SQLインジェクションがアプリケーションセキュリティの世界におけるゴキブリである理由(そしてCISOがこれを根絶する方法)
ゴキブリは基本的にあらゆるもの、核爆発さえも生き延びられるというよく知られた説がある。この説はある程度まで正しいものの、その単純な身体構造ゆえに、その大きさにしては極めて頑強であり、ほとんどの環境下で根絶するのは困難である。
ずっと考えていたのだが…もしゴキブリにデジタル世界における対比があるとすれば、それはコード内のSQLインジェクション(SQLi)脆弱性だろう。この脆弱性は20年以上前から知られているにもかかわらず、組織は繰り返し被害に遭っている。ターゲット社への大規模かつ多大な損害をもたらした攻撃はSQLインジェクションが原因であり、イリノイ州での選挙システムハッキング事件(20万件の有権者記録が流出)も同様である。この事態を受けFBIは全IT管理者に対し、セキュリティ対策の迅速な強化を勧告した。
DeImpervaのハッカーインテリジェンス調査によると、2005年から2011年にかけて報告された全データ侵害事件の83%でSQLインジェクション攻撃が利用されていた。現在もインジェクション脆弱性はOWASPトップ10における主要脅威であり続けている。比較的単純な手法だが、決して消滅することはない。
この脆弱性が、いまだに多くのアプリケーションセキュリティスキャンで検出されるのは滑稽だ。その仕組みも、阻止方法もわかっているのに、なぜなのか? 実のところ、我々のソフトウェアのセキュリティには、大幅な改善の余地があるのだ。
ベラコードの「ソフトウェアセキュリティ状態レポート」—2017年に実施した40万件のアプリケーションスキャンに基づく—は、驚くべき統計を明らかにしました:OWASPトップ10ポリシーを満たしたアプリケーションはわずか30%でした。 これは過去5年間にわたり繰り返される課題であり、新規スキャン対象アプリケーションの約3分の1でSQLインジェクションが検出されている。これは根深い問題であることを示しており、我々は過ちから学んでおらず、CISOは十分なセキュリティ人材を確保するための困難な戦いに直面しているようだ。 一般的に、アプリケーションセキュリティ専門家と開発者の比率は1:100と不適切である。
ソフトウェアの安全性はなぜ生命維持装置が必要なのか?
セキュリティ分野の専門人材が不足していることは周知の事実ですが、開発者が問題を発生時に解決せず、そもそも脆弱性を導入しないよう十分な準備ができていない点にも注目すべきです。Veracodeの同じ報告書では、開発段階の全脆弱性のうち、文書化された緩和策が存在したのはわずか14.4%に過ぎないと報告されています。 言い換えれば、大半の脆弱性は開発側による緩和策なしに存在していた。脆弱性の3分の1未満が最初の90日以内に修正され、42%は開発期間中に一切修正されなかった。
私は常にセキュリティ専門家、CISO、最高経営責任者らと対話していますが、興味深いことに、多くの企業が発見される脆弱性の多さに苛立ちを覚え、それらを緩和できない(偽陽性という厄介な問題に加えて)ため、脆弱性の調査を完全に放棄し、ただ祈るように最善を願っていることに気づきました。
なぜアプリケーションセキュリティの専門家たちはこれを許すのか?
誤解しないでください:AppSecのユーザーはコードの問題を十分に認識しています。結局のところ、それが彼らをチームにとって非常に貴重な人材とする主な能力の一つなのです。しかし、彼らはしばしば様々な要因によって妨げられています。
例えば、AppSec管理者が問題を発見し、開発者に「コードを修正できますか?」と尋ねるでしょう。 この重要な質問への回答は組織によって異なりますが、一般的に開発者は機能の厳しい納期に追われ、こうした問題を修正する時間も適切なツールも不足しています。AppSec担当者自身が脆弱性を特定できる場合でも、即座に修正するスキルやアクセス権限を持たないことが多々あります。
また、あらゆる問題には解決策を見つけ、実装し、テストするプロセスが必要であることも認識すべきです。コード内で発見される最も些細な問題でさえ、解決に要する時間は言うまでもなく、必要なリソースは膨大です。ソフトウェアに導入される可能性のある脆弱性は700以上存在し、人間がそれらすべてに対処することは単純に不可能です。 このため、多くの企業はOWASPトップ10の対策のみに注力せざるを得ない。一方、開発者は機能開発を続ける一方で、書き続けるコードに新たな脆弱性を生み出し続けているのである。
解決策は何ですか?
単純な事実は、我々が開発者に安全なコーディングの成功を促進するために必要なツールやトレーニングを提供していないということだ。組織が開発者に適切なセキュリティスキルを保証することを義務付ける規制は存在せず、悲しい現実として、ほとんどの大学やインターンシップも若手開発者に安全なプログラミングを教える準備ができていない。
誰かが飛行機を操縦したい場合、飛行前に訓練、実地経験、健康診断、安全知識、試験を保証する非常に厳格なプロセスが存在する。この徹底的な準備と技能の検証なしに飛行するとは誰も想像しないだろう。しかし、これが日常的にコード記述において起きていることなのである。
開発者に安全なコードの書き方を教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者とセキュリティ専門家が不足している現代では、それが優先事項となることは決してありません。今こそ、この議論を変える時です。
世界経済フォーラムの最近の見出しはこう叫んでいた:「セキュリティなくしてデジタル経済は成り立たない」。付随するコンテンツは、セキュリティがいかなるデジタル変革戦略においても不可欠な要素である必要性を論じていた。「セキュリティこそが企業を守り、革新と新たな製品・サービスの創出を可能にする。防御機能を超え、セキュリティは企業に戦略的成長の優位性をもたらす」。
セキュアコーディングのスキルと成果の向上は、組織に強力なサイバー保護層を追加し、より優れたコードをより迅速に作成する手助けとなります。開発者がセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する第一線の防御となるよう、前向きかつ実践的なトレーニングを受ける必要があります。 開発者はセキュリティとイノベーションの新たな担い手となり得ます。彼らは非常に知性が高く、創造的に問題を解決し、概してスキル向上に意欲的です。彼らの強みを活かす専門的なトレーニングを提供し、より高いソフトウェアセキュリティ基準への取り組みを推進しましょう。詳細については当社のホワイトペーパーをご覧ください。
誰かが飛行機を操縦したい場合、飛行前に訓練、実地経験、健康診断、安全知識、試験を保証する非常に厳格なプロセスが存在する。この徹底的な準備と技能の検証なしに飛行するとは誰も想像しないだろう。しかし、これが日常的にコード記述において起きていることなのである。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ゴキブリは基本的にあらゆるもの、核爆発さえも生き延びられるというよく知られた説がある。この説はある程度まで正しいものの、その単純な身体構造ゆえに、その大きさにしては極めて頑強であり、ほとんどの環境下で根絶するのは困難である。
ずっと考えていたのだが…もしゴキブリにデジタル世界における対比があるとすれば、それはコード内のSQLインジェクション(SQLi)脆弱性だろう。この脆弱性は20年以上前から知られているにもかかわらず、組織は繰り返し被害に遭っている。ターゲット社への大規模かつ多大な損害をもたらした攻撃はSQLインジェクションが原因であり、イリノイ州での選挙システムハッキング事件(20万件の有権者記録が流出)も同様である。この事態を受けFBIは全IT管理者に対し、セキュリティ対策の迅速な強化を勧告した。
DeImpervaのハッカーインテリジェンス調査によると、2005年から2011年にかけて報告された全データ侵害事件の83%でSQLインジェクション攻撃が利用されていた。現在もインジェクション脆弱性はOWASPトップ10における主要脅威であり続けている。比較的単純な手法だが、決して消滅することはない。
この脆弱性が、いまだに多くのアプリケーションセキュリティスキャンで検出されるのは滑稽だ。その仕組みも、阻止方法もわかっているのに、なぜなのか? 実のところ、我々のソフトウェアのセキュリティには、大幅な改善の余地があるのだ。
ベラコードの「ソフトウェアセキュリティ状態レポート」—2017年に実施した40万件のアプリケーションスキャンに基づく—は、驚くべき統計を明らかにしました:OWASPトップ10ポリシーを満たしたアプリケーションはわずか30%でした。 これは過去5年間にわたり繰り返される課題であり、新規スキャン対象アプリケーションの約3分の1でSQLインジェクションが検出されている。これは根深い問題であることを示しており、我々は過ちから学んでおらず、CISOは十分なセキュリティ人材を確保するための困難な戦いに直面しているようだ。 一般的に、アプリケーションセキュリティ専門家と開発者の比率は1:100と不適切である。
ソフトウェアの安全性はなぜ生命維持装置が必要なのか?
セキュリティ分野の専門人材が不足していることは周知の事実ですが、開発者が問題を発生時に解決せず、そもそも脆弱性を導入しないよう十分な準備ができていない点にも注目すべきです。Veracodeの同じ報告書では、開発段階の全脆弱性のうち、文書化された緩和策が存在したのはわずか14.4%に過ぎないと報告されています。 言い換えれば、大半の脆弱性は開発側による緩和策なしに存在していた。脆弱性の3分の1未満が最初の90日以内に修正され、42%は開発期間中に一切修正されなかった。
私は常にセキュリティ専門家、CISO、最高経営責任者らと対話していますが、興味深いことに、多くの企業が発見される脆弱性の多さに苛立ちを覚え、それらを緩和できない(偽陽性という厄介な問題に加えて)ため、脆弱性の調査を完全に放棄し、ただ祈るように最善を願っていることに気づきました。
なぜアプリケーションセキュリティの専門家たちはこれを許すのか?
誤解しないでください:AppSecのユーザーはコードの問題を十分に認識しています。結局のところ、それが彼らをチームにとって非常に貴重な人材とする主な能力の一つなのです。しかし、彼らはしばしば様々な要因によって妨げられています。
例えば、AppSec管理者が問題を発見し、開発者に「コードを修正できますか?」と尋ねるでしょう。 この重要な質問への回答は組織によって異なりますが、一般的に開発者は機能の厳しい納期に追われ、こうした問題を修正する時間も適切なツールも不足しています。AppSec担当者自身が脆弱性を特定できる場合でも、即座に修正するスキルやアクセス権限を持たないことが多々あります。
また、あらゆる問題には解決策を見つけ、実装し、テストするプロセスが必要であることも認識すべきです。コード内で発見される最も些細な問題でさえ、解決に要する時間は言うまでもなく、必要なリソースは膨大です。ソフトウェアに導入される可能性のある脆弱性は700以上存在し、人間がそれらすべてに対処することは単純に不可能です。 このため、多くの企業はOWASPトップ10の対策のみに注力せざるを得ない。一方、開発者は機能開発を続ける一方で、書き続けるコードに新たな脆弱性を生み出し続けているのである。
解決策は何ですか?
単純な事実は、我々が開発者に安全なコーディングの成功を促進するために必要なツールやトレーニングを提供していないということだ。組織が開発者に適切なセキュリティスキルを保証することを義務付ける規制は存在せず、悲しい現実として、ほとんどの大学やインターンシップも若手開発者に安全なプログラミングを教える準備ができていない。
誰かが飛行機を操縦したい場合、飛行前に訓練、実地経験、健康診断、安全知識、試験を保証する非常に厳格なプロセスが存在する。この徹底的な準備と技能の検証なしに飛行するとは誰も想像しないだろう。しかし、これが日常的にコード記述において起きていることなのである。
開発者に安全なコードの書き方を教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者とセキュリティ専門家が不足している現代では、それが優先事項となることは決してありません。今こそ、この議論を変える時です。
世界経済フォーラムの最近の見出しはこう叫んでいた:「セキュリティなくしてデジタル経済は成り立たない」。付随するコンテンツは、セキュリティがいかなるデジタル変革戦略においても不可欠な要素である必要性を論じていた。「セキュリティこそが企業を守り、革新と新たな製品・サービスの創出を可能にする。防御機能を超え、セキュリティは企業に戦略的成長の優位性をもたらす」。
セキュアコーディングのスキルと成果の向上は、組織に強力なサイバー保護層を追加し、より優れたコードをより迅速に作成する手助けとなります。開発者がセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する第一線の防御となるよう、前向きかつ実践的なトレーニングを受ける必要があります。 開発者はセキュリティとイノベーションの新たな担い手となり得ます。彼らは非常に知性が高く、創造的に問題を解決し、概してスキル向上に意欲的です。彼らの強みを活かす専門的なトレーニングを提供し、より高いソフトウェアセキュリティ基準への取り組みを推進しましょう。詳細については当社のホワイトペーパーをご覧ください。
誰かが飛行機を操縦したい場合、飛行前に訓練、実地経験、健康診断、安全知識、試験を保証する非常に厳格なプロセスが存在する。この徹底的な準備と技能の検証なしに飛行するとは誰も想像しないだろう。しかし、これが日常的にコード記述において起きていることなのである。
ゴキブリは基本的にあらゆるもの、核爆発さえも生き延びられるというよく知られた説がある。この説はある程度まで正しいものの、その単純な身体構造ゆえに、その大きさにしては極めて頑強であり、ほとんどの環境下で根絶するのは困難である。
ずっと考えていたのだが…もしゴキブリにデジタル世界における対比があるとすれば、それはコード内のSQLインジェクション(SQLi)脆弱性だろう。この脆弱性は20年以上前から知られているにもかかわらず、組織は繰り返し被害に遭っている。ターゲット社への大規模かつ多大な損害をもたらした攻撃はSQLインジェクションが原因であり、イリノイ州での選挙システムハッキング事件(20万件の有権者記録が流出)も同様である。この事態を受けFBIは全IT管理者に対し、セキュリティ対策の迅速な強化を勧告した。
DeImpervaのハッカーインテリジェンス調査によると、2005年から2011年にかけて報告された全データ侵害事件の83%でSQLインジェクション攻撃が利用されていた。現在もインジェクション脆弱性はOWASPトップ10における主要脅威であり続けている。比較的単純な手法だが、決して消滅することはない。
この脆弱性が、いまだに多くのアプリケーションセキュリティスキャンで検出されるのは滑稽だ。その仕組みも、阻止方法もわかっているのに、なぜなのか? 実のところ、我々のソフトウェアのセキュリティには、大幅な改善の余地があるのだ。
ベラコードの「ソフトウェアセキュリティ状態レポート」—2017年に実施した40万件のアプリケーションスキャンに基づく—は、驚くべき統計を明らかにしました:OWASPトップ10ポリシーを満たしたアプリケーションはわずか30%でした。 これは過去5年間にわたり繰り返される課題であり、新規スキャン対象アプリケーションの約3分の1でSQLインジェクションが検出されている。これは根深い問題であることを示しており、我々は過ちから学んでおらず、CISOは十分なセキュリティ人材を確保するための困難な戦いに直面しているようだ。 一般的に、アプリケーションセキュリティ専門家と開発者の比率は1:100と不適切である。
ソフトウェアの安全性はなぜ生命維持装置が必要なのか?
セキュリティ分野の専門人材が不足していることは周知の事実ですが、開発者が問題を発生時に解決せず、そもそも脆弱性を導入しないよう十分な準備ができていない点にも注目すべきです。Veracodeの同じ報告書では、開発段階の全脆弱性のうち、文書化された緩和策が存在したのはわずか14.4%に過ぎないと報告されています。 言い換えれば、大半の脆弱性は開発側による緩和策なしに存在していた。脆弱性の3分の1未満が最初の90日以内に修正され、42%は開発期間中に一切修正されなかった。
私は常にセキュリティ専門家、CISO、最高経営責任者らと対話していますが、興味深いことに、多くの企業が発見される脆弱性の多さに苛立ちを覚え、それらを緩和できない(偽陽性という厄介な問題に加えて)ため、脆弱性の調査を完全に放棄し、ただ祈るように最善を願っていることに気づきました。
なぜアプリケーションセキュリティの専門家たちはこれを許すのか?
誤解しないでください:AppSecのユーザーはコードの問題を十分に認識しています。結局のところ、それが彼らをチームにとって非常に貴重な人材とする主な能力の一つなのです。しかし、彼らはしばしば様々な要因によって妨げられています。
例えば、AppSec管理者が問題を発見し、開発者に「コードを修正できますか?」と尋ねるでしょう。 この重要な質問への回答は組織によって異なりますが、一般的に開発者は機能の厳しい納期に追われ、こうした問題を修正する時間も適切なツールも不足しています。AppSec担当者自身が脆弱性を特定できる場合でも、即座に修正するスキルやアクセス権限を持たないことが多々あります。
また、あらゆる問題には解決策を見つけ、実装し、テストするプロセスが必要であることも認識すべきです。コード内で発見される最も些細な問題でさえ、解決に要する時間は言うまでもなく、必要なリソースは膨大です。ソフトウェアに導入される可能性のある脆弱性は700以上存在し、人間がそれらすべてに対処することは単純に不可能です。 このため、多くの企業はOWASPトップ10の対策のみに注力せざるを得ない。一方、開発者は機能開発を続ける一方で、書き続けるコードに新たな脆弱性を生み出し続けているのである。
解決策は何ですか?
単純な事実は、我々が開発者に安全なコーディングの成功を促進するために必要なツールやトレーニングを提供していないということだ。組織が開発者に適切なセキュリティスキルを保証することを義務付ける規制は存在せず、悲しい現実として、ほとんどの大学やインターンシップも若手開発者に安全なプログラミングを教える準備ができていない。
誰かが飛行機を操縦したい場合、飛行前に訓練、実地経験、健康診断、安全知識、試験を保証する非常に厳格なプロセスが存在する。この徹底的な準備と技能の検証なしに飛行するとは誰も想像しないだろう。しかし、これが日常的にコード記述において起きていることなのである。
開発者に安全なコードの書き方を教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者とセキュリティ専門家が不足している現代では、それが優先事項となることは決してありません。今こそ、この議論を変える時です。
世界経済フォーラムの最近の見出しはこう叫んでいた:「セキュリティなくしてデジタル経済は成り立たない」。付随するコンテンツは、セキュリティがいかなるデジタル変革戦略においても不可欠な要素である必要性を論じていた。「セキュリティこそが企業を守り、革新と新たな製品・サービスの創出を可能にする。防御機能を超え、セキュリティは企業に戦略的成長の優位性をもたらす」。
セキュアコーディングのスキルと成果の向上は、組織に強力なサイバー保護層を追加し、より優れたコードをより迅速に作成する手助けとなります。開発者がセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する第一線の防御となるよう、前向きかつ実践的なトレーニングを受ける必要があります。 開発者はセキュリティとイノベーションの新たな担い手となり得ます。彼らは非常に知性が高く、創造的に問題を解決し、概してスキル向上に意欲的です。彼らの強みを活かす専門的なトレーニングを提供し、より高いソフトウェアセキュリティ基準への取り組みを推進しましょう。詳細については当社のホワイトペーパーをご覧ください。
誰かが飛行機を操縦したい場合、飛行前に訓練、実地経験、健康診断、安全知識、試験を保証する非常に厳格なプロセスが存在する。この徹底的な準備と技能の検証なしに飛行するとは誰も想像しないだろう。しかし、これが日常的にコード記述において起きていることなのである。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ゴキブリは基本的にあらゆるもの、核爆発さえも生き延びられるというよく知られた説がある。この説はある程度まで正しいものの、その単純な身体構造ゆえに、その大きさにしては極めて頑強であり、ほとんどの環境下で根絶するのは困難である。
ずっと考えていたのだが…もしゴキブリにデジタル世界における対比があるとすれば、それはコード内のSQLインジェクション(SQLi)脆弱性だろう。この脆弱性は20年以上前から知られているにもかかわらず、組織は繰り返し被害に遭っている。ターゲット社への大規模かつ多大な損害をもたらした攻撃はSQLインジェクションが原因であり、イリノイ州での選挙システムハッキング事件(20万件の有権者記録が流出)も同様である。この事態を受けFBIは全IT管理者に対し、セキュリティ対策の迅速な強化を勧告した。
DeImpervaのハッカーインテリジェンス調査によると、2005年から2011年にかけて報告された全データ侵害事件の83%でSQLインジェクション攻撃が利用されていた。現在もインジェクション脆弱性はOWASPトップ10における主要脅威であり続けている。比較的単純な手法だが、決して消滅することはない。
この脆弱性が、いまだに多くのアプリケーションセキュリティスキャンで検出されるのは滑稽だ。その仕組みも、阻止方法もわかっているのに、なぜなのか? 実のところ、我々のソフトウェアのセキュリティには、大幅な改善の余地があるのだ。
ベラコードの「ソフトウェアセキュリティ状態レポート」—2017年に実施した40万件のアプリケーションスキャンに基づく—は、驚くべき統計を明らかにしました:OWASPトップ10ポリシーを満たしたアプリケーションはわずか30%でした。 これは過去5年間にわたり繰り返される課題であり、新規スキャン対象アプリケーションの約3分の1でSQLインジェクションが検出されている。これは根深い問題であることを示しており、我々は過ちから学んでおらず、CISOは十分なセキュリティ人材を確保するための困難な戦いに直面しているようだ。 一般的に、アプリケーションセキュリティ専門家と開発者の比率は1:100と不適切である。
ソフトウェアの安全性はなぜ生命維持装置が必要なのか?
セキュリティ分野の専門人材が不足していることは周知の事実ですが、開発者が問題を発生時に解決せず、そもそも脆弱性を導入しないよう十分な準備ができていない点にも注目すべきです。Veracodeの同じ報告書では、開発段階の全脆弱性のうち、文書化された緩和策が存在したのはわずか14.4%に過ぎないと報告されています。 言い換えれば、大半の脆弱性は開発側による緩和策なしに存在していた。脆弱性の3分の1未満が最初の90日以内に修正され、42%は開発期間中に一切修正されなかった。
私は常にセキュリティ専門家、CISO、最高経営責任者らと対話していますが、興味深いことに、多くの企業が発見される脆弱性の多さに苛立ちを覚え、それらを緩和できない(偽陽性という厄介な問題に加えて)ため、脆弱性の調査を完全に放棄し、ただ祈るように最善を願っていることに気づきました。
なぜアプリケーションセキュリティの専門家たちはこれを許すのか?
誤解しないでください:AppSecのユーザーはコードの問題を十分に認識しています。結局のところ、それが彼らをチームにとって非常に貴重な人材とする主な能力の一つなのです。しかし、彼らはしばしば様々な要因によって妨げられています。
例えば、AppSec管理者が問題を発見し、開発者に「コードを修正できますか?」と尋ねるでしょう。 この重要な質問への回答は組織によって異なりますが、一般的に開発者は機能の厳しい納期に追われ、こうした問題を修正する時間も適切なツールも不足しています。AppSec担当者自身が脆弱性を特定できる場合でも、即座に修正するスキルやアクセス権限を持たないことが多々あります。
また、あらゆる問題には解決策を見つけ、実装し、テストするプロセスが必要であることも認識すべきです。コード内で発見される最も些細な問題でさえ、解決に要する時間は言うまでもなく、必要なリソースは膨大です。ソフトウェアに導入される可能性のある脆弱性は700以上存在し、人間がそれらすべてに対処することは単純に不可能です。 このため、多くの企業はOWASPトップ10の対策のみに注力せざるを得ない。一方、開発者は機能開発を続ける一方で、書き続けるコードに新たな脆弱性を生み出し続けているのである。
解決策は何ですか?
単純な事実は、我々が開発者に安全なコーディングの成功を促進するために必要なツールやトレーニングを提供していないということだ。組織が開発者に適切なセキュリティスキルを保証することを義務付ける規制は存在せず、悲しい現実として、ほとんどの大学やインターンシップも若手開発者に安全なプログラミングを教える準備ができていない。
誰かが飛行機を操縦したい場合、飛行前に訓練、実地経験、健康診断、安全知識、試験を保証する非常に厳格なプロセスが存在する。この徹底的な準備と技能の検証なしに飛行するとは誰も想像しないだろう。しかし、これが日常的にコード記述において起きていることなのである。
開発者に安全なコードの書き方を教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者とセキュリティ専門家が不足している現代では、それが優先事項となることは決してありません。今こそ、この議論を変える時です。
世界経済フォーラムの最近の見出しはこう叫んでいた:「セキュリティなくしてデジタル経済は成り立たない」。付随するコンテンツは、セキュリティがいかなるデジタル変革戦略においても不可欠な要素である必要性を論じていた。「セキュリティこそが企業を守り、革新と新たな製品・サービスの創出を可能にする。防御機能を超え、セキュリティは企業に戦略的成長の優位性をもたらす」。
セキュアコーディングのスキルと成果の向上は、組織に強力なサイバー保護層を追加し、より優れたコードをより迅速に作成する手助けとなります。開発者がセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する第一線の防御となるよう、前向きかつ実践的なトレーニングを受ける必要があります。 開発者はセキュリティとイノベーションの新たな担い手となり得ます。彼らは非常に知性が高く、創造的に問題を解決し、概してスキル向上に意欲的です。彼らの強みを活かす専門的なトレーニングを提供し、より高いソフトウェアセキュリティ基準への取り組みを推進しましょう。詳細については当社のホワイトペーパーをご覧ください。
誰かが飛行機を操縦したい場合、飛行前に訓練、実地経験、健康診断、安全知識、試験を保証する非常に厳格なプロセスが存在する。この徹底的な準備と技能の検証なしに飛行するとは誰も想像しないだろう。しかし、これが日常的にコード記述において起きていることなのである。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
