なぜSQLインジェクションはAppSecの世界におけるゴキブリなのか(そしてCISOがそれらを根絶する方法)
ゴキブリは基本的にどんな状況でも生き延びられるという、広く知られた理論がある。核爆発でさえ例外ではない。この理論はある程度正しいものの、その単純な身体構造ゆえに、彼らは自身の体格に対して非常に耐寒性が高く、ほとんどの条件下で駆除が困難である。
ずっと考えていた…もしゴキブリがデジタル世界に似たような脆弱性を持つなら、それはコード内のSQLインジェクション(SQLi)脆弱性に違いない。20年以上にわたり、この脆弱性は広く知られているにもかかわらず、組織は繰り返しその被害者となっている。広範な、標的に対する攻撃は高額な代償を伴う。イリノイ州の選挙ハッキング事件のように、20万件の有権者記録が漏洩した結果、FBIは全IT管理者にセキュリティ対策の迅速な強化を勧告するに至った。
Impervaのハッキングインテリジェンスイニシアチブ報告書によると、2005年から2011年の間に報告された全データ漏洩事件の83%でSQLインジェクション攻撃が使用されていた。今日でも、インジェクション脆弱性はOWASPトップ10における米国最大の脅威である。これらは比較的単純だが、全く根絶されていない。
大量のアプリケーションセキュリティスキャンで同じ脆弱性が繰り返し検出されるのは、一見すると不合理に思える。その仕組みも、阻止方法もわかっているのだ。どうしてこんなことが起こり得るのか? 現実には、ソフトウェアのセキュリティにはまだ大きな改善の余地がある。
Veracodeのソフトウェアセキュリティ状況レポート(2017年の40万件のアプリケーションスキャンに基づく)は衝撃的な統計を示している:OWASPトップ10ポリシーを満たしたアプリケーションはわずか30%だった。過去5年間、これは一貫した課題であり、新規スキャン対象アプリケーションの約3分の1でSQLインジェクションが検出されている。これは普遍的な問題の存在を証明している。私たちは過ちから教訓を学んでおらず、最高情報セキュリティ責任者(CISO)は十分なセキュリティ人材の確保に苦戦しているようだ。通常、アプリケーションセキュリティ(AppSec)専門家と開発者の比率は1:100にも満たない。
なぜソフトウェアの安全性は生命維持装置なのか?
専門的なセキュリティ人材の不足はもはや周知の事実だが、開発者が問題発生時に修正を行わないこと、そしてそもそも脆弱性を導入しない能力が明らかに欠如しているという事実にも注目すべきだ。同じVeracodeレポートによると、全開発脆弱性に対して記録された緩和策はわずか14.4%に留まる。言い換えれば、大多数漏洞是在没有开发缓解措施的情况下提交的。不到三分之一的漏洞在最初的90天内被关闭,42%的漏洞在开发期间从未关闭过。
私はセキュリティ専門家、最高情報セキュリティ責任者(CISO)、最高経営責任者(CEO)と話し続けていますが、興味深いことに、多くの企業が発見された緩和不可能な脆弱性(誤検知という厄介な問題も含む)に非常に苛立ちを感じていることに気づきました。その結果、彼らはこうした脆弱性のスキャンを完全に停止し、手をこまねいて最善の結果を願っているのです。
なぜAppSec専門家はこのような事態を許したのか?
疑いようもなく、AppSecの専門家たちはコード内の問題を痛感している。何しろ、それが彼らの核心的なスキルの一つであり、彼らをチームにとって貴重な存在にしているのだ。しかし、彼らはしばしば様々な要因によって阻まれている。
例えば、AppSecマネージャーは問題を発見し、開発者に「コードを修正できますか?」と尋ねる。この重要な質問への答えは組織によって異なるが、概して開発者は厳しい機能リリーススプリントを達成するのに追われ、これらの問題を解決する時間すらなく、支援する適切なツールも持っていない。AppSec専門家自身は脆弱性を特定できるかもしれないが、通常、現場で修正するスキルや権限を持っていない。
私たちはまた、あらゆる問題に対して、解決策を見つけ、それを実装し、テストするプロセスがある。コード内で最も些細な問題が見つかった場合でさえ、修正に必要な時間は膨大であり、必要なリソースは言うまでもない。ソフトウェアには700以上の脆弱性が導入され得るが、これら全てに対抗することは誰にも不可能だ。まさにこの理由から、ほとんどの企業はOWASPトップ10のみに焦点を当てることを堅持している。一方、開発者は機能構築を続けており、その結果、彼らが書くコードには絶えず脆弱性が導入され続けている。
解決策は何ですか?
単純な事実として、我々は開発者に安全なコーディングを成功させるためのツールやトレーニングを提供していない。組織が開発者に十分なセキュリティスキルを保証することを義務付ける規制は存在せず、悲しい現実として、ほとんどの大学や実習機関も初級開発者に安全なコーディングの準備を整えていない。
誰かが飛行機を操縦しようとする場合、非常に厳格なプロセスが存在し、飛行前に訓練、実務経験、健康診断、安全知識、検査を受けることが保証されている。これほど包括的な準備と技能検証なしに、彼らが野放しにされるなど誰も想像しないだろう。しかし、これがコード記述において毎日起きていることなのである。
開発者に安全なコードの書き方を教育するには時間を要します。しかし現代では、ソフトウェア開発のペースが速く、優秀な開発者とセキュリティ専門家が不足しているため、これは決して優先事項とは見なされてきませんでした。今こそ、この対話を変える時です。
最近のヘッドラインニュースは世界経済フォーラムが「安全がなければデジタル経済はありえない」と警鐘を鳴らすもので、付随する内容はセキュリティがいかなるデジタル変革戦略においても中核をなす要素でなければならないと主張している。「セキュリティは企業を守る鍵であり、革新を可能にし、新製品やサービスを開発させる。防御的役割に加え、セキュリティは企業に戦略的成長優位性をもたらす」
セキュリティコーディングのスキルと成果を高めることは、組織に強力なサイバー保護層を追加し、より優れたコードをより迅速に作成する手助けとなります。開発者はセキュリティの専門家である必要はありませんが、サイバー攻撃に対する最初の防衛線となるためには、積極的かつ実践的な能力を獲得しなければなりません。開発者は次のセキュリティとイノベーションのヒーローとなる可能性があります。彼らは非常に賢く、創造的な問題解決者であり、一般的に自身のスキル向上に熱心です。適切な専門トレーニングを通じて強みを発揮し、より高いソフトウェアセキュリティ基準に取り組むのです。 詳細については、当社のホワイトペーパーをご覧ください。
誰かが飛行機を操縦しようとする場合、非常に厳格なプロセスが存在し、飛行前に訓練、実務経験、健康診断、安全知識、検査を受けることが保証されている。これほど包括的な準備と技能検証なしに、彼らが野放しにされるなど誰も想像しないだろう。しかし、これがコード記述において毎日起きていることなのである。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ゴキブリは基本的にどんな状況でも生き延びられるという、広く知られた理論がある。核爆発でさえ例外ではない。この理論はある程度正しいものの、その単純な身体構造ゆえに、彼らは自身の体格に対して非常に耐寒性が高く、ほとんどの条件下で駆除が困難である。
ずっと考えていた…もしゴキブリがデジタル世界に似たような脆弱性を持つなら、それはコード内のSQLインジェクション(SQLi)脆弱性に違いない。20年以上にわたり、この脆弱性は広く知られているにもかかわらず、組織は繰り返しその被害者となっている。広範な、標的に対する攻撃は高額な代償を伴う。イリノイ州の選挙ハッキング事件のように、20万件の有権者記録が漏洩した結果、FBIは全IT管理者にセキュリティ対策の迅速な強化を勧告するに至った。
Impervaのハッキングインテリジェンスイニシアチブ報告書によると、2005年から2011年の間に報告された全データ漏洩事件の83%でSQLインジェクション攻撃が使用されていた。今日でも、インジェクション脆弱性はOWASPトップ10における米国最大の脅威である。これらは比較的単純だが、全く根絶されていない。
大量のアプリケーションセキュリティスキャンで同じ脆弱性が繰り返し検出されるのは、一見すると不合理に思える。その仕組みも、阻止方法もわかっているのだ。どうしてこんなことが起こり得るのか? 現実には、ソフトウェアのセキュリティにはまだ大きな改善の余地がある。
Veracodeのソフトウェアセキュリティ状況レポート(2017年の40万件のアプリケーションスキャンに基づく)は衝撃的な統計を示している:OWASPトップ10ポリシーを満たしたアプリケーションはわずか30%だった。過去5年間、これは一貫した課題であり、新規スキャン対象アプリケーションの約3分の1でSQLインジェクションが検出されている。これは普遍的な問題の存在を証明している。私たちは過ちから教訓を学んでおらず、最高情報セキュリティ責任者(CISO)は十分なセキュリティ人材の確保に苦戦しているようだ。通常、アプリケーションセキュリティ(AppSec)専門家と開発者の比率は1:100にも満たない。
なぜソフトウェアの安全性は生命維持装置なのか?
専門的なセキュリティ人材の不足はもはや周知の事実だが、開発者が問題発生時に修正を行わないこと、そしてそもそも脆弱性を導入しない能力が明らかに欠如しているという事実にも注目すべきだ。同じVeracodeレポートによると、全開発脆弱性に対して記録された緩和策はわずか14.4%に留まる。言い換えれば、大多数漏洞是在没有开发缓解措施的情况下提交的。不到三分之一的漏洞在最初的90天内被关闭,42%的漏洞在开发期间从未关闭过。
私はセキュリティ専門家、最高情報セキュリティ責任者(CISO)、最高経営責任者(CEO)と話し続けていますが、興味深いことに、多くの企業が発見された緩和不可能な脆弱性(誤検知という厄介な問題も含む)に非常に苛立ちを感じていることに気づきました。その結果、彼らはこうした脆弱性のスキャンを完全に停止し、手をこまねいて最善の結果を願っているのです。
なぜAppSec専門家はこのような事態を許したのか?
疑いようもなく、AppSecの専門家たちはコード内の問題を痛感している。何しろ、それが彼らの核心的なスキルの一つであり、彼らをチームにとって貴重な存在にしているのだ。しかし、彼らはしばしば様々な要因によって阻まれている。
例えば、AppSecマネージャーは問題を発見し、開発者に「コードを修正できますか?」と尋ねる。この重要な質問への答えは組織によって異なるが、概して開発者は厳しい機能リリーススプリントを達成するのに追われ、これらの問題を解決する時間すらなく、支援する適切なツールも持っていない。AppSec専門家自身は脆弱性を特定できるかもしれないが、通常、現場で修正するスキルや権限を持っていない。
私たちはまた、あらゆる問題に対して、解決策を見つけ、それを実装し、テストするプロセスがある。コード内で最も些細な問題が見つかった場合でさえ、修正に必要な時間は膨大であり、必要なリソースは言うまでもない。ソフトウェアには700以上の脆弱性が導入され得るが、これら全てに対抗することは誰にも不可能だ。まさにこの理由から、ほとんどの企業はOWASPトップ10のみに焦点を当てることを堅持している。一方、開発者は機能構築を続けており、その結果、彼らが書くコードには絶えず脆弱性が導入され続けている。
解決策は何ですか?
単純な事実として、我々は開発者に安全なコーディングを成功させるためのツールやトレーニングを提供していない。組織が開発者に十分なセキュリティスキルを保証することを義務付ける規制は存在せず、悲しい現実として、ほとんどの大学や実習機関も初級開発者に安全なコーディングの準備を整えていない。
誰かが飛行機を操縦しようとする場合、非常に厳格なプロセスが存在し、飛行前に訓練、実務経験、健康診断、安全知識、検査を受けることが保証されている。これほど包括的な準備と技能検証なしに、彼らが野放しにされるなど誰も想像しないだろう。しかし、これがコード記述において毎日起きていることなのである。
開発者に安全なコードの書き方を教育するには時間を要します。しかし現代では、ソフトウェア開発のペースが速く、優秀な開発者とセキュリティ専門家が不足しているため、これは決して優先事項とは見なされてきませんでした。今こそ、この対話を変える時です。
最近のヘッドラインニュースは世界経済フォーラムが「安全がなければデジタル経済はありえない」と警鐘を鳴らすもので、付随する内容はセキュリティがいかなるデジタル変革戦略においても中核をなす要素でなければならないと主張している。「セキュリティは企業を守る鍵であり、革新を可能にし、新製品やサービスを開発させる。防御的役割に加え、セキュリティは企業に戦略的成長優位性をもたらす」
セキュリティコーディングのスキルと成果を高めることは、組織に強力なサイバー保護層を追加し、より優れたコードをより迅速に作成する手助けとなります。開発者はセキュリティの専門家である必要はありませんが、サイバー攻撃に対する最初の防衛線となるためには、積極的かつ実践的な能力を獲得しなければなりません。開発者は次のセキュリティとイノベーションのヒーローとなる可能性があります。彼らは非常に賢く、創造的な問題解決者であり、一般的に自身のスキル向上に熱心です。適切な専門トレーニングを通じて強みを発揮し、より高いソフトウェアセキュリティ基準に取り組むのです。 詳細については、当社のホワイトペーパーをご覧ください。
誰かが飛行機を操縦しようとする場合、非常に厳格なプロセスが存在し、飛行前に訓練、実務経験、健康診断、安全知識、検査を受けることが保証されている。これほど包括的な準備と技能検証なしに、彼らが野放しにされるなど誰も想像しないだろう。しかし、これがコード記述において毎日起きていることなのである。
ゴキブリは基本的にどんな状況でも生き延びられるという、広く知られた理論がある。核爆発でさえ例外ではない。この理論はある程度正しいものの、その単純な身体構造ゆえに、彼らは自身の体格に対して非常に耐寒性が高く、ほとんどの条件下で駆除が困難である。
ずっと考えていた…もしゴキブリがデジタル世界に似たような脆弱性を持つなら、それはコード内のSQLインジェクション(SQLi)脆弱性に違いない。20年以上にわたり、この脆弱性は広く知られているにもかかわらず、組織は繰り返しその被害者となっている。広範な、標的に対する攻撃は高額な代償を伴う。イリノイ州の選挙ハッキング事件のように、20万件の有権者記録が漏洩した結果、FBIは全IT管理者にセキュリティ対策の迅速な強化を勧告するに至った。
Impervaのハッキングインテリジェンスイニシアチブ報告書によると、2005年から2011年の間に報告された全データ漏洩事件の83%でSQLインジェクション攻撃が使用されていた。今日でも、インジェクション脆弱性はOWASPトップ10における米国最大の脅威である。これらは比較的単純だが、全く根絶されていない。
大量のアプリケーションセキュリティスキャンで同じ脆弱性が繰り返し検出されるのは、一見すると不合理に思える。その仕組みも、阻止方法もわかっているのだ。どうしてこんなことが起こり得るのか? 現実には、ソフトウェアのセキュリティにはまだ大きな改善の余地がある。
Veracodeのソフトウェアセキュリティ状況レポート(2017年の40万件のアプリケーションスキャンに基づく)は衝撃的な統計を示している:OWASPトップ10ポリシーを満たしたアプリケーションはわずか30%だった。過去5年間、これは一貫した課題であり、新規スキャン対象アプリケーションの約3分の1でSQLインジェクションが検出されている。これは普遍的な問題の存在を証明している。私たちは過ちから教訓を学んでおらず、最高情報セキュリティ責任者(CISO)は十分なセキュリティ人材の確保に苦戦しているようだ。通常、アプリケーションセキュリティ(AppSec)専門家と開発者の比率は1:100にも満たない。
なぜソフトウェアの安全性は生命維持装置なのか?
専門的なセキュリティ人材の不足はもはや周知の事実だが、開発者が問題発生時に修正を行わないこと、そしてそもそも脆弱性を導入しない能力が明らかに欠如しているという事実にも注目すべきだ。同じVeracodeレポートによると、全開発脆弱性に対して記録された緩和策はわずか14.4%に留まる。言い換えれば、大多数漏洞是在没有开发缓解措施的情况下提交的。不到三分之一的漏洞在最初的90天内被关闭,42%的漏洞在开发期间从未关闭过。
私はセキュリティ専門家、最高情報セキュリティ責任者(CISO)、最高経営責任者(CEO)と話し続けていますが、興味深いことに、多くの企業が発見された緩和不可能な脆弱性(誤検知という厄介な問題も含む)に非常に苛立ちを感じていることに気づきました。その結果、彼らはこうした脆弱性のスキャンを完全に停止し、手をこまねいて最善の結果を願っているのです。
なぜAppSec専門家はこのような事態を許したのか?
疑いようもなく、AppSecの専門家たちはコード内の問題を痛感している。何しろ、それが彼らの核心的なスキルの一つであり、彼らをチームにとって貴重な存在にしているのだ。しかし、彼らはしばしば様々な要因によって阻まれている。
例えば、AppSecマネージャーは問題を発見し、開発者に「コードを修正できますか?」と尋ねる。この重要な質問への答えは組織によって異なるが、概して開発者は厳しい機能リリーススプリントを達成するのに追われ、これらの問題を解決する時間すらなく、支援する適切なツールも持っていない。AppSec専門家自身は脆弱性を特定できるかもしれないが、通常、現場で修正するスキルや権限を持っていない。
私たちはまた、あらゆる問題に対して、解決策を見つけ、それを実装し、テストするプロセスがある。コード内で最も些細な問題が見つかった場合でさえ、修正に必要な時間は膨大であり、必要なリソースは言うまでもない。ソフトウェアには700以上の脆弱性が導入され得るが、これら全てに対抗することは誰にも不可能だ。まさにこの理由から、ほとんどの企業はOWASPトップ10のみに焦点を当てることを堅持している。一方、開発者は機能構築を続けており、その結果、彼らが書くコードには絶えず脆弱性が導入され続けている。
解決策は何ですか?
単純な事実として、我々は開発者に安全なコーディングを成功させるためのツールやトレーニングを提供していない。組織が開発者に十分なセキュリティスキルを保証することを義務付ける規制は存在せず、悲しい現実として、ほとんどの大学や実習機関も初級開発者に安全なコーディングの準備を整えていない。
誰かが飛行機を操縦しようとする場合、非常に厳格なプロセスが存在し、飛行前に訓練、実務経験、健康診断、安全知識、検査を受けることが保証されている。これほど包括的な準備と技能検証なしに、彼らが野放しにされるなど誰も想像しないだろう。しかし、これがコード記述において毎日起きていることなのである。
開発者に安全なコードの書き方を教育するには時間を要します。しかし現代では、ソフトウェア開発のペースが速く、優秀な開発者とセキュリティ専門家が不足しているため、これは決して優先事項とは見なされてきませんでした。今こそ、この対話を変える時です。
最近のヘッドラインニュースは世界経済フォーラムが「安全がなければデジタル経済はありえない」と警鐘を鳴らすもので、付随する内容はセキュリティがいかなるデジタル変革戦略においても中核をなす要素でなければならないと主張している。「セキュリティは企業を守る鍵であり、革新を可能にし、新製品やサービスを開発させる。防御的役割に加え、セキュリティは企業に戦略的成長優位性をもたらす」
セキュリティコーディングのスキルと成果を高めることは、組織に強力なサイバー保護層を追加し、より優れたコードをより迅速に作成する手助けとなります。開発者はセキュリティの専門家である必要はありませんが、サイバー攻撃に対する最初の防衛線となるためには、積極的かつ実践的な能力を獲得しなければなりません。開発者は次のセキュリティとイノベーションのヒーローとなる可能性があります。彼らは非常に賢く、創造的な問題解決者であり、一般的に自身のスキル向上に熱心です。適切な専門トレーニングを通じて強みを発揮し、より高いソフトウェアセキュリティ基準に取り組むのです。 詳細については、当社のホワイトペーパーをご覧ください。
誰かが飛行機を操縦しようとする場合、非常に厳格なプロセスが存在し、飛行前に訓練、実務経験、健康診断、安全知識、検査を受けることが保証されている。これほど包括的な準備と技能検証なしに、彼らが野放しにされるなど誰も想像しないだろう。しかし、これがコード記述において毎日起きていることなのである。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ゴキブリは基本的にどんな状況でも生き延びられるという、広く知られた理論がある。核爆発でさえ例外ではない。この理論はある程度正しいものの、その単純な身体構造ゆえに、彼らは自身の体格に対して非常に耐寒性が高く、ほとんどの条件下で駆除が困難である。
ずっと考えていた…もしゴキブリがデジタル世界に似たような脆弱性を持つなら、それはコード内のSQLインジェクション(SQLi)脆弱性に違いない。20年以上にわたり、この脆弱性は広く知られているにもかかわらず、組織は繰り返しその被害者となっている。広範な、標的に対する攻撃は高額な代償を伴う。イリノイ州の選挙ハッキング事件のように、20万件の有権者記録が漏洩した結果、FBIは全IT管理者にセキュリティ対策の迅速な強化を勧告するに至った。
Impervaのハッキングインテリジェンスイニシアチブ報告書によると、2005年から2011年の間に報告された全データ漏洩事件の83%でSQLインジェクション攻撃が使用されていた。今日でも、インジェクション脆弱性はOWASPトップ10における米国最大の脅威である。これらは比較的単純だが、全く根絶されていない。
大量のアプリケーションセキュリティスキャンで同じ脆弱性が繰り返し検出されるのは、一見すると不合理に思える。その仕組みも、阻止方法もわかっているのだ。どうしてこんなことが起こり得るのか? 現実には、ソフトウェアのセキュリティにはまだ大きな改善の余地がある。
Veracodeのソフトウェアセキュリティ状況レポート(2017年の40万件のアプリケーションスキャンに基づく)は衝撃的な統計を示している:OWASPトップ10ポリシーを満たしたアプリケーションはわずか30%だった。過去5年間、これは一貫した課題であり、新規スキャン対象アプリケーションの約3分の1でSQLインジェクションが検出されている。これは普遍的な問題の存在を証明している。私たちは過ちから教訓を学んでおらず、最高情報セキュリティ責任者(CISO)は十分なセキュリティ人材の確保に苦戦しているようだ。通常、アプリケーションセキュリティ(AppSec)専門家と開発者の比率は1:100にも満たない。
なぜソフトウェアの安全性は生命維持装置なのか?
専門的なセキュリティ人材の不足はもはや周知の事実だが、開発者が問題発生時に修正を行わないこと、そしてそもそも脆弱性を導入しない能力が明らかに欠如しているという事実にも注目すべきだ。同じVeracodeレポートによると、全開発脆弱性に対して記録された緩和策はわずか14.4%に留まる。言い換えれば、大多数漏洞是在没有开发缓解措施的情况下提交的。不到三分之一的漏洞在最初的90天内被关闭,42%的漏洞在开发期间从未关闭过。
私はセキュリティ専門家、最高情報セキュリティ責任者(CISO)、最高経営責任者(CEO)と話し続けていますが、興味深いことに、多くの企業が発見された緩和不可能な脆弱性(誤検知という厄介な問題も含む)に非常に苛立ちを感じていることに気づきました。その結果、彼らはこうした脆弱性のスキャンを完全に停止し、手をこまねいて最善の結果を願っているのです。
なぜAppSec専門家はこのような事態を許したのか?
疑いようもなく、AppSecの専門家たちはコード内の問題を痛感している。何しろ、それが彼らの核心的なスキルの一つであり、彼らをチームにとって貴重な存在にしているのだ。しかし、彼らはしばしば様々な要因によって阻まれている。
例えば、AppSecマネージャーは問題を発見し、開発者に「コードを修正できますか?」と尋ねる。この重要な質問への答えは組織によって異なるが、概して開発者は厳しい機能リリーススプリントを達成するのに追われ、これらの問題を解決する時間すらなく、支援する適切なツールも持っていない。AppSec専門家自身は脆弱性を特定できるかもしれないが、通常、現場で修正するスキルや権限を持っていない。
私たちはまた、あらゆる問題に対して、解決策を見つけ、それを実装し、テストするプロセスがある。コード内で最も些細な問題が見つかった場合でさえ、修正に必要な時間は膨大であり、必要なリソースは言うまでもない。ソフトウェアには700以上の脆弱性が導入され得るが、これら全てに対抗することは誰にも不可能だ。まさにこの理由から、ほとんどの企業はOWASPトップ10のみに焦点を当てることを堅持している。一方、開発者は機能構築を続けており、その結果、彼らが書くコードには絶えず脆弱性が導入され続けている。
解決策は何ですか?
単純な事実として、我々は開発者に安全なコーディングを成功させるためのツールやトレーニングを提供していない。組織が開発者に十分なセキュリティスキルを保証することを義務付ける規制は存在せず、悲しい現実として、ほとんどの大学や実習機関も初級開発者に安全なコーディングの準備を整えていない。
誰かが飛行機を操縦しようとする場合、非常に厳格なプロセスが存在し、飛行前に訓練、実務経験、健康診断、安全知識、検査を受けることが保証されている。これほど包括的な準備と技能検証なしに、彼らが野放しにされるなど誰も想像しないだろう。しかし、これがコード記述において毎日起きていることなのである。
開発者に安全なコードの書き方を教育するには時間を要します。しかし現代では、ソフトウェア開発のペースが速く、優秀な開発者とセキュリティ専門家が不足しているため、これは決して優先事項とは見なされてきませんでした。今こそ、この対話を変える時です。
最近のヘッドラインニュースは世界経済フォーラムが「安全がなければデジタル経済はありえない」と警鐘を鳴らすもので、付随する内容はセキュリティがいかなるデジタル変革戦略においても中核をなす要素でなければならないと主張している。「セキュリティは企業を守る鍵であり、革新を可能にし、新製品やサービスを開発させる。防御的役割に加え、セキュリティは企業に戦略的成長優位性をもたらす」
セキュリティコーディングのスキルと成果を高めることは、組織に強力なサイバー保護層を追加し、より優れたコードをより迅速に作成する手助けとなります。開発者はセキュリティの専門家である必要はありませんが、サイバー攻撃に対する最初の防衛線となるためには、積極的かつ実践的な能力を獲得しなければなりません。開発者は次のセキュリティとイノベーションのヒーローとなる可能性があります。彼らは非常に賢く、創造的な問題解決者であり、一般的に自身のスキル向上に熱心です。適切な専門トレーニングを通じて強みを発揮し、より高いソフトウェアセキュリティ基準に取り組むのです。 詳細については、当社のホワイトペーパーをご覧ください。
誰かが飛行機を操縦しようとする場合、非常に厳格なプロセスが存在し、飛行前に訓練、実務経験、健康診断、安全知識、検査を受けることが保証されている。これほど包括的な準備と技能検証なしに、彼らが野放しにされるなど誰も想像しないだろう。しかし、これがコード記述において毎日起きていることなのである。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
