関するすべてのスキルを磨き、最新の状態に保つことができます。

日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。

クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。

サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。

Dokiとは何か、どのような仕組みなのか。

侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。

Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。

このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド＆コントロール（C2）ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。

コードでドキドキの経路を見抜く

Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。

しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。

安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。

dockerd -H tcp://0.0.0.0:2375

誤った設定を見つけられますか？保護されたバージョンは以下のようになります。

dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem

安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。

安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。

開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:

セキュアなクラウドインフラは、チームスポーツです。

クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正（理想的にはデプロイ前）、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。

全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか？今すぐ自分のスキルを試してみましょう。

2020年もようやく半分が過ぎようとしていますが、2019年上半期と比較して、盗まれたデータが273％増加しており、すでに厳しいデータ侵害の記録を打ち立てようとしています。最近では、「まだどれだけのデータが盗まれていないのか」という問いかけの方が正確です。COVID-19パンデミックのような世界的な出来事により、これらの攻撃は頻度と効力を増すばかりで、ターゲットはますます脆弱になっています。

セキュリティはもはやオプションではなく、私たちの焦点は先制攻撃でなければならないということは、以前から誰もが知っていたことです。そのためには、SDLCに関わるすべての人、特に開発者がセキュリティを意識する必要があります。これはDevSecOpsの「DevSec」の部分であり、気候変動に対応した理想的なソフトウェア開発手法ですが、多くの組織はこれを効果的に実行するための準備が十分ではありません。

あなたの組織を念頭に置いて、これらの質問をあなたの役割の文脈で考えてみてください。DevSecのテストにかけると、どうなるでしょうか？

DevSec Self-Assessment: あなたのSDLCの庭は、セキュリティを意識したエンジニアを開花させる準備ができていますか？

1. 
   様々なサイバーセキュリティのリスク要因が、平均的なCISOを夜も眠れない状態にしているかもしれません。しかし気になるのは、多くの企業がセキュリティの優先順位を高めている一方で、その内部アプローチは、潜在的な災害（少なくとも、AppSecチームの大規模な頭痛の種やソフトウェアの出荷遅延）を軽減するのに十分なほど強固ではないかもしれないという現実です。
   DevSecOpsは、セキュリティの理想的な現状かもしれませんが、この方法論で取り組んでいる企業はほとんどありません。もしあなたがまだアジャイル（あるいはウォーターフォール）であるならば、セキュリティはまだプロセスから遠く離れた専門家の領域と考えられていることが多く、SDLCの後半に起動して、コードのホットフィックスで開発者の一日を台無しにするために現れます。このような環境では、開発セキュリティ文化を推進することは困難です。開発者は機能構築を好み、優先しますが、セキュリティを望ましいスキルアップの経路と見なすほどの実践的な経験はありません。実際、彼らがセキュリティに触れる機会は、フラストレーションやネガティブなものであるかもしれません。ソフトウェア開発プロセスに関わるすべての人に、セキュリティを意識したアプローチを浸透させるためには、この問題を早急に解決しなければなりません。
   
2. 
   中小企業の 60% がサイバー攻撃を受けてから 6 ヶ月以内に倒産しているという統計は、非常に興味深いものです。他の災害と同様に、適切な計画を立てなければ、その影響ははるかに大きくなります。
   脅威のモデリングは、セキュリティのベスト・プラクティスの重要な要素であり、AppSec の専門家は、攻撃対象の全容を評価し、適切な防御策、対策、計画を立てることができます。DevSecOps を全面的に採用している企業では、CI/CD パイプラインの早い段階でセキュリティを有効にし、これまでのように生産を遅らせることがないようにしています。セキュリティ、安全なコーディング、継続的な配信はすべてプロセスの一部であり、開発チームには、気密性の高いコードを吐き出すエンジンの主要な構成要素となるために必要なリソースと機会が与えられています。
   
3. 開発マネージャーはセキュリティのベストプラクティスを優先していますか？
   好むと好まざるとにかかわらず、開発マネージャーはチームのロールモデルです。それは、オフィスでサンダルを履いているとか、「上から目線の管理」をしているといった、文化や雰囲気の問題だけではありません。彼らの仕事の優先順位は、必然的にチームメンバーに吸収されます。もし、セキュリティが重要な目標の一部でなかったり、トレーニングやサポートの面で計画されていなかったりすると、その下にいるエンジニアは見逃してしまい、ビジネスは必要以上に危険にさらされることになります。
   
4. 
   私の経験では、人を萎縮させる最も早い方法は、理由を説明せずに、現在のアプローチとは異なることをしなければならないと伝えることです。
   
   「変える」と言われることは、以前のアプローチが間違っていたことを意味しますが、多くの場合、それは後に物事をより簡単に、より効率的にするための単なる強化であることが多いのです。
   
   DevSecOpsは、セキュリティが共有された責任でなければ機能しません。開発者は、自分の役割を果たすために、適切なツール、サポート、トレーニングを必要としています。そして、これを全体的なセキュリティ・プログラムの一部として展開し、完成させるには時間が必要です。最悪のアプローチは、開発者を圧倒し、疎外するものです。開発者があまりにも多くの競合する優先事項を抱え、自分自身を狂わせることなくそれらを管理するための支援を得られない場合がこれに該当します。これは文化的な転換であり、一朝一夕にできるものではありません。
   
5. 
   セキュリティの専門家は非常に不足しており、現在の数よりもはるかに多くの人材が必要とされています。これは当然のことですが、よりセキュリティに特化した役割に移る開発者が増えています。一般的には、「セキュリティ・エンジニア」や「DevOpsエンジニア」といった肩書きが多いかもしれません（運が良ければ、この肩書きは徐々に「DevSecOpsエンジニア」に変化していくでしょう！）。DevOpsエンジニアは、事実上あらゆるアプリケーションの機能を開発し、真のCI/CDパイプラインを使ってデプロイすることができます。すべてをエンド・ツー・エンドで行い、通常はセキュリティ意識も高いです。その意味で、彼らはある種の魔法のような存在であり、結果的に希少な存在となっています。
   
   しかし、一部の企業は、このような専門家のエンジニアを雇い、チームに入れて、開発プロセスのすべての段階で、すべてのセキュリティ問題を解決してくれると期待し、これだけで万能だと勘違いしてしまいます。DevSecOpsのマジシャンに過度の負担をかけてしまうと、最初に雇われたときのように、チェック、バランス、セキュリティの精度を欠いたまま、安全でないコードを出荷することになってしまいます。一般の開発チームがスキルアップし、積極的なセキュリティ環境で育成され、有意義な方法で負荷を分担できるようになることが最も重要です。

自分の組織で見たいと思う変化を見つけてください。

セキュリティプログラムの一環としてしっかりとしたトレーニングを実施すれば、開発メンバーの中に隠れた優秀な人材を発見することができます。このような人たちは、日々の仕事の中で否定的な経験をしていても、安全なコーディングやセキュリティのベストプラクティスに情熱を持っている人たちです。このような人たちは、チーム内のセキュリティ・チャンピオンの有力な候補者です。セキュリティとエンジニアリングの間の接点であり、他の人の模範となり、意識を高く保ち、エンゲージメント・イニシアチブを支援する人です。彼らの対人スキルは、セキュリティの喜びを広く伝え、開発者のニーズを経営陣やセキュリティチームに提言する上で非常に重要です。

What's in it for me?" の会話は、前向きな一歩となる。

「dev」から「DevSec」へと飛躍することは、開発者のキャリアにとって素晴らしい後押しとなります。セキュリティ意識の高い開発者は、セキュリティを理解し、自分がコントロールできる領域ではセキュリティに責任を持ち、高品質なコードだけが安全なコードであることを理解して活動するように努力しています。一般的に、開発者は改善したい、新しい問題に取り組みたい、仲間内で目立つような羨ましい機能を作りたいと思っています。彼らに、より高いレベルのソフトウェア開発に到達するための道筋を与えれば、双方にメリットがあります。

DevSecのドリームチームを作るのに遅すぎるということはありません。

もしあなたが開発者を管理していたり、AppSec意識向上チームを率いていたり、あるいはセキュリティ・プログラム戦略の策定に尽力している多くの人の一人であるならば、今こそ、「左遷」よりもさらに上を行くべき時です。適切なトレーニング、ツール、および環境があれば、開発者のためのセキュリティ・インキュベーターを作ることができ、すべての関係者に大きな利益をもたらします。このチェックリストで改善すべき点がいくつか見つかったのであれば、SDLCの初期段階からリスクを低減できるDevSec主導のエンジニアリング部門に向けて組織を準備する絶好の機会となります。

世の中には、政府や大企業、さらには一部の業界リーダーからも見過ごされがちな不都合な真実があります。それは、社会全体がサイバー脅威との絶え間ない戦いの中にあり、私たちは現在、負けているということです。なぜこのようなことが言えるのでしょうか。これらの統計が語るのは、悲惨な話です。

• サイバー犯罪は、2021年までに世界で6兆米ドルのコストがかかると推定される
• 39秒に1回、サイバー攻撃が発生
• データ漏洩の24%はヒューマンエラーが原因
• 驚くべきことに、77%の組織が、企業全体に広がり、部門間で一貫して適用されるサイバーセキュリティのインシデント対応計画を持っていません。

サイバーセキュリティの専門家に関しては、人員が決定的に不足しており、スキルギャップは埋められそうになく、AppSecの秘密の軍隊が我々を救済してくれることもありません。このことは何年も前から分かっていましたが、私たちはアプローチを変えなければなりません。私たちの場合、最高の攻撃は最高の防御であり、優れた計画で先制攻撃を行うことができます。

憂鬱な気分にさせられるかもしれませんが、世間で言われているほど悪い状況ではありません。私たちにはエースがいて、サイバーセキュリティの状況は私たちに絶好のチャンスを与えてくれます。組織を救う人材は、社内の開発チームをおいて他にはありません。しかし、セキュリティプログラムは、彼らがセキュリティを意識したエンジニアとなり、安全なコーディングの責任を共有できるようになるまでの道のりをサポートする必要があります。

しかし、たとえ適切なトレーニングであっても、ビジネスのニーズや直面する脅威、そして企業がすべてのデータを安全に保つためのコンプライアンス要件に合わせてカスタマイズされていれば、開発者の興味を引き、文脈に沿った知識を構築し、セキュリティを好きになってもらうことは、はるかに効果的です。

そこで、最新の機能である Coursesの出番です。ところで、このタイトルの意味がわかった方は、もうお年を召した方（あるいは、クラシックの良さがわかった方）ですね。

組織に特化した学習：防御力を高め、開発者のスキルを強化する

ある種の開発者トレーニングが他のトレーニングよりも優れている理由については、様々な意見があります（例えば、乾燥した一般的なビデオによる説教を何時間も続けて死ぬほど退屈させて、安全なコーディングへの情熱を開花させようとするのはやめてほしい、など）。しかし、開発者のマインドに訴えかけるように設計された競争力のある学習であっても、その内容は組織内の特定の要件に必要なものよりも少し幅広いものになるかもしれません。

厳選されたコースには、開発者が習熟しなければならないモジュールが正確に含まれているため、強力なインパクトを与え、日々の業務でセキュリティのベストプラクティスを実践することができます。フロントエンドチームやクラウドエンジニアなどに合わせてプログラムをカスタマイズし、最も重要な脆弱性を、彼らに関連する言語やフレームワークで掘り下げて学ぶことができます。開発者は、継続的なコンテキスト、タッチポイント、経験によってスキルを向上させることができ、ビジネスは、最もリスクの高い問題を正確に認識することができます。

コンプライアンスのためにコースをカスタマイズ

世界中でサイバーセキュリティ関連の規制が強化されていますが、ソフトウェア・セキュリティ・コンプライアンスは、積極的で効果的なセキュリティ文化を構築するための素晴らしい基盤となります。良いセキュリティプログラムは、開発者の誇りと責任感に火をつけるものであり、決して退屈なものではありません。

まずは、OWASP トップ 10 を全員が理解できるようにするのがよいでしょう。しかし、業界に関連するコンプライア ンスで新たな高みに到達するためには、特定の規制の要件に基づいてカスタムコースを設計すること ができます。たとえば、金融機関であれば、決済やカード処理アプリケーションを規定するPCI-DSS ガイドラインに沿って、自社のソフトウェアのコンプライアンス要件に合わせてコースをカスタマイズすることができます。クレジットカード番号のような機密情報の処理と保存を担当している場合は、重大な問題が発生します。開発者向けの学習では、雑音を排除し、適切な教育を適切なタイミングで提供し、チームの適性をはるかに容易に監視することができます。  

これは、ゼネラル・エレクトリック（GE）社が、チーム内でCourses を使用している方法です。

"Courses は、当社のエンジニアにとって素晴らしいソリューションです。ラーニングパスウェイ、ビデオ、チェックポイントをカスタマイズ可能なモジュールにまとめた新機能により、その時々に必要なものに基づいてコンテンツを形成することができるようになりました。コンプライアンス機能と柔軟性は、より合理的で柔軟なプロセスを確保するためのさらなる好機となります。 この機能のおかげで、ゼネラル・エレクトリック社は、関連性のあるトレーニングを各エンジニアに合わせて、これまで以上に迅速かつ簡単に提供できるようになりました。"

厳選されたコンプライアンス研修かもしれませんが、開発者にとってははるかに魅力的な、一口サイズの、文脈に沿った、魅力的な学習体験として提供されていることを忘れないでください。

尊敬と関連性に基づいたポジティブなセキュリティ文化

教育は一生続くものですが、DevSecOpsの世界では、たくさんのプレートを回転させる必要があります。トレーニングのために用意された時間は、継続的に参加して価値を高めることができる実行可能な学習経路を用いて、賢明に使用する必要があります。

関連性の高いカスタムコースを用意することで、開発者の時間とワークフローを尊重すると同時に、ビジネスにおける脆弱性とサイバーセキュリティのリスクを測定可能な形で削減することができます。

AppSec のスペシャリストとエンジニアの関係は、従来、誤解と緊張に満ちていましたが、Courses を用いた体系的な学習により、両者がセキュリティのベスト・プラクティスについて同じ見解を持つことができます。開発者は、AppSecチームからのソリューションに焦点を当てた支援を受けることで、開発者の負荷を最小限に抑え、より高い水準のコードを作成することができるようになります。

弱点をなくし、企業レベルのセキュリティ衛生を向上させる

私たちは皆、人間であり、残念ながらミスを犯してしまいます。そのようなミスは、デジタルの世界では非常に大きなコストになる可能性がありますが、驚くほどよくあることです。シマンテック社の「2019年インターネットセキュリティ脅威レポート」では、S3バケットの設定ミスにより、7,000万件以上の記録が盗まれたことが確認されています。セキュリティの設定ミスはデータ漏洩の主要な原因であり、ヒューマンエラーはその約4分の1を占めています。

これらの問題は様々な理由で発生しますが、セキュリティ意識とトレーニングの欠如は、攻撃者が悪用できるような小さな機会を残してしまう大きな要因となります。効果的なセキュリティ対策を行うためには、お客様のビジネスに合わせてカスタマイズされたコースを利用して、その効果を高める必要があります。敵を容赦なく攻撃し、最大の頭痛の種となる機会をすべて潰してください。

クラウドベースの会計SaaSのリーディングカンパニーであるこの企業を含め、お客様にはすでに素晴らしいインパクトを与えています。

"Courses 「オーダーメイドの学習経路は、画期的なものでした。プログラミング言語と脆弱性に特化しているため、個人や企業のニーズに応じて、開発者一人ひとりに適した学習環境を構築するためのコントロールと柔軟性が向上しました。Courses とSecure Code Warrior の幅広いセキュアコーディングプラットフォームを併用することで、開発者のエンゲージメントが変化し、より優れたセキュアなコードを書くためのセキュアコーディングスキルの向上に興味を持つようになりました」。

DevSecへの対応。セキュア・コード・ウォリアーズの新機能Courses については、こちらをご覧ください。 こちら.

ソフトウェア開発ライフサイクル（SDLC）は、一見何の変哲もないプロセスのように見えますが、私たちソフトウェア関係者が一丸となって魔法をかけ、社会になくてはならないデジタルグッズを出荷します。

ただし、ソフトウェア開発プロジェクトに参加したことがある人ならわかると思いますが、それはたいていの場合、征服すべき多くのクエストや倒すべき多くのドラゴンが登場する試練です。しばらくの間は楽しいですが、燃え尽き症候群になることもあります。また、ソフトウェアの需要が高いため、私たちは皆、特に開発チームは最高の状態で光の速さで働いています。

さらに、もう一つの必須課題、すなわち、自分が関わるプロジェクト要素のセキュリティに対する責任を負わされたとします。最悪の場合、一部の個人にとってはカードの家が崩壊することになるかもしれませんが、より現実的なシナリオとしては、単に優先順位が低く、より差し迫った問題が優先されるということです。ほとんどの開発者が安全なコードを書くためのトレーニングを受けていない場合（特に彼らの上司がセキュリティを優先していない場合）、頻繁なデータ漏洩、欠陥のあるアプリのリリース、そしてバグのあるコードの雪崩の下で限界に達するセキュリティ専門家の深刻な混乱を目にするのも不思議ではありません。

開発者には、AppSecの提唱者が必要です。

上記のシナリオを考慮すると、コーディングの過程でセキュリティが「難しすぎる」と判断され、セキュリティチームに任されてしまう理由がわかります。競合する締め切りが多すぎて、十分なトレーニングを受けられず、他のすべてのことが起こっている中でセキュリティを気にする本当の理由がないのです。しかし、このような現状を続けるには、コードに対する需要があまりにも多すぎるのです。そこで、スーパーエリート開発者は、他の開発者に差をつけ、新しいスキルを学び、そして何よりも、より安全なコードを構築することができるのです。

しかし、ソフトウェア・セキュリティを管理するのは、すべて開発者の肩にかかっているわけではないことを忘れてはなりません。それは、やはりAppSecチームの領域です（セキュリティ意識の高い開発者と一緒に仕事をすれば、一般的なバグを繰り返し修正する代わりに、余裕を持って仕事をすることができます）。DevSecOpsプロセスが機能するためには、チームのすべてのメンバーがセキュリティに対する責任を共有するために必要なサポートとツールを持つことが必要であり、適切な種類のトレーニングが最も重要です。適切なツールとトレーニングのバランスをとるためには、開発者と密接に協力して彼らを刺激し、前向きな変化を促すことができるAppSecの専門家の洞察力が必要です。

破壊的なトレーニングは効果があるというよりも迷惑なもので、開発者が嫌がるものはうまくいきません。IDEや課題追跡システムと統合されたソリューションは、一口サイズの知識に焦点を当てた一つの選択肢であり、必要とされる瞬間に正しい情報を目の前に提供します。

ここでは、実際にその仕組みを紹介します。

Just-in-Time、「念のため」ではありません。

状況に応じた実践的な学習は、最も効果的なトレーニング方法です。これは "Just in Time"（JiT）トレーニングと呼ばれ、セキュアコーディングを学ぶ開発者にとって非常に有効な方法です。

トヨタのリーン生産方式を起源とするJiTのトレーニングは、必要に応じて、最も重要な時に、状況に応じて起動するように設計されています。開発者が不適切なパーミッションを持っているように見えるものを書いたとします。もし、小さなバックドアが開いていて、攻撃者がリモートでコードを実行できるようになっていたら？開発者が、Confluenceのドキュメントをさかのぼったり、トレーニングで触れたことをグーグルで検索したりするのではなく、必要なときに必要な知識にアクセスできれば、はるかに記憶に残ります。

ジャストインタイムは、「念のため」の学習に対するアンチテーゼです。後者は一般的な知識の伝達方法ですが、単に効率的ではありません。私たちは、開発者が安全なコーディングのベストプラクティスに簡単に取り組めるようにし、今取り組んでいる重要な目標に集中しながら、キャリアのためにスキルアップすることのメリットを理解してもらう必要があります。

開発者にトレーニングを追わせるのはやめてほしい。

開発者が教室に行ったり、コンテキストスイッチで5つのステップを踏んだりして、静的な理論ベースのトレーニングにアクセスするインセンティブは何でしょうか？

一般的には、情報漏えいの原因となる脆弱性が多ければ、ほとんどの組織が行っていることは、それほど効果的なものではない、ということになります。ベライゾンの2020年データ漏洩調査報告書によると、データ漏洩の43%はウェブの脆弱性に起因しているとされています。開発者は、高等教育でも、職場のスキルアップの一環でも、効果的なトレーニングを受けていません。もしそうであれば、SQLインジェクションや旧来のパス・トラバーサルといった一般的な脆弱性が悪用され、重大なデータが流出することはなく、サイバーセキュリティのスキル不足も解消されるはずです。

開発者がトレーニングを受けてセキュリティに慣れるための現状を知っていながら、その結果の悪さに驚くのはなぜでしょうか。JiraやGitHub、IDEなど、開発者が実際に作業する場所でトレーニングにアクセスできるようにすることは、開発者と組織の両方にとって、よりスムーズで統合された、違和感の少ないトレーニング体験を実現するために、プラスの効果があるかもしれません。業界は、セキュリティ意識を高めることがもはや贅沢なことではないという環境の中で、より簡単にセキュリティ意識を高められるように前進する必要があるのです。

開発ワークフローを確保する準備はできましたか？

セキュリティ意識の高い開発者は、そのスキルと、コード構築の段階から組織に提供できる保護によって尊敬されている。特にGDPRの罰金、PCI-DSSコンプライアンス規制、NISTガバナンス...そしてEquifaxのような数百万ドル規模の集団訴訟で訴えられる可能性など、セキュリティはもはやオプションではない。

統合されたアプローチは、破壊的ではない学習方法で開発者を魅了し、より詳細なcourses 、セキュリティチャンピオンを育成し、世界のデータを安全かつ健全に保つために必要な共通の責任感を喚起するためのきっかけとなるかもしれません。

JiraとGitHub用の統合ツールを今すぐダウンロードして、ご意見をお聞かせください。

あなたが最後に仕事をしていたときのことを考えてみてください。おそらくソフトウェアのプロジェクトチームの中で、不可能な期限に向かって仕事をしていたのではないでしょうか。そんなとき、上司がやってきて、必須のセキュリティトレーニングがあるから、他の仕事に加えて、そのトレーニングを仕事に組み込む必要があると言いました。

彼らもあなたも、それを知っています。これは非常に面倒なことですが、コンプライアンス上の理由から、あなたは退屈なトレーニングビデオをバックグラウンドで流しながらコーディングを続け、両方の作業に参加したり離れたりして、どちらにも全神経を集中させることになります。これはよくあることで、非常に混乱を招き、皆の時間を無駄にしてしまいます。ほとんどのセキュリティトレーニングは一般的なもので、仕事の合間を縫って行われるものには価値がなく、無視してしまいがちです。

会社としての目標は、より良い、より効果的なセキュリティトレーニングを皆様にお届けすることです。これは、AppSecチームが重要だと言っていることから離れ、それぞれの優先順位がずれてしまうことがどのようなことなのかをよく知っているからこそ生まれたものです。しかし、興味深いのは、必要なときにトレーニングを受けるための障壁を減らすために何ができるかを考え始めたことです。私たちの完全なプラットフォームを使っても、トレーニングセッションに集中できないときには、仕事から離れるためのいくつかのステップがあります。

私たちは、IDEや課題追跡システムなどのワークフローに、マイクロラーニングをよりシームレスに導入する方法を検討しました。そしてたどり着いたのが、これです。

これは、JiT（Just-in-Time）の原則に基づいており、正しい知識を正しいタイミングで提供することで、すぐに効果的で有用な知識を得ることができます。これは、情報が氾濫し、機能を構築するための貴重な時間と頭脳を奪うことになりがちなJust in Caseの学習方法とは正反対のものです。

品質の高いコードは安全なコードであり、もしあなたが時折コラボレーションするために、侵襲性のないセキュリティの相棒を必要としているのであれば、それを試してみる価値はあるかもしれません。

障壁をなくし、トレーニングをあなたのもとへ。

サイバーセキュリティに興味を持つ人はいるかもしれませんが、すべての人ではありません。また、開発者がセキュリティの専門家になることを期待するべきではありません。それは、依然としてAppSec専門チームの仕事です。しかし、セキュリティに精通した開発者は、そのスキルと、コード構築の段階から組織を保護することができるという点で高く評価されています。

統合トレーニングをクリッピーのようなものと考えている方には重要なことですが、Secure Code Warrior の統合トレーニングは開発者が開発者のために作ったものであり、刺激的な要素は考慮されていません。

実際にチェックしてみましょう。

Secure Code Warrior for Githubは、ラベル、課題のタイトル、および課題の本文に含まれるCWE（Common Weakness Enumeration）またはOWASPの参照をコードで検査し、文脈に沿ったジャストインタイムトレーニングを表示します。脆弱性の参照が見つかった場合には、迅速な解決と脆弱性の再発防止を支援するために、課題にコメントが投稿されます。これにより、お客様のプロセスを中断したり、解決のために手間をかけさせたりすることなく、課題に統合されます。

また、Jiraを使用している場合も同様のプロセスとなります。

さて、現役のセキュリティ意識の高いスーパースターは、自分の力だけで魔法を起こせるわけではないことを忘れてはいけません。サポート、トレーニング、そしてセキュリティを真剣に考え、自分のワークフローに取り入れる理由が必要になります。幸いなことに、これらはすべて、機能するDevSecOpsプロセスの一部であり、多くの組織がすでに注目しています。

今すぐダウンロードして、ご意見をお聞かせください。

ここ数年、世界中のソフトウェアエンジニアは、プログラミングのためのRustに飽き足らないようです。Mozilla が開発したこの比較的新しいシステムプログラミング言語は、Stack Overflow コミュニティの心を掴みました。

プログラミング言語Rustは、一般的に使用されている言語から既知の要素や関数的な要素を取り入れ、パフォーマンスと安全性を導入しながら、複雑さを排除する異なる哲学に基づいて作業しています。学習が必要なため、多くの開発者はあまり使う機会がなく、Stack Overflowで調査した人のわずか5.1%が普通に使っているに過ぎない。しかし、それはさておき、この言語がエキサイティングであること、そしてCやC++といった従来の言語に比べてセキュリティの面で非常に強力であることは否定できない。しかし、今はまだ、理論的なレベルで開発者の関心を集めている段階です。  

Rust は、メモリの安全性と、一般的なメモリ管理の問題と結びついたセキュリティバグの撲滅を最優先するプログラミング言語であることは、重要なポイントです。Rust は、メモリ安全性と、一般的なメモリ管理の問題と結びついたセキュリティバグの撲滅を優先するプログラミング言語であるということが重要です。これは大きな問題ですが（そして間違いなく、少なからぬ AppSec チームの頭痛の種になっています）、私たちが直面する安全なコーディングの課題は、これだけではありません。

Rustは何を防ぐのでしょうか？そして、私たちは、セキュリティ環境のどこに、まださらされているのでしょうか？最新のプログラミングユニコーンを紐解いてみましょう。

メモリセーフな最新システムプログラミングの新境地

Mozilla の研究開発チームは、いくつかの素晴らしいプロジェクトに取り組んでおり、オープンソースの先駆者として Rust プログラミングに投資することも例外ではありません。その紹介ビデオでは、彼らの哲学を知ることができます。重要なテーマは非常に明確で、ソフトウェアセキュリティに対する現在のアプローチには欠陥があり、Rust はその問題の多くを解決するために設計されています。

最近のEasyJet社のように、私たちは毎日のように大規模なデータ漏洩に直面しているので、この言葉はあまりにも単純に思えます。C++のような言語は何十年も前から存在しています。C++のような言語は何十年も前から存在していますが、開発者が安全なコーディングのベストプラクティスを実践できるまでに習得するには十分な時間がありませんでした。なぜRustがそうでなければならないのでしょうか。これまでにも新しい言語は登場してきましたが、一般的な脆弱性を根絶する方法が見つかったわけでも、書かれたコードがコンパイル時に魔法のように完璧になるわけでもありません。

コンセプトはシンプルですが、複雑な問題を解決するのはシンプルな答えであることがあります。Rustは、あらゆる意味で、メモリセーフなシステムプログラミングの革命であり、多くの点でその約束を果たしています......そして、発見されなければ大きな問題を引き起こす可能性のあるエラーを導入しがちな開発者のベーコンを確実に救っています。Java、C、C++、そしてKotlinやGolangのような新しい言語であっても、セキュリティを意識しない開発者にはかなり厳しいものがあります。これらの言語では、組み込まれた警告や、コンパイルされたばかりの素晴らしい機能にセキュリティグレムリンが潜んでいることを示す特別な兆候はありません。

では、もっと掘り下げてみましょう。

ラストの安全性の理由は？

通常、開発者は機能を構築し、機能的でユーザーフレンドリーであることを保証することを第一の目標としており、おそらく履歴書に誇れるものでもあるでしょう。開発者が素晴らしいソフトウェアを作り、それを出荷し、次の大きなプロジェクトに移ることは全く普通のことです。この時点で、セキュリティチームが脆弱性をチェックし、もし見つかった場合は、「完成した」アプリケーションがホットフィックスを求めてチームに戻ってくるかもしれません。問題が単純な場合もあれば、開発者が修正できる範囲を完全に逸脱している場合もあります。

問題は、表面的にはセキュリティバグが全く明らかになっていないことであり、スキャン、テスト、手動によるコードレビューがバグを拾えなかった場合、攻撃者はそのわずかな機会を利用してバグを悪用する可能性があります。

Rustでは、多くの脆弱性がコードに混入するのを未然に防ぐことを目指しています。構文エラーや、SDLCの過程で生産上の問題を引き起こすメモリ安全性のバグがある場合は、単純にコンパイルされません。これは、ソフトウェアがどのように実行されても、無効なメモリへのアクセスがないことを保証する、設計上のメモリセーフプログラミングです。セキュリティバグの70％がメモリ管理関連の問題であることを考えると、これは大変なことです。

サビはフラグを立てて防ぎます。

• バッファオーバーフロー
• 無料になってから使う
• ダブルフリー
• Null ポインタの脱参照
• 初期化されていないメモリの使用

RustのコードスニペットをC++と比較すると、どちらかがデフォルトで安全であることが明らかになります。バッファオーバーフローのバグの例を見てみましょう。

#include <iostream></iostream>
#include <string.h></string.h>
int main( void ) {
char a[3] = "12";
char b[4]= "123";
strcpy(a, b); // buffer overflow as len of b is greater than a
std::cout << a << "; " << b << std::endl;
}

対。

pub fn main() {
let mut a: [char; 2] = [1, 2];
let b: [char; 3] = [1, 2, 3];
a.copy_from_slice(&b);
}

Rustはバッファオーバーフローを防ぐために、実行時にはセキュリティ警告を出し、copy_from_slice関数に到達した時点でパニックを起こしますが、コンパイル時には起こりません。

その意味では、「左から始める」言語の一つであると言えます。エラーがハイライトされ、メモリ関連のセキュリティバグを発生させないための正しいコードの書き方を開発者に強制的に教えてくれるので、納期に間に合うかどうかは、コーダーが注意を払い、修正し、デリバリーパスに忠実であるかどうかにかかっています。

この言語のアプローチは単純に見えますが、この強力なロジックで動作させるのは信じられないほどの偉業であり、その道を歩んでいるのです。Rustは、セキュリティの観点からすると、大きな飛躍と言えます。Dropboxのような企業は、大規模な企業規模での利用を開拓しており、これは素晴らしいことです。しかし、より安全な未来を阻んでいるのが採用の問題であるという結論に達する前に、もっと考慮すべきことがあるのです。

ラストのおさらい

Rustでプログラミングすると、見た目以上にバグが発生しやすいという小さな（まあ、大きな）問題がいくつかあります。Rustは、OWASPのトップ10の脆弱性を修正することはできず、違反や遅延、安全でないコーディング技術の一般的な文化を引き起こし続けています。また、天使と悪魔の戦い、あるいはより広く知られているように、安全なRustと安全でないRustの戦いもあります。
。

公式ドキュメントでも説明されているように、Safe RustはRustの「真の」形であり、Unsafe Rustは、他の言語の何かとの統合が必要な場合など、時には必要となるものの、「絶対に安全ではない」と判断された機能を含んでいます。しかし、Unsafe Rustであっても、追加できる機能は限られている。Unsafe Rustでは、安全でないブロックの中で、以下のようなことが可能です。

• 生のポインターを脱参照する
• 安全でない関数の呼び出し（C関数、コンパイラの組込み関数、ローアローケータを含む
• 安全でない特性の実装
• スタティックを変異させる
• ユニオンのフィールドにアクセスします。

いわゆる「安全でない」モードであっても、Rustプログラミングの超能力の1つである「ボローチェッカー」は依然として機能します。一般に、静的コード解析によって、メモリ問題や並列計算の衝突、その他多くのバグを防ぎます。この解析は、安全でないブロックでもチェックを行います。特定の状況下でコンパイラが指導に入らずに安全でない構造を書くには、より多くの作業が必要になるだけなのです。

しかし、これは深刻な設定ミスやセキュリティ脆弱性につながるブラックホール、すなわち未定義の動作を引き起こす可能性があります。Rustでのプログラミングは、CやC++と比較して、（安全でない使い方であっても）脆弱性の可能性をかなり低く抑えることができますが、未定義の振る舞いを呼び出すことはリスクになり得ます。

これで、開発者主導のセキュアコーディングに頼ることは終わりでしょうか？

以前、Rustはよく知られた言語の部品を含んでいると言いましたが、覚えていますか？Rustの主なセキュリティ上の脆弱性の1つは、よく知られた言語、つまりC言語のコンポーネントを含んでいることです。

Rustは今でも「安全なプログラミング言語」ですが、やはりユーザーを導入することで物事がうまくいかなくなることがあります。開発者は、エラーを出さずに実行できるように調整することができます（より多くの機能が使えるようになるため、魅力的な提案です）。基本的に、安全な状態であっても、開発者は好きなだけ「安全でない」ことができます。

Rustの成果はスキャンツールに似ています。すべての脆弱性、すべての攻撃ベクトル、すべての問題をスキャンするスイスアーミーSAST/DAST/RAST/IASTツールがないように、Rustもそうではありません。Rustを使用しても、いくつかの脆弱性は、非常に簡単に導入される可能性があります。

安全でないRustを実行したときの未定義の動作は、整数オーバーフローの問題を引き起こす可能性があります。また、一般的に、安全な設定であっても、セキュリティの設定ミスやビジネスロジック、既知の脆弱性を持つコンポーネントの使用などのヒューマンエラーを防ぐことはできません。これらの問題は、パッチを当てずに放置すると非常に大きな脅威となります。また、真のRustのような「安全だと思われている」環境では、重大な問題がすべて拾われるとコーダーが信じている場合、自己満足的な行動をとる可能性もあります。

Rustは、プログラミングのメンターと同じように、経験の浅いコーダーと一緒に時間をかけて、彼らの仕事を見直し、バグの可能性を示し、効率性を指摘し、場合によっては、正しいものになるまでコンパイルしないようにする上級エンジニアのことです。しかし、Rustプログラマーにとっては、自分自身で理論を学び、ベストプラクティスに取り組む方がはるかに良いのです。なぜなら、メンターがエプロンの紐を切ってしまうかもしれないし、あなたがぶら下がったままになるのは嫌だからです。

今すぐRustの一般的な脆弱性を見つけて修正する準備はできましたか？ チャレンジしてみてください。

さて、これで（今のところ）終わりです。Infrastructure as Codeシリーズは今回で終了となります。Docker、Ansible、Kubernetes、Terraform、CloudFormationなどのセキュリティ問題を楽しく攻略していただけたでしょうか。

これで自分のスキルを試す準備ができたと思いますか？最後のゲーム化されたチャレンジをお試しください。

まだいくつかの点で不明な点がある場合は、読み進めてください。

今日、私たちが注目したい脆弱性は、ビジネスロジックの脆弱性です。これは、コーダーがビジネスロジックのルールを適切に実装しなかった場合に発生するもので、悪意のあるユーザがアプリケーションを悪用した場合、様々な種類の攻撃に対して脆弱になる可能性があります。各アプリケーションに実装されている目的や機能に応じて、ビジネスロジックの欠陥は、特権の昇格、不適切なリソースの使用、あるいは意図しない数多くのビジネスプロセスの実行を可能にするかもしれません。

多くの脆弱性とは異なり、ビジネスロジックルールの不正な実装は驚くほど巧妙です。そのため、アプリケーションやコードに紛れ込まないように、特別な注意を払う必要があります。

ビジネスロジックの欠陥の例としてはどのようなものがありますか？

ビジネスロジックの欠陥を誘発することがいかに簡単であるかの例として、Docker Composeファイルで定義されたDocker環境の次の例を考えてみましょう。コンテナが機能を実行できるように準備するために、開発者は次の例のようにDocker Composeファイルで定義された標準的なリソースポリシーを使用するかもしれません。

デプロイ：
リソース。
limits:
cpus:"0.5"
reservations:
cpus:"0.5"

表面的には問題ないように見えますが、このコンテナのリソースポリシーは、リソースの使用を適切に制限していません。攻撃者は、このビジネスロジックの欠陥を利用して、サービス拒否（DoS）攻撃を実行することができます。

ユーザーが多くのリソースを占有することを制限するために、開発者は各コンテナがサポートできる内容をより明確に定義しようとするかもしれません。そのため、新しいコードには配置制約が含まれているかもしれません。

デプロイ：
リソース。
limits:
cpus:"0.5"
reservations:
cpus:"0.5"
placement:
constraints:
- "node.labels.limit_cpu == 100M"
- "node.labels.limit_memory == 0.5"

一見すると、これはビジネスロジックの欠陥を解決するように見えます。しかし、この新しい配置制約は、Dockerコンテナサービスのリソース使用制限には影響しません。コンテナをスケジュールするノードを選択するためにのみ使用されます。この場合、DoS攻撃はまだ可能です。攻撃者はまずDockerコンテナを侵害する必要がありますが、その後は制限なくリソースを消耗することができるでしょう。

このように、ビジネスロジックの欠陥を考え、それを排除するためにプログラミングすることは、難しいことです。

ビジネスロジックの不備を解消

ビジネスロジックの欠陥で重要なのは、その存在を知ることです。新しいコードが書かれている間は、それらを環境に入れないように注意を払う必要があります。ビジネスルールとベストプラクティスを明確に定義し、設計、実装、テストを含むアプリケーション開発プロセスのすべての段階でチェックする必要があります。

例えば、ビジネスロジックの欠陥によって上記の例のようなDoS攻撃が可能になるのを防ぐためには、作成したすべてのDockerコンテナが使用できるリソースの量を制限することがベストプラクティスです。具体的には、limitセクションで、Dockerコンテナが使用できるCPUの数とメモリの量を指定する必要があります。例としては、次のようになります。

デプロイ：
リソース。
limits:
cpus:"0.5"
memory: 100M
reservations:
cpus:"0.5"
memory:50M

上記の例のようなコードをポリシーとして使用することで、ビジネスロジック上の大きな欠陥を環境から取り除き、DoS攻撃を防ぐことができます。これは、仮に攻撃者がDockerコンテナの1つを侵害したとしても機能します。その場合でも、攻撃者はその足場を利用してリソースを枯渇させることはできません。

脅威のモデル化は、さまざまな攻撃がどのように行われるかを定義し、ビジネスロジックのルールを使用して攻撃を防止・制限することで有効です。また、コンプライアンスルールや既知の不正使用事例に基づいてテストを行うことで、見落としがちなビジネスロジックの欠陥を発見することができます。

ビジネスロジックの欠陥は、アプリケーションに忍び込む可能性のある最も巧妙な脆弱性の一つですが、注目を集める他のリスクに劣らず危険です。ビジネスロジックの欠陥がどのようにして発生するかを知り、ベストプラクティスを用いることで、アプリケーションの開発段階ではそのような脆弱性を排除することができ、本番環境ではそのような脆弱性を悪用する方法を熟知した攻撃者に悪用されることはありません。

をご覧ください。 Secure Code Warriorブログページでは、この脆弱性や、他のセキュリティ上の欠陥の被害から組織や顧客を守るための方法について、さらに詳しい情報が掲載されています。また、Secure Code Warrior トレーニングプラットフォームでは、このIaCチャレンジのデモを試すことができ、サイバーセキュリティに関するすべてのスキルを磨き上げ、最新の状態に保つことができます。

Infrastructure as Codeシリーズもそろそろ終わりに近づいてきましたが、皆さんのような開発者のIaCセキュリティの旅をお手伝いすることができてよかったです。

皆さんはチャレンジをプレイしていますか？これまでのところ、あなたのスコアは何点ですか？始める前に、信頼できないソースからのコンポーネントを使用することの落とし穴について、皆さんがどれだけ知っているか見てみましょう。

まだやることがある？続きを読む

今日、私たちが注目する脆弱性を誘発する行為は、信頼できないソースからのコードを使用することであり、一見良さそうに見える行為が大きな問題を引き起こしています。オープンソースのコードやリソースを使用することには多くの利点があります。一般的には、専門家が自分のアイデアや作業、さらには完成したコードをGitHubのようなリポジトリに投稿し、プログラムやアプリを適切に動作させようと奮闘している他の人々が利用できるようにすることができます。完成したコードを使ってプログラムの機能を管理することで、開発者は新しいアプリケーションを作成するたびに車輪を再発明する必要がなくなります。

しかし、信頼性のない、検証されていない、あるいは潜在的に危険なソースからコードスニペットを使用することは、多くのリスクを伴います。実際、信頼されていないソースからのコードを使用することは、大きなセキュリティ脆弱性と小さなセキュリティ脆弱性の両方が、他の安全なアプリケーションに忍び込む最も一般的な方法の1つです。これらの脆弱性は、作成者が誤って誘発することもあります。また、潜在的な攻撃者によって悪意のあるコードが書かれている場合もあります。また、潜在的な攻撃者によって悪意のあるコードが書かれ、そのコードを共有することで、そのコードをアプリケーションに落とし込む被害者が現れることもあります。

信頼できないソースからのコードの使用がなぜ危険なのか？

例えば、開発者が急ぎで開発中のアプリケーションを設定する必要があるとします。この作業は非常に難しいものです。そこで開発者は、可能な限りの設定を行うために多くの時間を費やす代わりに、Google検索を行い、一見完璧に見える設定ファイルを既に完成させている人を見つけます。開発者はそのコードを書いた人のことを何も知らなくても、新しいアプリケーションに追加することは比較的簡単です。それは、Docker環境で2行を使って行うことができます。

RUN cd /etc/apache2/sites-available/ && ˶ˆ꒳ˆ˵
wget -O default-ssl.conf https://gist.githubusercontent.com/vesche/
9d372cfa8855a6be74bcca86efadfbbf/raw/˶ˆ꒳ˆ˵
fbdfbe230fa256a6fb78e5e000aebded60d6a5ef/default-ssl.conf

これで、Dockerイメージがサードパーティの設定ファイルを動的に取り込むことになります。そして、そのファイルがテストされて問題ないことがわかったとしても、そのポインタが新しいアプリケーションのコードに組み込まれたということは、永続的な依存関係が存在することを意味します。数日後、数週間後、数ヶ月後に、元の作者やコードリポジトリを侵害した攻撃者によってファイルが変更される可能性があります。突然、共有された設定ファイルがアプリケーションに意図したものとは全く異なる動作を指示し、権限のないユーザにアクセスさせたり、あるいは直接データを盗んで流出させたりする可能性があります。

共有資源のより良い利用法

組織が外部ソースからのコードの使用を許可している場合、それが安全に行われることを保証するためのプロセスを導入する必要があります。外部のコードを使用する可能性を評価する際には、必ず安全なリンクを使用して公式のソースからコンポーネントを取得してください。その場合でも、外部のソースにリンクしてそのコードを取り込むことは絶対にしないでください。代わりに、承認されたコードは安全なライブラリに持ち込まれ、その保護された場所からのみ使用されるべきです。つまり、Docker環境では、コードは次のようになります。

src/config/default-ssl.conf /etc/apache2/sites-available/ をCOPYする。

リモートのサードパーティ製設定ファイルに頼るのではなく、それらのファイルのローカルコピーに頼ることになります。これにより、予期せぬ変更や悪意のある変更を防ぐことができます。

セキュアコードライブラリの使用に加えて、パッチ管理プロセスを導入し、ソフトウェアのライフサイクルを通じてコンポーネントを継続的に監視する必要があります。また、クライアント側とサーバ側のすべてのコンポーネントについて、NVDやCVEなどのツールを使用してセキュリティ警告をチェックする必要があります。最後に、使用されていない、または不要な依存関係や、外部のコードに付随してくる可能性のある機能を削除します。

これらの手順を踏むことで、開発者は、アプリケーションやコードに誤って脆弱性を誘発することなく、より安全に外部リソースを利用することができます。

をご覧ください。 Secure Code Warriorブログページでは、この脆弱性や、他のセキュリティ上の欠陥の被害から組織や顧客を守るための方法について、より詳しい情報が掲載されています。また、Secure Code Warrior トレーニングプラットフォームの IaC チャレンジのデモをお試しいただくことで、サイバーセキュリティに関するあらゆるスキルを磨き、最新の状態に保つことができます。