SQLインジェクションがAppSecの世界におけるゴキブリである理由(そしてCISOがこれを一掃する方法)
ゴキブリは核爆発を含むあらゆる災害を生き延びられるというよく知られた説があります。この説はある程度事実ではありますが、体格が単純であるため、その大きさに対して非常に頑丈であり、ほとんどの環境下で根絶するのが困難です。
考えてみたのですが…デジタル世界でゴキブリに相当する問題があるとすれば、コードにSQLインジェクション(SQLi)の脆弱性があるのではないでしょうか。この脆弱性は20年以上前から知られているものですが、組織は今なお被害を受け続けています。広範に蔓延し、多大なコストを伴う標的型攻撃の事例と同様に、SQLインジェクションの結果でした。選挙ハッキングで20万人の有権者記録が流出したイリノイ州では、FBIが全IT管理者に対し、セキュリティ対策の強化を迅速に進めるよう勧告しました。
インペルバのハッカーインテリジェンスイニシアチブ報告書によると、2005年から2011年の間に報告された全データ侵害事例の83%でSQLインジェクション攻撃が使用されていました。今日でもインジェクション脆弱性は依然として米国における最大の脅威であり続けています。OWASPトップ10。比較的単純ですが、簡単には死にません。
このような脆弱性が依然として多くのアプリケーションセキュリティ検査で検出されるのは滑稽に思えます。私たちはこの問題の仕組みをよく理解しており、防止方法も把握しています。どうしてこのようなことが起こり得るのでしょうか?実際、ソフトウェアセキュリティには改善の余地が無限に存在します。
ベラコードのソフトウェアセキュリティ現状レポート- 2017年40万件のアプリケーションスキャンに基づく驚くべき統計が発表されました。OWASP Top 10ポリシーを通過したアプリケーションはわずか30%でした。新たにスキャンしたアプリケーション3件中ほぼ1件にSQLインジェクションが検出されるなど、過去5年間この傾向は変わっていません。これは根深い問題の証拠です。 私たちは過ちから教訓を得ておらず、CISOは十分なセキュリティ人材を確保する上で困難な戦いに直面しているようです。一般的に、アプリケーションセキュリティ専門家と開発者の比率は1:100であり、適切とは言えません。
ソフトウェアセキュリティが生命維持に含まれる理由は何か?
専門的なセキュリティ人材が不足していることは周知の事実です。しかし、開発者が問題が発生した際に解決せず、そもそも脆弱性を導入しない準備ができていないという事実にも注意を払う必要があります。同じVeracodeレポートによると、開発段階の脆弱性全体のうち、緩和策が文書化されていたのはわずか14.4%でした。つまり、大半の脆弱性は開発段階での緩和策なしに提出されていたのです。最初の90日間に解決された脆弱性は3分の1未満であり、42%の脆弱性は開発期間内に解消されませんでした。
筆者はセキュリティ専門家、CISO、CEOらと常に議論を交わしているが、多くの企業が(誤検知という災厄に加え)緩和不可能な脆弱性の数に不満を抱き、検索を完全に停止して指をくわえて最善の結果を期待しているという事実を知った。
AppSecの専門家たちがこのような状況を許容した理由は何でしょうか?
間違えないでください。AppSecのスタッフはコードの問題を身にしみて理解しています。結局のところ、これが彼らを貴重なチームリソースとする核心技術の一つなのです。しかし彼らはしばしば様々な要因によって困難に直面します。
例えば、AppSec管理者は問題を発見し、開発者に「コードを修正できますか?」と尋ねます。この重要な質問への答えは組織によって異なりますが、一般的に開発者は厳格な機能提供スプリントの遵守に神経を使いすぎており、こうした問題を解決する時間も、支援する適切なツールも持っていません。AppSec専門家は自ら脆弱性を特定することはできますが、これを即座に修正できる技術やアクセス権限を持たない場合がほとんどです。
また、あらゆる問題には解決策を見つけ、実装し、テストするプロセスが必要であることを認識しなければなりません。コードで見つかった些細な問題でさえ、解決に要する時間は膨大であり、必要なリソースは言うまでもありません。ソフトウェアに導入される可能性のある脆弱性は700を超えるため、一人の人間が全てを防御することは不可能です。こうした理由から、ほとんどの企業はOWASP Top 10のみに固執しています。その間、開発者は機能開発を続け、 その結果、自身が書いたコードに脆弱性を次々と導入し続けています。
解決策は何でしょうか?
端的に言えば、私たちは開発者に対してセキュリティコーディングの成功を促進するためのツールや教育を提供していません。組織内で開発者に適切なセキュリティスキルを保有するよう義務付ける規定も存在しません。ほとんどの大学やインターンシッププログラムも、ジュニア開発者が安全にコーディングできるよう準備できていないのが現状です。
飛行機に乗ろうとする人には、飛行前に訓練、実務経験、健康診断、安全知識および検査を保証する非常に厳格な手順があります。誰も、こうした広範な準備と技術的検証がなければ空に放たれることなど想像もできないでしょう。しかし、コード作成においては、毎日このようなことが起こっています。
開発者に対してセキュリティコードの記述について教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者やセキュリティ専門家が不足している今日の世界では、これが決して優先事項ではないように思われます。今こそ、この議論を変える時です。
世界経済フォーラムの最近のヘッドラインは「セキュリティなしではデジタル経済も存在しえない」と訴え、これと併せて、あらゆるデジタル革新戦略の中核部分となるためにはセキュリティが必要であるという内容が盛り込まれています。「セキュリティは企業を保護し、企業が革新し、新たな製品やサービスを構築できるようにします。セキュリティは防御的な役割を超え、企業に戦略的な成長の優位性をもたらします。」
セキュリティコーディング技術と成果を向上させることで、組織に強力なサイバー保護層が追加され、より迅速かつ優れたコードを作成できるようになります。開発者がセキュリティの専門家である必要はありませんが、サイバー攻撃に対する第一防衛線となるためには、積極的かつ実質的な権限を与えられなければなりません。開発者は次世代のセキュリティとイノベーションのヒーローとなる可能性があります。彼らは非常に聡明で、創造的に問題を解決し、 通常、自らの技術を磨くことに熱心です。当然受けるべき専門教育を通じて強みを発揮し、より高いソフトウェアセキュリティ基準を遵守しましょう。ホワイトペーパーを読む詳細はこちら
飛行機に乗ろうとする人には、飛行前に訓練、実務経験、健康診断、安全知識および検査を保証する非常に厳格な手順があります。誰も、こうした広範な準備と技術的検証がなければ空に放たれることなど想像もできないでしょう。しかし、コード作成においては、毎日このようなことが起こっています。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ゴキブリは核爆発を含むあらゆる災害を生き延びられるというよく知られた説があります。この説はある程度事実ではありますが、体格が単純であるため、その大きさに対して非常に頑丈であり、ほとんどの環境下で根絶するのが困難です。
考えてみたのですが…デジタル世界でゴキブリに相当する問題があるとすれば、コードにSQLインジェクション(SQLi)の脆弱性があるのではないでしょうか。この脆弱性は20年以上前から知られているものですが、組織は今なお被害を受け続けています。広範に蔓延し、多大なコストを伴う標的型攻撃の事例と同様に、SQLインジェクションの結果でした。選挙ハッキングで20万人の有権者記録が流出したイリノイ州では、FBIが全IT管理者に対し、セキュリティ対策の強化を迅速に進めるよう勧告しました。
インペルバのハッカーインテリジェンスイニシアチブ報告書によると、2005年から2011年の間に報告された全データ侵害事例の83%でSQLインジェクション攻撃が使用されていました。今日でもインジェクション脆弱性は依然として米国における最大の脅威であり続けています。OWASPトップ10。比較的単純ですが、簡単には死にません。
このような脆弱性が依然として多くのアプリケーションセキュリティ検査で検出されるのは滑稽に思えます。私たちはこの問題の仕組みをよく理解しており、防止方法も把握しています。どうしてこのようなことが起こり得るのでしょうか?実際、ソフトウェアセキュリティには改善の余地が無限に存在します。
ベラコードのソフトウェアセキュリティ現状レポート- 2017年40万件のアプリケーションスキャンに基づく驚くべき統計が発表されました。OWASP Top 10ポリシーを通過したアプリケーションはわずか30%でした。新たにスキャンしたアプリケーション3件中ほぼ1件にSQLインジェクションが検出されるなど、過去5年間この傾向は変わっていません。これは根深い問題の証拠です。 私たちは過ちから教訓を得ておらず、CISOは十分なセキュリティ人材を確保する上で困難な戦いに直面しているようです。一般的に、アプリケーションセキュリティ専門家と開発者の比率は1:100であり、適切とは言えません。
ソフトウェアセキュリティが生命維持に含まれる理由は何か?
専門的なセキュリティ人材が不足していることは周知の事実です。しかし、開発者が問題が発生した際に解決せず、そもそも脆弱性を導入しない準備ができていないという事実にも注意を払う必要があります。同じVeracodeレポートによると、開発段階の脆弱性全体のうち、緩和策が文書化されていたのはわずか14.4%でした。つまり、大半の脆弱性は開発段階での緩和策なしに提出されていたのです。最初の90日間に解決された脆弱性は3分の1未満であり、42%の脆弱性は開発期間内に解消されませんでした。
筆者はセキュリティ専門家、CISO、CEOらと常に議論を交わしているが、多くの企業が(誤検知という災厄に加え)緩和不可能な脆弱性の数に不満を抱き、検索を完全に停止して指をくわえて最善の結果を期待しているという事実を知った。
AppSecの専門家たちがこのような状況を許容した理由は何でしょうか?
間違えないでください。AppSecのスタッフはコードの問題を身にしみて理解しています。結局のところ、これが彼らを貴重なチームリソースとする核心技術の一つなのです。しかし彼らはしばしば様々な要因によって困難に直面します。
例えば、AppSec管理者は問題を発見し、開発者に「コードを修正できますか?」と尋ねます。この重要な質問への答えは組織によって異なりますが、一般的に開発者は厳格な機能提供スプリントの遵守に神経を使いすぎており、こうした問題を解決する時間も、支援する適切なツールも持っていません。AppSec専門家は自ら脆弱性を特定することはできますが、これを即座に修正できる技術やアクセス権限を持たない場合がほとんどです。
また、あらゆる問題には解決策を見つけ、実装し、テストするプロセスが必要であることを認識しなければなりません。コードで見つかった些細な問題でさえ、解決に要する時間は膨大であり、必要なリソースは言うまでもありません。ソフトウェアに導入される可能性のある脆弱性は700を超えるため、一人の人間が全てを防御することは不可能です。こうした理由から、ほとんどの企業はOWASP Top 10のみに固執しています。その間、開発者は機能開発を続け、 その結果、自身が書いたコードに脆弱性を次々と導入し続けています。
解決策は何でしょうか?
端的に言えば、私たちは開発者に対してセキュリティコーディングの成功を促進するためのツールや教育を提供していません。組織内で開発者に適切なセキュリティスキルを保有するよう義務付ける規定も存在しません。ほとんどの大学やインターンシッププログラムも、ジュニア開発者が安全にコーディングできるよう準備できていないのが現状です。
飛行機に乗ろうとする人には、飛行前に訓練、実務経験、健康診断、安全知識および検査を保証する非常に厳格な手順があります。誰も、こうした広範な準備と技術的検証がなければ空に放たれることなど想像もできないでしょう。しかし、コード作成においては、毎日このようなことが起こっています。
開発者に対してセキュリティコードの記述について教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者やセキュリティ専門家が不足している今日の世界では、これが決して優先事項ではないように思われます。今こそ、この議論を変える時です。
世界経済フォーラムの最近のヘッドラインは「セキュリティなしではデジタル経済も存在しえない」と訴え、これと併せて、あらゆるデジタル革新戦略の中核部分となるためにはセキュリティが必要であるという内容が盛り込まれています。「セキュリティは企業を保護し、企業が革新し、新たな製品やサービスを構築できるようにします。セキュリティは防御的な役割を超え、企業に戦略的な成長の優位性をもたらします。」
セキュリティコーディング技術と成果を向上させることで、組織に強力なサイバー保護層が追加され、より迅速かつ優れたコードを作成できるようになります。開発者がセキュリティの専門家である必要はありませんが、サイバー攻撃に対する第一防衛線となるためには、積極的かつ実質的な権限を与えられなければなりません。開発者は次世代のセキュリティとイノベーションのヒーローとなる可能性があります。彼らは非常に聡明で、創造的に問題を解決し、 通常、自らの技術を磨くことに熱心です。当然受けるべき専門教育を通じて強みを発揮し、より高いソフトウェアセキュリティ基準を遵守しましょう。ホワイトペーパーを読む詳細はこちら
飛行機に乗ろうとする人には、飛行前に訓練、実務経験、健康診断、安全知識および検査を保証する非常に厳格な手順があります。誰も、こうした広範な準備と技術的検証がなければ空に放たれることなど想像もできないでしょう。しかし、コード作成においては、毎日このようなことが起こっています。
ゴキブリは核爆発を含むあらゆる災害を生き延びられるというよく知られた説があります。この説はある程度事実ではありますが、体格が単純であるため、その大きさに対して非常に頑丈であり、ほとんどの環境下で根絶するのが困難です。
考えてみたのですが…デジタル世界でゴキブリに相当する問題があるとすれば、コードにSQLインジェクション(SQLi)の脆弱性があるのではないでしょうか。この脆弱性は20年以上前から知られているものですが、組織は今なお被害を受け続けています。広範に蔓延し、多大なコストを伴う標的型攻撃の事例と同様に、SQLインジェクションの結果でした。選挙ハッキングで20万人の有権者記録が流出したイリノイ州では、FBIが全IT管理者に対し、セキュリティ対策の強化を迅速に進めるよう勧告しました。
インペルバのハッカーインテリジェンスイニシアチブ報告書によると、2005年から2011年の間に報告された全データ侵害事例の83%でSQLインジェクション攻撃が使用されていました。今日でもインジェクション脆弱性は依然として米国における最大の脅威であり続けています。OWASPトップ10。比較的単純ですが、簡単には死にません。
このような脆弱性が依然として多くのアプリケーションセキュリティ検査で検出されるのは滑稽に思えます。私たちはこの問題の仕組みをよく理解しており、防止方法も把握しています。どうしてこのようなことが起こり得るのでしょうか?実際、ソフトウェアセキュリティには改善の余地が無限に存在します。
ベラコードのソフトウェアセキュリティ現状レポート- 2017年40万件のアプリケーションスキャンに基づく驚くべき統計が発表されました。OWASP Top 10ポリシーを通過したアプリケーションはわずか30%でした。新たにスキャンしたアプリケーション3件中ほぼ1件にSQLインジェクションが検出されるなど、過去5年間この傾向は変わっていません。これは根深い問題の証拠です。 私たちは過ちから教訓を得ておらず、CISOは十分なセキュリティ人材を確保する上で困難な戦いに直面しているようです。一般的に、アプリケーションセキュリティ専門家と開発者の比率は1:100であり、適切とは言えません。
ソフトウェアセキュリティが生命維持に含まれる理由は何か?
専門的なセキュリティ人材が不足していることは周知の事実です。しかし、開発者が問題が発生した際に解決せず、そもそも脆弱性を導入しない準備ができていないという事実にも注意を払う必要があります。同じVeracodeレポートによると、開発段階の脆弱性全体のうち、緩和策が文書化されていたのはわずか14.4%でした。つまり、大半の脆弱性は開発段階での緩和策なしに提出されていたのです。最初の90日間に解決された脆弱性は3分の1未満であり、42%の脆弱性は開発期間内に解消されませんでした。
筆者はセキュリティ専門家、CISO、CEOらと常に議論を交わしているが、多くの企業が(誤検知という災厄に加え)緩和不可能な脆弱性の数に不満を抱き、検索を完全に停止して指をくわえて最善の結果を期待しているという事実を知った。
AppSecの専門家たちがこのような状況を許容した理由は何でしょうか?
間違えないでください。AppSecのスタッフはコードの問題を身にしみて理解しています。結局のところ、これが彼らを貴重なチームリソースとする核心技術の一つなのです。しかし彼らはしばしば様々な要因によって困難に直面します。
例えば、AppSec管理者は問題を発見し、開発者に「コードを修正できますか?」と尋ねます。この重要な質問への答えは組織によって異なりますが、一般的に開発者は厳格な機能提供スプリントの遵守に神経を使いすぎており、こうした問題を解決する時間も、支援する適切なツールも持っていません。AppSec専門家は自ら脆弱性を特定することはできますが、これを即座に修正できる技術やアクセス権限を持たない場合がほとんどです。
また、あらゆる問題には解決策を見つけ、実装し、テストするプロセスが必要であることを認識しなければなりません。コードで見つかった些細な問題でさえ、解決に要する時間は膨大であり、必要なリソースは言うまでもありません。ソフトウェアに導入される可能性のある脆弱性は700を超えるため、一人の人間が全てを防御することは不可能です。こうした理由から、ほとんどの企業はOWASP Top 10のみに固執しています。その間、開発者は機能開発を続け、 その結果、自身が書いたコードに脆弱性を次々と導入し続けています。
解決策は何でしょうか?
端的に言えば、私たちは開発者に対してセキュリティコーディングの成功を促進するためのツールや教育を提供していません。組織内で開発者に適切なセキュリティスキルを保有するよう義務付ける規定も存在しません。ほとんどの大学やインターンシッププログラムも、ジュニア開発者が安全にコーディングできるよう準備できていないのが現状です。
飛行機に乗ろうとする人には、飛行前に訓練、実務経験、健康診断、安全知識および検査を保証する非常に厳格な手順があります。誰も、こうした広範な準備と技術的検証がなければ空に放たれることなど想像もできないでしょう。しかし、コード作成においては、毎日このようなことが起こっています。
開発者に対してセキュリティコードの記述について教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者やセキュリティ専門家が不足している今日の世界では、これが決して優先事項ではないように思われます。今こそ、この議論を変える時です。
世界経済フォーラムの最近のヘッドラインは「セキュリティなしではデジタル経済も存在しえない」と訴え、これと併せて、あらゆるデジタル革新戦略の中核部分となるためにはセキュリティが必要であるという内容が盛り込まれています。「セキュリティは企業を保護し、企業が革新し、新たな製品やサービスを構築できるようにします。セキュリティは防御的な役割を超え、企業に戦略的な成長の優位性をもたらします。」
セキュリティコーディング技術と成果を向上させることで、組織に強力なサイバー保護層が追加され、より迅速かつ優れたコードを作成できるようになります。開発者がセキュリティの専門家である必要はありませんが、サイバー攻撃に対する第一防衛線となるためには、積極的かつ実質的な権限を与えられなければなりません。開発者は次世代のセキュリティとイノベーションのヒーローとなる可能性があります。彼らは非常に聡明で、創造的に問題を解決し、 通常、自らの技術を磨くことに熱心です。当然受けるべき専門教育を通じて強みを発揮し、より高いソフトウェアセキュリティ基準を遵守しましょう。ホワイトペーパーを読む詳細はこちら
飛行機に乗ろうとする人には、飛行前に訓練、実務経験、健康診断、安全知識および検査を保証する非常に厳格な手順があります。誰も、こうした広範な準備と技術的検証がなければ空に放たれることなど想像もできないでしょう。しかし、コード作成においては、毎日このようなことが起こっています。
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ゴキブリは核爆発を含むあらゆる災害を生き延びられるというよく知られた説があります。この説はある程度事実ではありますが、体格が単純であるため、その大きさに対して非常に頑丈であり、ほとんどの環境下で根絶するのが困難です。
考えてみたのですが…デジタル世界でゴキブリに相当する問題があるとすれば、コードにSQLインジェクション(SQLi)の脆弱性があるのではないでしょうか。この脆弱性は20年以上前から知られているものですが、組織は今なお被害を受け続けています。広範に蔓延し、多大なコストを伴う標的型攻撃の事例と同様に、SQLインジェクションの結果でした。選挙ハッキングで20万人の有権者記録が流出したイリノイ州では、FBIが全IT管理者に対し、セキュリティ対策の強化を迅速に進めるよう勧告しました。
インペルバのハッカーインテリジェンスイニシアチブ報告書によると、2005年から2011年の間に報告された全データ侵害事例の83%でSQLインジェクション攻撃が使用されていました。今日でもインジェクション脆弱性は依然として米国における最大の脅威であり続けています。OWASPトップ10。比較的単純ですが、簡単には死にません。
このような脆弱性が依然として多くのアプリケーションセキュリティ検査で検出されるのは滑稽に思えます。私たちはこの問題の仕組みをよく理解しており、防止方法も把握しています。どうしてこのようなことが起こり得るのでしょうか?実際、ソフトウェアセキュリティには改善の余地が無限に存在します。
ベラコードのソフトウェアセキュリティ現状レポート- 2017年40万件のアプリケーションスキャンに基づく驚くべき統計が発表されました。OWASP Top 10ポリシーを通過したアプリケーションはわずか30%でした。新たにスキャンしたアプリケーション3件中ほぼ1件にSQLインジェクションが検出されるなど、過去5年間この傾向は変わっていません。これは根深い問題の証拠です。 私たちは過ちから教訓を得ておらず、CISOは十分なセキュリティ人材を確保する上で困難な戦いに直面しているようです。一般的に、アプリケーションセキュリティ専門家と開発者の比率は1:100であり、適切とは言えません。
ソフトウェアセキュリティが生命維持に含まれる理由は何か?
専門的なセキュリティ人材が不足していることは周知の事実です。しかし、開発者が問題が発生した際に解決せず、そもそも脆弱性を導入しない準備ができていないという事実にも注意を払う必要があります。同じVeracodeレポートによると、開発段階の脆弱性全体のうち、緩和策が文書化されていたのはわずか14.4%でした。つまり、大半の脆弱性は開発段階での緩和策なしに提出されていたのです。最初の90日間に解決された脆弱性は3分の1未満であり、42%の脆弱性は開発期間内に解消されませんでした。
筆者はセキュリティ専門家、CISO、CEOらと常に議論を交わしているが、多くの企業が(誤検知という災厄に加え)緩和不可能な脆弱性の数に不満を抱き、検索を完全に停止して指をくわえて最善の結果を期待しているという事実を知った。
AppSecの専門家たちがこのような状況を許容した理由は何でしょうか?
間違えないでください。AppSecのスタッフはコードの問題を身にしみて理解しています。結局のところ、これが彼らを貴重なチームリソースとする核心技術の一つなのです。しかし彼らはしばしば様々な要因によって困難に直面します。
例えば、AppSec管理者は問題を発見し、開発者に「コードを修正できますか?」と尋ねます。この重要な質問への答えは組織によって異なりますが、一般的に開発者は厳格な機能提供スプリントの遵守に神経を使いすぎており、こうした問題を解決する時間も、支援する適切なツールも持っていません。AppSec専門家は自ら脆弱性を特定することはできますが、これを即座に修正できる技術やアクセス権限を持たない場合がほとんどです。
また、あらゆる問題には解決策を見つけ、実装し、テストするプロセスが必要であることを認識しなければなりません。コードで見つかった些細な問題でさえ、解決に要する時間は膨大であり、必要なリソースは言うまでもありません。ソフトウェアに導入される可能性のある脆弱性は700を超えるため、一人の人間が全てを防御することは不可能です。こうした理由から、ほとんどの企業はOWASP Top 10のみに固執しています。その間、開発者は機能開発を続け、 その結果、自身が書いたコードに脆弱性を次々と導入し続けています。
解決策は何でしょうか?
端的に言えば、私たちは開発者に対してセキュリティコーディングの成功を促進するためのツールや教育を提供していません。組織内で開発者に適切なセキュリティスキルを保有するよう義務付ける規定も存在しません。ほとんどの大学やインターンシッププログラムも、ジュニア開発者が安全にコーディングできるよう準備できていないのが現状です。
飛行機に乗ろうとする人には、飛行前に訓練、実務経験、健康診断、安全知識および検査を保証する非常に厳格な手順があります。誰も、こうした広範な準備と技術的検証がなければ空に放たれることなど想像もできないでしょう。しかし、コード作成においては、毎日このようなことが起こっています。
開発者に対してセキュリティコードの記述について教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者やセキュリティ専門家が不足している今日の世界では、これが決して優先事項ではないように思われます。今こそ、この議論を変える時です。
世界経済フォーラムの最近のヘッドラインは「セキュリティなしではデジタル経済も存在しえない」と訴え、これと併せて、あらゆるデジタル革新戦略の中核部分となるためにはセキュリティが必要であるという内容が盛り込まれています。「セキュリティは企業を保護し、企業が革新し、新たな製品やサービスを構築できるようにします。セキュリティは防御的な役割を超え、企業に戦略的な成長の優位性をもたらします。」
セキュリティコーディング技術と成果を向上させることで、組織に強力なサイバー保護層が追加され、より迅速かつ優れたコードを作成できるようになります。開発者がセキュリティの専門家である必要はありませんが、サイバー攻撃に対する第一防衛線となるためには、積極的かつ実質的な権限を与えられなければなりません。開発者は次世代のセキュリティとイノベーションのヒーローとなる可能性があります。彼らは非常に聡明で、創造的に問題を解決し、 通常、自らの技術を磨くことに熱心です。当然受けるべき専門教育を通じて強みを発揮し、より高いソフトウェアセキュリティ基準を遵守しましょう。ホワイトペーパーを読む詳細はこちら
飛行機に乗ろうとする人には、飛行前に訓練、実務経験、健康診断、安全知識および検査を保証する非常に厳格な手順があります。誰も、こうした広範な準備と技術的検証がなければ空に放たれることなど想像もできないでしょう。しかし、コード作成においては、毎日このようなことが起こっています。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
