SQLインジェクションがアプリケーションセキュリティ界のゴキブリである理由(およびCISOがSQLインジェクションを完全に根絶する方法)
ゴキブリは基本的に何にでも生き残ることができるというよく知られた理論があります。核爆発でさえも。その理論はある程度までしか当てはまりませんが、その単純な体組成により、その大きさの割には非常に丈夫で、ほとんどの条件下で根絶が困難です。
ずっと考えていたのですが…デジタルの世界でゴキブリに匹敵するものがあるとすれば、それはコード内のSQLインジェクション(SQLi)の脆弱性に違いありません。これは20年以上前から知られている脆弱性ですが、組織は何度もその被害に遭っています。広範囲に及んでいるのは、ターゲットへのコストのかかる攻撃の事例と同様に、SQLインジェクションの結果でした。イリノイ州では、20万件の有権者記録が公開されたため、FBIはすべてのIT管理者にセキュリティ対策の強化に迅速に取り組むよう勧告しました。
インパーバのハッカー・インテリジェンス・イニシアチブレポート 2005年から2011年の間に、報告されたすべてのデータ侵害の83%でSQLi攻撃が使用されたことが明らかになりました。今日でも、インジェクションの脆弱性は依然として世界における最大の脅威です。OWASPトップ10。それらは比較的単純ですが、死なないだけです。
これと同じ脆弱性がまだかなりの数のアプリケーションセキュリティスキャンで発生しているのはばかげているようです。私たちはその仕組みや阻止方法を知っています。どうしてそんなことが可能なのでしょう?実のところ、当社のソフトウェアセキュリティには改善の余地が大いにあります。
ベラコードソフトウェアセキュリティ状況レポート-2017年の40万件のアプリケーションスキャンに基づく」という驚くべき統計が明らかになりました。OWASPのトップ10ポリシーに合格したアプリケーションはわずか30%でした。これは過去5年間一貫したテーマであり、新たにスキャンされたアプリケーションのほぼ3分の1にSQLインジェクションが使われています。これは蔓延している問題の証拠です。私たちは自らの過ちから学んでいるわけではなく、CISOは十分なセキュリティ人材を調達する上で苦しい戦いに直面しているようです。通常、アプリケーション・セキュリティ・スペシャリストと開発者の比率は 1:100 では不十分です。
生命維持装置にソフトウェアセキュリティが採用されているのはなぜですか?
セキュリティの専門家が不足していることは周知の事実ですが、開発者は問題が発生しても修正しておらず、そもそも脆弱性を導入しないための設備が整っていないことは明らかです。同じVeracodeのレポートでは、すべての開発脆弱性のうち、緩和策が文書化されているのはわずか14.4%であることが明らかになりました。つまり、ほとんどの脆弱性は開発緩和策なしで提出されたということです。最初の90日間でクローズされた脆弱性は3分の1未満であり、開発期間内にクローズされなかった脆弱性は42%でした。
私は常にセキュリティ専門家、CISO、CEOと話していますが、逸話として、多くの企業が(誤検知と呼ばれる惨事に加えて)発見された軽減できない脆弱性の数に不満を感じ、スキャンを完全に中止し、最善の結果を期待していることに気づきました。
なぜアプリケーション・セキュリティ・プロフェッショナルはこのような事態を招くのでしょうか。
間違いありません。AppSec担当者は、コード内の問題を痛感しています。結局のところ、それが彼らのコアスキルの一つであり、それが彼らを非常に貴重なチームリソースにしているのです。しかし、彼らはしばしばいくつかの要因によって妨げられています。
たとえば、AppSecマネージャーが問題を見つけ、開発者に「コードを修正できますか?」と尋ねます。この重要な質問に対する答えは組織によって異なりますが、一般的に、開発者は厳格な機能提供スプリントへの対応に追われているため、問題を解決する時間も、支援する適切なツールもありません。アプリケーションセキュリティの専門家自身は脆弱性を特定できるかもしれませんが、多くの場合、その場で修正するためのスキルやアクセス権を持っていません。
また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。ソフトウェアには700を超える脆弱性がありますが、1人の人間がそれらすべてを防御することは不可能です。ほとんどの企業がOWASP Top 10のみに従うことに固執しているのはこのためです。その間ずっと、開発者は機能を構築し続け、ひいては自分が書いたコードに脆弱性を取り込み続けます。
解決策は何か?
単純な事実は、セキュアコーディングを成功させるためのツールやトレーニングを開発者に提供していないということです。開発者に十分なセキュリティスキルを身につけるよう組織に強制する規制はありません。また、ほとんどの大学やインターンシップでは、ジュニア開発者が安全にコーディングできるよう準備していないのも悲しい現実です。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実に受けるという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
開発者が安全なコードを書くための教育に時間を費やす必要があります。しかし、ソフトウェア開発のペースが速く、優秀な開発者やセキュリティ専門家が不足している今日の世界では、それが優先事項になることは決してないようです。今こそ会話を変える時です。
世界経済フォーラムの最近の見出しは「セキュリティなくしてデジタル経済はあり得ない」と叫び、付随するコンテンツでは、セキュリティがあらゆるデジタルトランスフォーメーション戦略の中核を成す必要があると主張しています。「セキュリティは企業を保護するものであり、企業がイノベーションを起こし、新しい製品やサービスを構築できるようにするものです。セキュリティは防御的な役割にとどまらず、戦略的な成長における優位性を企業にもたらします。」
安全なコーディングのスキルと成果を向上させることで、組織に強力なサイバー保護が加わり、より優れた、より高速なコードを作成できるようになります。開発者はセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する防御の最前線に立つためには、積極的かつ実践的な権限が必要です。開発者はセキュリティとイノベーションの次のヒーローになることができます。彼らは非常に賢い人々で、創造的な問題解決者であり、一般的にスキルの向上に熱心です。彼らにふさわしい専門的なトレーニングで彼らの強みを活かし、より高いソフトウェアセキュリティ基準に取り組むようにしてください。ホワイトペーパーを読むもっと調べるために。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実に受けるという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
ゴキブリは基本的に何にでも生き残ることができるというよく知られた理論があります。核爆発でさえも。その理論はある程度までしか当てはまりませんが、その単純な体組成により、その大きさの割には非常に丈夫で、ほとんどの条件下で根絶が困難です。
ずっと考えていたのですが…デジタルの世界でゴキブリに匹敵するものがあるとすれば、それはコード内のSQLインジェクション(SQLi)の脆弱性に違いありません。これは20年以上前から知られている脆弱性ですが、組織は何度もその被害に遭っています。広範囲に及んでいるのは、ターゲットへのコストのかかる攻撃の事例と同様に、SQLインジェクションの結果でした。イリノイ州では、20万件の有権者記録が公開されたため、FBIはすべてのIT管理者にセキュリティ対策の強化に迅速に取り組むよう勧告しました。
インパーバのハッカー・インテリジェンス・イニシアチブレポート 2005年から2011年の間に、報告されたすべてのデータ侵害の83%でSQLi攻撃が使用されたことが明らかになりました。今日でも、インジェクションの脆弱性は依然として世界における最大の脅威です。OWASPトップ10。それらは比較的単純ですが、死なないだけです。
これと同じ脆弱性がまだかなりの数のアプリケーションセキュリティスキャンで発生しているのはばかげているようです。私たちはその仕組みや阻止方法を知っています。どうしてそんなことが可能なのでしょう?実のところ、当社のソフトウェアセキュリティには改善の余地が大いにあります。
ベラコードソフトウェアセキュリティ状況レポート-2017年の40万件のアプリケーションスキャンに基づく」という驚くべき統計が明らかになりました。OWASPのトップ10ポリシーに合格したアプリケーションはわずか30%でした。これは過去5年間一貫したテーマであり、新たにスキャンされたアプリケーションのほぼ3分の1にSQLインジェクションが使われています。これは蔓延している問題の証拠です。私たちは自らの過ちから学んでいるわけではなく、CISOは十分なセキュリティ人材を調達する上で苦しい戦いに直面しているようです。通常、アプリケーション・セキュリティ・スペシャリストと開発者の比率は 1:100 では不十分です。
生命維持装置にソフトウェアセキュリティが採用されているのはなぜですか?
セキュリティの専門家が不足していることは周知の事実ですが、開発者は問題が発生しても修正しておらず、そもそも脆弱性を導入しないための設備が整っていないことは明らかです。同じVeracodeのレポートでは、すべての開発脆弱性のうち、緩和策が文書化されているのはわずか14.4%であることが明らかになりました。つまり、ほとんどの脆弱性は開発緩和策なしで提出されたということです。最初の90日間でクローズされた脆弱性は3分の1未満であり、開発期間内にクローズされなかった脆弱性は42%でした。
私は常にセキュリティ専門家、CISO、CEOと話していますが、逸話として、多くの企業が(誤検知と呼ばれる惨事に加えて)発見された軽減できない脆弱性の数に不満を感じ、スキャンを完全に中止し、最善の結果を期待していることに気づきました。
なぜアプリケーション・セキュリティ・プロフェッショナルはこのような事態を招くのでしょうか。
間違いありません。AppSec担当者は、コード内の問題を痛感しています。結局のところ、それが彼らのコアスキルの一つであり、それが彼らを非常に貴重なチームリソースにしているのです。しかし、彼らはしばしばいくつかの要因によって妨げられています。
たとえば、AppSecマネージャーが問題を見つけ、開発者に「コードを修正できますか?」と尋ねます。この重要な質問に対する答えは組織によって異なりますが、一般的に、開発者は厳格な機能提供スプリントへの対応に追われているため、問題を解決する時間も、支援する適切なツールもありません。アプリケーションセキュリティの専門家自身は脆弱性を特定できるかもしれませんが、多くの場合、その場で修正するためのスキルやアクセス権を持っていません。
また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。ソフトウェアには700を超える脆弱性がありますが、1人の人間がそれらすべてを防御することは不可能です。ほとんどの企業がOWASP Top 10のみに従うことに固執しているのはこのためです。その間ずっと、開発者は機能を構築し続け、ひいては自分が書いたコードに脆弱性を取り込み続けます。
解決策は何か?
単純な事実は、セキュアコーディングを成功させるためのツールやトレーニングを開発者に提供していないということです。開発者に十分なセキュリティスキルを身につけるよう組織に強制する規制はありません。また、ほとんどの大学やインターンシップでは、ジュニア開発者が安全にコーディングできるよう準備していないのも悲しい現実です。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実に受けるという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
開発者が安全なコードを書くための教育に時間を費やす必要があります。しかし、ソフトウェア開発のペースが速く、優秀な開発者やセキュリティ専門家が不足している今日の世界では、それが優先事項になることは決してないようです。今こそ会話を変える時です。
世界経済フォーラムの最近の見出しは「セキュリティなくしてデジタル経済はあり得ない」と叫び、付随するコンテンツでは、セキュリティがあらゆるデジタルトランスフォーメーション戦略の中核を成す必要があると主張しています。「セキュリティは企業を保護するものであり、企業がイノベーションを起こし、新しい製品やサービスを構築できるようにするものです。セキュリティは防御的な役割にとどまらず、戦略的な成長における優位性を企業にもたらします。」
安全なコーディングのスキルと成果を向上させることで、組織に強力なサイバー保護が加わり、より優れた、より高速なコードを作成できるようになります。開発者はセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する防御の最前線に立つためには、積極的かつ実践的な権限が必要です。開発者はセキュリティとイノベーションの次のヒーローになることができます。彼らは非常に賢い人々で、創造的な問題解決者であり、一般的にスキルの向上に熱心です。彼らにふさわしい専門的なトレーニングで彼らの強みを活かし、より高いソフトウェアセキュリティ基準に取り組むようにしてください。ホワイトペーパーを読むもっと調べるために。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実に受けるという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
ゴキブリは基本的に何にでも生き残ることができるというよく知られた理論があります。核爆発でさえも。その理論はある程度までしか当てはまりませんが、その単純な体組成により、その大きさの割には非常に丈夫で、ほとんどの条件下で根絶が困難です。
ずっと考えていたのですが…デジタルの世界でゴキブリに匹敵するものがあるとすれば、それはコード内のSQLインジェクション(SQLi)の脆弱性に違いありません。これは20年以上前から知られている脆弱性ですが、組織は何度もその被害に遭っています。広範囲に及んでいるのは、ターゲットへのコストのかかる攻撃の事例と同様に、SQLインジェクションの結果でした。イリノイ州では、20万件の有権者記録が公開されたため、FBIはすべてのIT管理者にセキュリティ対策の強化に迅速に取り組むよう勧告しました。
インパーバのハッカー・インテリジェンス・イニシアチブレポート 2005年から2011年の間に、報告されたすべてのデータ侵害の83%でSQLi攻撃が使用されたことが明らかになりました。今日でも、インジェクションの脆弱性は依然として世界における最大の脅威です。OWASPトップ10。それらは比較的単純ですが、死なないだけです。
これと同じ脆弱性がまだかなりの数のアプリケーションセキュリティスキャンで発生しているのはばかげているようです。私たちはその仕組みや阻止方法を知っています。どうしてそんなことが可能なのでしょう?実のところ、当社のソフトウェアセキュリティには改善の余地が大いにあります。
ベラコードソフトウェアセキュリティ状況レポート-2017年の40万件のアプリケーションスキャンに基づく」という驚くべき統計が明らかになりました。OWASPのトップ10ポリシーに合格したアプリケーションはわずか30%でした。これは過去5年間一貫したテーマであり、新たにスキャンされたアプリケーションのほぼ3分の1にSQLインジェクションが使われています。これは蔓延している問題の証拠です。私たちは自らの過ちから学んでいるわけではなく、CISOは十分なセキュリティ人材を調達する上で苦しい戦いに直面しているようです。通常、アプリケーション・セキュリティ・スペシャリストと開発者の比率は 1:100 では不十分です。
生命維持装置にソフトウェアセキュリティが採用されているのはなぜですか?
セキュリティの専門家が不足していることは周知の事実ですが、開発者は問題が発生しても修正しておらず、そもそも脆弱性を導入しないための設備が整っていないことは明らかです。同じVeracodeのレポートでは、すべての開発脆弱性のうち、緩和策が文書化されているのはわずか14.4%であることが明らかになりました。つまり、ほとんどの脆弱性は開発緩和策なしで提出されたということです。最初の90日間でクローズされた脆弱性は3分の1未満であり、開発期間内にクローズされなかった脆弱性は42%でした。
私は常にセキュリティ専門家、CISO、CEOと話していますが、逸話として、多くの企業が(誤検知と呼ばれる惨事に加えて)発見された軽減できない脆弱性の数に不満を感じ、スキャンを完全に中止し、最善の結果を期待していることに気づきました。
なぜアプリケーション・セキュリティ・プロフェッショナルはこのような事態を招くのでしょうか。
間違いありません。AppSec担当者は、コード内の問題を痛感しています。結局のところ、それが彼らのコアスキルの一つであり、それが彼らを非常に貴重なチームリソースにしているのです。しかし、彼らはしばしばいくつかの要因によって妨げられています。
たとえば、AppSecマネージャーが問題を見つけ、開発者に「コードを修正できますか?」と尋ねます。この重要な質問に対する答えは組織によって異なりますが、一般的に、開発者は厳格な機能提供スプリントへの対応に追われているため、問題を解決する時間も、支援する適切なツールもありません。アプリケーションセキュリティの専門家自身は脆弱性を特定できるかもしれませんが、多くの場合、その場で修正するためのスキルやアクセス権を持っていません。
また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。ソフトウェアには700を超える脆弱性がありますが、1人の人間がそれらすべてを防御することは不可能です。ほとんどの企業がOWASP Top 10のみに従うことに固執しているのはこのためです。その間ずっと、開発者は機能を構築し続け、ひいては自分が書いたコードに脆弱性を取り込み続けます。
解決策は何か?
単純な事実は、セキュアコーディングを成功させるためのツールやトレーニングを開発者に提供していないということです。開発者に十分なセキュリティスキルを身につけるよう組織に強制する規制はありません。また、ほとんどの大学やインターンシップでは、ジュニア開発者が安全にコーディングできるよう準備していないのも悲しい現実です。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実に受けるという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
開発者が安全なコードを書くための教育に時間を費やす必要があります。しかし、ソフトウェア開発のペースが速く、優秀な開発者やセキュリティ専門家が不足している今日の世界では、それが優先事項になることは決してないようです。今こそ会話を変える時です。
世界経済フォーラムの最近の見出しは「セキュリティなくしてデジタル経済はあり得ない」と叫び、付随するコンテンツでは、セキュリティがあらゆるデジタルトランスフォーメーション戦略の中核を成す必要があると主張しています。「セキュリティは企業を保護するものであり、企業がイノベーションを起こし、新しい製品やサービスを構築できるようにするものです。セキュリティは防御的な役割にとどまらず、戦略的な成長における優位性を企業にもたらします。」
安全なコーディングのスキルと成果を向上させることで、組織に強力なサイバー保護が加わり、より優れた、より高速なコードを作成できるようになります。開発者はセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する防御の最前線に立つためには、積極的かつ実践的な権限が必要です。開発者はセキュリティとイノベーションの次のヒーローになることができます。彼らは非常に賢い人々で、創造的な問題解決者であり、一般的にスキルの向上に熱心です。彼らにふさわしい専門的なトレーニングで彼らの強みを活かし、より高いソフトウェアセキュリティ基準に取り組むようにしてください。ホワイトペーパーを読むもっと調べるために。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実に受けるという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
ゴキブリは基本的に何にでも生き残ることができるというよく知られた理論があります。核爆発でさえも。その理論はある程度までしか当てはまりませんが、その単純な体組成により、その大きさの割には非常に丈夫で、ほとんどの条件下で根絶が困難です。
ずっと考えていたのですが…デジタルの世界でゴキブリに匹敵するものがあるとすれば、それはコード内のSQLインジェクション(SQLi)の脆弱性に違いありません。これは20年以上前から知られている脆弱性ですが、組織は何度もその被害に遭っています。広範囲に及んでいるのは、ターゲットへのコストのかかる攻撃の事例と同様に、SQLインジェクションの結果でした。イリノイ州では、20万件の有権者記録が公開されたため、FBIはすべてのIT管理者にセキュリティ対策の強化に迅速に取り組むよう勧告しました。
インパーバのハッカー・インテリジェンス・イニシアチブレポート 2005年から2011年の間に、報告されたすべてのデータ侵害の83%でSQLi攻撃が使用されたことが明らかになりました。今日でも、インジェクションの脆弱性は依然として世界における最大の脅威です。OWASPトップ10。それらは比較的単純ですが、死なないだけです。
これと同じ脆弱性がまだかなりの数のアプリケーションセキュリティスキャンで発生しているのはばかげているようです。私たちはその仕組みや阻止方法を知っています。どうしてそんなことが可能なのでしょう?実のところ、当社のソフトウェアセキュリティには改善の余地が大いにあります。
ベラコードソフトウェアセキュリティ状況レポート-2017年の40万件のアプリケーションスキャンに基づく」という驚くべき統計が明らかになりました。OWASPのトップ10ポリシーに合格したアプリケーションはわずか30%でした。これは過去5年間一貫したテーマであり、新たにスキャンされたアプリケーションのほぼ3分の1にSQLインジェクションが使われています。これは蔓延している問題の証拠です。私たちは自らの過ちから学んでいるわけではなく、CISOは十分なセキュリティ人材を調達する上で苦しい戦いに直面しているようです。通常、アプリケーション・セキュリティ・スペシャリストと開発者の比率は 1:100 では不十分です。
生命維持装置にソフトウェアセキュリティが採用されているのはなぜですか?
セキュリティの専門家が不足していることは周知の事実ですが、開発者は問題が発生しても修正しておらず、そもそも脆弱性を導入しないための設備が整っていないことは明らかです。同じVeracodeのレポートでは、すべての開発脆弱性のうち、緩和策が文書化されているのはわずか14.4%であることが明らかになりました。つまり、ほとんどの脆弱性は開発緩和策なしで提出されたということです。最初の90日間でクローズされた脆弱性は3分の1未満であり、開発期間内にクローズされなかった脆弱性は42%でした。
私は常にセキュリティ専門家、CISO、CEOと話していますが、逸話として、多くの企業が(誤検知と呼ばれる惨事に加えて)発見された軽減できない脆弱性の数に不満を感じ、スキャンを完全に中止し、最善の結果を期待していることに気づきました。
なぜアプリケーション・セキュリティ・プロフェッショナルはこのような事態を招くのでしょうか。
間違いありません。AppSec担当者は、コード内の問題を痛感しています。結局のところ、それが彼らのコアスキルの一つであり、それが彼らを非常に貴重なチームリソースにしているのです。しかし、彼らはしばしばいくつかの要因によって妨げられています。
たとえば、AppSecマネージャーが問題を見つけ、開発者に「コードを修正できますか?」と尋ねます。この重要な質問に対する答えは組織によって異なりますが、一般的に、開発者は厳格な機能提供スプリントへの対応に追われているため、問題を解決する時間も、支援する適切なツールもありません。アプリケーションセキュリティの専門家自身は脆弱性を特定できるかもしれませんが、多くの場合、その場で修正するためのスキルやアクセス権を持っていません。
また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。ソフトウェアには700を超える脆弱性がありますが、1人の人間がそれらすべてを防御することは不可能です。ほとんどの企業がOWASP Top 10のみに従うことに固執しているのはこのためです。その間ずっと、開発者は機能を構築し続け、ひいては自分が書いたコードに脆弱性を取り込み続けます。
解決策は何か?
単純な事実は、セキュアコーディングを成功させるためのツールやトレーニングを開発者に提供していないということです。開発者に十分なセキュリティスキルを身につけるよう組織に強制する規制はありません。また、ほとんどの大学やインターンシップでは、ジュニア開発者が安全にコーディングできるよう準備していないのも悲しい現実です。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実に受けるという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
開発者が安全なコードを書くための教育に時間を費やす必要があります。しかし、ソフトウェア開発のペースが速く、優秀な開発者やセキュリティ専門家が不足している今日の世界では、それが優先事項になることは決してないようです。今こそ会話を変える時です。
世界経済フォーラムの最近の見出しは「セキュリティなくしてデジタル経済はあり得ない」と叫び、付随するコンテンツでは、セキュリティがあらゆるデジタルトランスフォーメーション戦略の中核を成す必要があると主張しています。「セキュリティは企業を保護するものであり、企業がイノベーションを起こし、新しい製品やサービスを構築できるようにするものです。セキュリティは防御的な役割にとどまらず、戦略的な成長における優位性を企業にもたらします。」
安全なコーディングのスキルと成果を向上させることで、組織に強力なサイバー保護が加わり、より優れた、より高速なコードを作成できるようになります。開発者はセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する防御の最前線に立つためには、積極的かつ実践的な権限が必要です。開発者はセキュリティとイノベーションの次のヒーローになることができます。彼らは非常に賢い人々で、創造的な問題解決者であり、一般的にスキルの向上に熱心です。彼らにふさわしい専門的なトレーニングで彼らの強みを活かし、より高いソフトウェアセキュリティ基準に取り組むようにしてください。ホワイトペーパーを読むもっと調べるために。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実に受けるという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
目次
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]
%20(1).avif)
.avif)
