SQLインジェクションがアプリケーションセキュリティの世界におけるゴキブリである理由(そしてCISOがそれらを根絶する方法)
よく知られている説によれば、ゴキブリは核爆発でさえも生き延びられるほど、ほぼあらゆる状況に耐えられるという。この説はある程度まで真実ではあるが、その単純な身体構造ゆえに、ゴキブリは体長に対して非常に頑強であり、ほとんどの環境下で根絶が困難である。
私は考えた…もしデジタル世界にゴキブリに相当するものが存在するなら、それはコード内のSQLインジェクション脆弱性(SQLi)に違いない。この脆弱性は20年以上前から知られているが、組織は繰り返し被害に遭っている。ターゲット社に対する広範かつ多大な損害をもたらした攻撃はSQLインジェクションが原因であり、イリノイ州の選挙システムへの侵入事件(20万件の有権者記録が流出)も同様である。この事態を受けFBIは全IT管理者に対し、セキュリティ対策の迅速な強化を勧告した。
ディンペルバのハッカーインテリジェンスイニシアチブ報告書によると、2005年から2011年にかけて報告されたデータ侵害の83%でSQLインジェクション攻撃が利用されていた。現在もインジェクション関連の脆弱性はOWASPトップ10における主要脅威であり続けている。これらは比較的単純な手法だが、決して消えることはない。
この脆弱性が、アプリケーションのセキュリティ分析において依然として頻繁に発見されるのは滑稽に思える。その仕組みも阻止方法も我々は知っている。どうしてこんなことが起こり得るのか?真実は、我々のソフトウェアのセキュリティにはまだ改善の余地があるということだ。
ベラコードのソフトウェアセキュリティ状態レポート(2017年に実施した40万件のアプリケーションスキャンに基づく)は、憂慮すべき統計を明らかにしました:OWASPトップ10ポリシーを満たしたアプリケーションはわずか30%でした。 この傾向は過去5年間にわたり継続しており、最近スキャンされたアプリケーションの3分の1近くでSQLインジェクションが検出されています。 これは根深い問題の証拠です。私たちは過ちから教訓を学んでおらず、情報セキュリティ担当者は十分なセキュリティ人材を確保するのに苦労しているようです。一般的に、アプリケーションセキュリティ専門家と開発者の比率が100人あたりで不十分です。
ソフトウェアのセキュリティはなぜサバイバルモードなのか?
セキュリティ専門家が不足していることは周知の事実ですが、開発者が問題を発生時に解決せず、最初から脆弱性を導入しないための十分な手段を明らかに備えていない点にも注意が必要です。 Veracodeの同じ報告書では、開発関連の脆弱性のうち、文書化された緩和策が用意されていたのはわずか14.4%であることが明らかになった。つまり、大半の脆弱性は開発関連の緩和策なしに報告されていたのである。 脆弱性の3分の1未満が90日以内に修正され、42%の脆弱性は開発期間中に一切修正されなかった。
私はセキュリティ専門家、最高情報セキュリティ責任者(CISO)、最高経営責任者(CEO)らと絶えず議論を交わしているが、興味深いことに、多くの企業が検出された脆弱性の数に苛立ちを募らせていることがわかった。特に、軽減できない脆弱性(偽陽性という厄介な問題に加えて)に対しては、 脆弱性の調査を完全に停止し、ただ祈るように事態がうまくいくことを願っているのです。
なぜアプリケーションセキュリティの専門家たちは、このような事態を許してしまうのか?
誤解しないでください:AppSecのユーザーはコードの問題を非常に強く認識しています。結局のところ、それが彼らの基本的なスキルの一つであり、チームにとって非常に貴重な存在である理由です。しかし、彼らはしばしばいくつかの要因によって妨げられています。
例えば、アプリケーションセキュリティ責任者は問題を発見し、開発者に「コードを修正できますか?」と尋ねるでしょう。この重要な質問への回答は組織によって異なりますが、一般的に開発者は機能提供の厳しいスプリントに追われており、こうした問題を解決する時間や適切な支援ツールを単純に持っていないのです。 アプリケーションセキュリティの専門家自身は脆弱性を特定できるかもしれませんが、現場で修正するための必要なスキルやアクセス権限を保持していない場合が少なくありません。
また、あらゆる問題に対しては解決策を見つけ、実装し、テストする必要があることも認識しなければなりません。コード内で検出された些細な問題でさえ、解決に要する時間は言うまでもなく、必要なリソースは膨大です。ソフトウェアには700以上の脆弱性が導入される可能性があり、たった一人の人間がこれらすべての脆弱性に対抗することは単純に不可能です。 このため、ほとんどの企業はOWASPトップ10のみに注力しています。その間も開発者は機能開発を続け、書き上げるコードに新たな脆弱性を生み出し続けているのです。
解決策は何ですか?
問題は、開発者にセキュアコーディングの成功に必要なツールやトレーニングを提供していない点にある。企業が開発者に適切なセキュリティスキルを習得させることを義務付ける規制は存在せず、悲しい現実として、ほとんどの大学や研修プログラムも初心者の開発者にセキュアコーディングの基礎を教えていない。
航空機の操縦を志す者には、飛行前に厳格なプロセスが課せられる。これには訓練、実地経験、健康診断、安全知識、試験が含まれる。この徹底した準備と技能認定なしに空へ放り出されるなど、誰も想像しないだろう。しかし、コードを書く際にはこれが日常的に起きている。
開発者に安全なコードの書き方を教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者とセキュリティ専門家が不足している現代において、これは決して優先事項とは見なされません。今こそ議論の方向性を変える時です。
世界経済フォーラムの最近のタイトルは「セキュリティなくしてデジタル経済は成り立たない」と叫び、付随するコンテンツはセキュリティをあらゆるデジタル変革戦略の中核に据える必要性を主張した。「セキュリティこそが企業を守り、革新を可能にし、新たな製品やサービスを創出する原動力である。 防御的役割を超え、セキュリティは企業の成長において戦略的優位性を提供する」
セキュアコーディングのスキルと成果の向上は、組織に強力なサイバー保護層を追加し、より効率的で迅速なコード作成を支援します。開発者がセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する第一防衛線となるために、前向きかつ実践的な方法で能力を強化する必要があります。開発者は、セキュリティとイノベーションの次なるヒーローとなる可能性を秘めています。 彼らは非常に知的な人材であり、創造的な問題解決能力を持ち、通常はスキル向上を望んでいます。彼らが受けるに値する専門的なトレーニングを通じて強みを引き出し、より厳格なソフトウェアセキュリティ基準の遵守に取り組んでください。詳細については当社のホワイトペーパーをご覧ください。
航空機の操縦を志す者には、飛行前に厳格なプロセスが課せられる。これには訓練、実地経験、健康診断、安全知識、試験が含まれる。この徹底した準備と技能認定なしに空へ放り出されるなど、誰も想像しないだろう。しかし、コードを書く際にはこれが日常的に起きている。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
よく知られている説によれば、ゴキブリは核爆発でさえも生き延びられるほど、ほぼあらゆる状況に耐えられるという。この説はある程度まで真実ではあるが、その単純な身体構造ゆえに、ゴキブリは体長に対して非常に頑強であり、ほとんどの環境下で根絶が困難である。
私は考えた…もしデジタル世界にゴキブリに相当するものが存在するなら、それはコード内のSQLインジェクション脆弱性(SQLi)に違いない。この脆弱性は20年以上前から知られているが、組織は繰り返し被害に遭っている。ターゲット社に対する広範かつ多大な損害をもたらした攻撃はSQLインジェクションが原因であり、イリノイ州の選挙システムへの侵入事件(20万件の有権者記録が流出)も同様である。この事態を受けFBIは全IT管理者に対し、セキュリティ対策の迅速な強化を勧告した。
ディンペルバのハッカーインテリジェンスイニシアチブ報告書によると、2005年から2011年にかけて報告されたデータ侵害の83%でSQLインジェクション攻撃が利用されていた。現在もインジェクション関連の脆弱性はOWASPトップ10における主要脅威であり続けている。これらは比較的単純な手法だが、決して消えることはない。
この脆弱性が、アプリケーションのセキュリティ分析において依然として頻繁に発見されるのは滑稽に思える。その仕組みも阻止方法も我々は知っている。どうしてこんなことが起こり得るのか?真実は、我々のソフトウェアのセキュリティにはまだ改善の余地があるということだ。
ベラコードのソフトウェアセキュリティ状態レポート(2017年に実施した40万件のアプリケーションスキャンに基づく)は、憂慮すべき統計を明らかにしました:OWASPトップ10ポリシーを満たしたアプリケーションはわずか30%でした。 この傾向は過去5年間にわたり継続しており、最近スキャンされたアプリケーションの3分の1近くでSQLインジェクションが検出されています。 これは根深い問題の証拠です。私たちは過ちから教訓を学んでおらず、情報セキュリティ担当者は十分なセキュリティ人材を確保するのに苦労しているようです。一般的に、アプリケーションセキュリティ専門家と開発者の比率が100人あたりで不十分です。
ソフトウェアのセキュリティはなぜサバイバルモードなのか?
セキュリティ専門家が不足していることは周知の事実ですが、開発者が問題を発生時に解決せず、最初から脆弱性を導入しないための十分な手段を明らかに備えていない点にも注意が必要です。 Veracodeの同じ報告書では、開発関連の脆弱性のうち、文書化された緩和策が用意されていたのはわずか14.4%であることが明らかになった。つまり、大半の脆弱性は開発関連の緩和策なしに報告されていたのである。 脆弱性の3分の1未満が90日以内に修正され、42%の脆弱性は開発期間中に一切修正されなかった。
私はセキュリティ専門家、最高情報セキュリティ責任者(CISO)、最高経営責任者(CEO)らと絶えず議論を交わしているが、興味深いことに、多くの企業が検出された脆弱性の数に苛立ちを募らせていることがわかった。特に、軽減できない脆弱性(偽陽性という厄介な問題に加えて)に対しては、 脆弱性の調査を完全に停止し、ただ祈るように事態がうまくいくことを願っているのです。
なぜアプリケーションセキュリティの専門家たちは、このような事態を許してしまうのか?
誤解しないでください:AppSecのユーザーはコードの問題を非常に強く認識しています。結局のところ、それが彼らの基本的なスキルの一つであり、チームにとって非常に貴重な存在である理由です。しかし、彼らはしばしばいくつかの要因によって妨げられています。
例えば、アプリケーションセキュリティ責任者は問題を発見し、開発者に「コードを修正できますか?」と尋ねるでしょう。この重要な質問への回答は組織によって異なりますが、一般的に開発者は機能提供の厳しいスプリントに追われており、こうした問題を解決する時間や適切な支援ツールを単純に持っていないのです。 アプリケーションセキュリティの専門家自身は脆弱性を特定できるかもしれませんが、現場で修正するための必要なスキルやアクセス権限を保持していない場合が少なくありません。
また、あらゆる問題に対しては解決策を見つけ、実装し、テストする必要があることも認識しなければなりません。コード内で検出された些細な問題でさえ、解決に要する時間は言うまでもなく、必要なリソースは膨大です。ソフトウェアには700以上の脆弱性が導入される可能性があり、たった一人の人間がこれらすべての脆弱性に対抗することは単純に不可能です。 このため、ほとんどの企業はOWASPトップ10のみに注力しています。その間も開発者は機能開発を続け、書き上げるコードに新たな脆弱性を生み出し続けているのです。
解決策は何ですか?
問題は、開発者にセキュアコーディングの成功に必要なツールやトレーニングを提供していない点にある。企業が開発者に適切なセキュリティスキルを習得させることを義務付ける規制は存在せず、悲しい現実として、ほとんどの大学や研修プログラムも初心者の開発者にセキュアコーディングの基礎を教えていない。
航空機の操縦を志す者には、飛行前に厳格なプロセスが課せられる。これには訓練、実地経験、健康診断、安全知識、試験が含まれる。この徹底した準備と技能認定なしに空へ放り出されるなど、誰も想像しないだろう。しかし、コードを書く際にはこれが日常的に起きている。
開発者に安全なコードの書き方を教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者とセキュリティ専門家が不足している現代において、これは決して優先事項とは見なされません。今こそ議論の方向性を変える時です。
世界経済フォーラムの最近のタイトルは「セキュリティなくしてデジタル経済は成り立たない」と叫び、付随するコンテンツはセキュリティをあらゆるデジタル変革戦略の中核に据える必要性を主張した。「セキュリティこそが企業を守り、革新を可能にし、新たな製品やサービスを創出する原動力である。 防御的役割を超え、セキュリティは企業の成長において戦略的優位性を提供する」
セキュアコーディングのスキルと成果の向上は、組織に強力なサイバー保護層を追加し、より効率的で迅速なコード作成を支援します。開発者がセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する第一防衛線となるために、前向きかつ実践的な方法で能力を強化する必要があります。開発者は、セキュリティとイノベーションの次なるヒーローとなる可能性を秘めています。 彼らは非常に知的な人材であり、創造的な問題解決能力を持ち、通常はスキル向上を望んでいます。彼らが受けるに値する専門的なトレーニングを通じて強みを引き出し、より厳格なソフトウェアセキュリティ基準の遵守に取り組んでください。詳細については当社のホワイトペーパーをご覧ください。
航空機の操縦を志す者には、飛行前に厳格なプロセスが課せられる。これには訓練、実地経験、健康診断、安全知識、試験が含まれる。この徹底した準備と技能認定なしに空へ放り出されるなど、誰も想像しないだろう。しかし、コードを書く際にはこれが日常的に起きている。
よく知られている説によれば、ゴキブリは核爆発でさえも生き延びられるほど、ほぼあらゆる状況に耐えられるという。この説はある程度まで真実ではあるが、その単純な身体構造ゆえに、ゴキブリは体長に対して非常に頑強であり、ほとんどの環境下で根絶が困難である。
私は考えた…もしデジタル世界にゴキブリに相当するものが存在するなら、それはコード内のSQLインジェクション脆弱性(SQLi)に違いない。この脆弱性は20年以上前から知られているが、組織は繰り返し被害に遭っている。ターゲット社に対する広範かつ多大な損害をもたらした攻撃はSQLインジェクションが原因であり、イリノイ州の選挙システムへの侵入事件(20万件の有権者記録が流出)も同様である。この事態を受けFBIは全IT管理者に対し、セキュリティ対策の迅速な強化を勧告した。
ディンペルバのハッカーインテリジェンスイニシアチブ報告書によると、2005年から2011年にかけて報告されたデータ侵害の83%でSQLインジェクション攻撃が利用されていた。現在もインジェクション関連の脆弱性はOWASPトップ10における主要脅威であり続けている。これらは比較的単純な手法だが、決して消えることはない。
この脆弱性が、アプリケーションのセキュリティ分析において依然として頻繁に発見されるのは滑稽に思える。その仕組みも阻止方法も我々は知っている。どうしてこんなことが起こり得るのか?真実は、我々のソフトウェアのセキュリティにはまだ改善の余地があるということだ。
ベラコードのソフトウェアセキュリティ状態レポート(2017年に実施した40万件のアプリケーションスキャンに基づく)は、憂慮すべき統計を明らかにしました:OWASPトップ10ポリシーを満たしたアプリケーションはわずか30%でした。 この傾向は過去5年間にわたり継続しており、最近スキャンされたアプリケーションの3分の1近くでSQLインジェクションが検出されています。 これは根深い問題の証拠です。私たちは過ちから教訓を学んでおらず、情報セキュリティ担当者は十分なセキュリティ人材を確保するのに苦労しているようです。一般的に、アプリケーションセキュリティ専門家と開発者の比率が100人あたりで不十分です。
ソフトウェアのセキュリティはなぜサバイバルモードなのか?
セキュリティ専門家が不足していることは周知の事実ですが、開発者が問題を発生時に解決せず、最初から脆弱性を導入しないための十分な手段を明らかに備えていない点にも注意が必要です。 Veracodeの同じ報告書では、開発関連の脆弱性のうち、文書化された緩和策が用意されていたのはわずか14.4%であることが明らかになった。つまり、大半の脆弱性は開発関連の緩和策なしに報告されていたのである。 脆弱性の3分の1未満が90日以内に修正され、42%の脆弱性は開発期間中に一切修正されなかった。
私はセキュリティ専門家、最高情報セキュリティ責任者(CISO)、最高経営責任者(CEO)らと絶えず議論を交わしているが、興味深いことに、多くの企業が検出された脆弱性の数に苛立ちを募らせていることがわかった。特に、軽減できない脆弱性(偽陽性という厄介な問題に加えて)に対しては、 脆弱性の調査を完全に停止し、ただ祈るように事態がうまくいくことを願っているのです。
なぜアプリケーションセキュリティの専門家たちは、このような事態を許してしまうのか?
誤解しないでください:AppSecのユーザーはコードの問題を非常に強く認識しています。結局のところ、それが彼らの基本的なスキルの一つであり、チームにとって非常に貴重な存在である理由です。しかし、彼らはしばしばいくつかの要因によって妨げられています。
例えば、アプリケーションセキュリティ責任者は問題を発見し、開発者に「コードを修正できますか?」と尋ねるでしょう。この重要な質問への回答は組織によって異なりますが、一般的に開発者は機能提供の厳しいスプリントに追われており、こうした問題を解決する時間や適切な支援ツールを単純に持っていないのです。 アプリケーションセキュリティの専門家自身は脆弱性を特定できるかもしれませんが、現場で修正するための必要なスキルやアクセス権限を保持していない場合が少なくありません。
また、あらゆる問題に対しては解決策を見つけ、実装し、テストする必要があることも認識しなければなりません。コード内で検出された些細な問題でさえ、解決に要する時間は言うまでもなく、必要なリソースは膨大です。ソフトウェアには700以上の脆弱性が導入される可能性があり、たった一人の人間がこれらすべての脆弱性に対抗することは単純に不可能です。 このため、ほとんどの企業はOWASPトップ10のみに注力しています。その間も開発者は機能開発を続け、書き上げるコードに新たな脆弱性を生み出し続けているのです。
解決策は何ですか?
問題は、開発者にセキュアコーディングの成功に必要なツールやトレーニングを提供していない点にある。企業が開発者に適切なセキュリティスキルを習得させることを義務付ける規制は存在せず、悲しい現実として、ほとんどの大学や研修プログラムも初心者の開発者にセキュアコーディングの基礎を教えていない。
航空機の操縦を志す者には、飛行前に厳格なプロセスが課せられる。これには訓練、実地経験、健康診断、安全知識、試験が含まれる。この徹底した準備と技能認定なしに空へ放り出されるなど、誰も想像しないだろう。しかし、コードを書く際にはこれが日常的に起きている。
開発者に安全なコードの書き方を教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者とセキュリティ専門家が不足している現代において、これは決して優先事項とは見なされません。今こそ議論の方向性を変える時です。
世界経済フォーラムの最近のタイトルは「セキュリティなくしてデジタル経済は成り立たない」と叫び、付随するコンテンツはセキュリティをあらゆるデジタル変革戦略の中核に据える必要性を主張した。「セキュリティこそが企業を守り、革新を可能にし、新たな製品やサービスを創出する原動力である。 防御的役割を超え、セキュリティは企業の成長において戦略的優位性を提供する」
セキュアコーディングのスキルと成果の向上は、組織に強力なサイバー保護層を追加し、より効率的で迅速なコード作成を支援します。開発者がセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する第一防衛線となるために、前向きかつ実践的な方法で能力を強化する必要があります。開発者は、セキュリティとイノベーションの次なるヒーローとなる可能性を秘めています。 彼らは非常に知的な人材であり、創造的な問題解決能力を持ち、通常はスキル向上を望んでいます。彼らが受けるに値する専門的なトレーニングを通じて強みを引き出し、より厳格なソフトウェアセキュリティ基準の遵守に取り組んでください。詳細については当社のホワイトペーパーをご覧ください。
航空機の操縦を志す者には、飛行前に厳格なプロセスが課せられる。これには訓練、実地経験、健康診断、安全知識、試験が含まれる。この徹底した準備と技能認定なしに空へ放り出されるなど、誰も想像しないだろう。しかし、コードを書く際にはこれが日常的に起きている。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
よく知られている説によれば、ゴキブリは核爆発でさえも生き延びられるほど、ほぼあらゆる状況に耐えられるという。この説はある程度まで真実ではあるが、その単純な身体構造ゆえに、ゴキブリは体長に対して非常に頑強であり、ほとんどの環境下で根絶が困難である。
私は考えた…もしデジタル世界にゴキブリに相当するものが存在するなら、それはコード内のSQLインジェクション脆弱性(SQLi)に違いない。この脆弱性は20年以上前から知られているが、組織は繰り返し被害に遭っている。ターゲット社に対する広範かつ多大な損害をもたらした攻撃はSQLインジェクションが原因であり、イリノイ州の選挙システムへの侵入事件(20万件の有権者記録が流出)も同様である。この事態を受けFBIは全IT管理者に対し、セキュリティ対策の迅速な強化を勧告した。
ディンペルバのハッカーインテリジェンスイニシアチブ報告書によると、2005年から2011年にかけて報告されたデータ侵害の83%でSQLインジェクション攻撃が利用されていた。現在もインジェクション関連の脆弱性はOWASPトップ10における主要脅威であり続けている。これらは比較的単純な手法だが、決して消えることはない。
この脆弱性が、アプリケーションのセキュリティ分析において依然として頻繁に発見されるのは滑稽に思える。その仕組みも阻止方法も我々は知っている。どうしてこんなことが起こり得るのか?真実は、我々のソフトウェアのセキュリティにはまだ改善の余地があるということだ。
ベラコードのソフトウェアセキュリティ状態レポート(2017年に実施した40万件のアプリケーションスキャンに基づく)は、憂慮すべき統計を明らかにしました:OWASPトップ10ポリシーを満たしたアプリケーションはわずか30%でした。 この傾向は過去5年間にわたり継続しており、最近スキャンされたアプリケーションの3分の1近くでSQLインジェクションが検出されています。 これは根深い問題の証拠です。私たちは過ちから教訓を学んでおらず、情報セキュリティ担当者は十分なセキュリティ人材を確保するのに苦労しているようです。一般的に、アプリケーションセキュリティ専門家と開発者の比率が100人あたりで不十分です。
ソフトウェアのセキュリティはなぜサバイバルモードなのか?
セキュリティ専門家が不足していることは周知の事実ですが、開発者が問題を発生時に解決せず、最初から脆弱性を導入しないための十分な手段を明らかに備えていない点にも注意が必要です。 Veracodeの同じ報告書では、開発関連の脆弱性のうち、文書化された緩和策が用意されていたのはわずか14.4%であることが明らかになった。つまり、大半の脆弱性は開発関連の緩和策なしに報告されていたのである。 脆弱性の3分の1未満が90日以内に修正され、42%の脆弱性は開発期間中に一切修正されなかった。
私はセキュリティ専門家、最高情報セキュリティ責任者(CISO)、最高経営責任者(CEO)らと絶えず議論を交わしているが、興味深いことに、多くの企業が検出された脆弱性の数に苛立ちを募らせていることがわかった。特に、軽減できない脆弱性(偽陽性という厄介な問題に加えて)に対しては、 脆弱性の調査を完全に停止し、ただ祈るように事態がうまくいくことを願っているのです。
なぜアプリケーションセキュリティの専門家たちは、このような事態を許してしまうのか?
誤解しないでください:AppSecのユーザーはコードの問題を非常に強く認識しています。結局のところ、それが彼らの基本的なスキルの一つであり、チームにとって非常に貴重な存在である理由です。しかし、彼らはしばしばいくつかの要因によって妨げられています。
例えば、アプリケーションセキュリティ責任者は問題を発見し、開発者に「コードを修正できますか?」と尋ねるでしょう。この重要な質問への回答は組織によって異なりますが、一般的に開発者は機能提供の厳しいスプリントに追われており、こうした問題を解決する時間や適切な支援ツールを単純に持っていないのです。 アプリケーションセキュリティの専門家自身は脆弱性を特定できるかもしれませんが、現場で修正するための必要なスキルやアクセス権限を保持していない場合が少なくありません。
また、あらゆる問題に対しては解決策を見つけ、実装し、テストする必要があることも認識しなければなりません。コード内で検出された些細な問題でさえ、解決に要する時間は言うまでもなく、必要なリソースは膨大です。ソフトウェアには700以上の脆弱性が導入される可能性があり、たった一人の人間がこれらすべての脆弱性に対抗することは単純に不可能です。 このため、ほとんどの企業はOWASPトップ10のみに注力しています。その間も開発者は機能開発を続け、書き上げるコードに新たな脆弱性を生み出し続けているのです。
解決策は何ですか?
問題は、開発者にセキュアコーディングの成功に必要なツールやトレーニングを提供していない点にある。企業が開発者に適切なセキュリティスキルを習得させることを義務付ける規制は存在せず、悲しい現実として、ほとんどの大学や研修プログラムも初心者の開発者にセキュアコーディングの基礎を教えていない。
航空機の操縦を志す者には、飛行前に厳格なプロセスが課せられる。これには訓練、実地経験、健康診断、安全知識、試験が含まれる。この徹底した準備と技能認定なしに空へ放り出されるなど、誰も想像しないだろう。しかし、コードを書く際にはこれが日常的に起きている。
開発者に安全なコードの書き方を教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者とセキュリティ専門家が不足している現代において、これは決して優先事項とは見なされません。今こそ議論の方向性を変える時です。
世界経済フォーラムの最近のタイトルは「セキュリティなくしてデジタル経済は成り立たない」と叫び、付随するコンテンツはセキュリティをあらゆるデジタル変革戦略の中核に据える必要性を主張した。「セキュリティこそが企業を守り、革新を可能にし、新たな製品やサービスを創出する原動力である。 防御的役割を超え、セキュリティは企業の成長において戦略的優位性を提供する」
セキュアコーディングのスキルと成果の向上は、組織に強力なサイバー保護層を追加し、より効率的で迅速なコード作成を支援します。開発者がセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する第一防衛線となるために、前向きかつ実践的な方法で能力を強化する必要があります。開発者は、セキュリティとイノベーションの次なるヒーローとなる可能性を秘めています。 彼らは非常に知的な人材であり、創造的な問題解決能力を持ち、通常はスキル向上を望んでいます。彼らが受けるに値する専門的なトレーニングを通じて強みを引き出し、より厳格なソフトウェアセキュリティ基準の遵守に取り組んでください。詳細については当社のホワイトペーパーをご覧ください。
航空機の操縦を志す者には、飛行前に厳格なプロセスが課せられる。これには訓練、実地経験、健康診断、安全知識、試験が含まれる。この徹底した準備と技能認定なしに空へ放り出されるなど、誰も想像しないだろう。しかし、コードを書く際にはこれが日常的に起きている。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
