ブログ

アプリのセキュリティに含まれない 3 つのこと

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2017 年 6 月 20 日公開

アプリのセキュリティにはさまざまな要素が含まれますが、飽くなき需要を満たすために開発および展開されるアプリケーションの量と頻度が増加し続けている場合は特に、立ち止まってセキュリティで保護されていない要素について検討する必要があります。

1. 優先度は高くないが、優先度は高い

Arxan と IBM が IoT とモバイル アプリケーションのセキュリティについて実施した調査では、回答者の 44% が、攻撃を防ぐために何もしていないと認めました。 これらの回答をアプリケーション ポートフォリオのごく一部に関連するものとして無視しないよう、Web セキュリティ統計に関するWhiteHat Security の重要な年次レポートを検討してみましょう。このレポートでは、「保険アプリケーションの約 3 分の 1、銀行および金融サービス アプリケーションの約 40%、ヘルスケアおよび小売アプリケーションの約半分、製造、食品および飲料、IT アプリケーションの半分以上が常に脆弱である」ことがわかっています。

WhiteHat Security の専門用語では、「常に脆弱」とは、「年間を通じて毎日脆弱である」と定義されています。 

さらに、同じレポートでは、「平均的な修正時間は業界によって約 100 日から 245 日まで異なります」と報告されています。 小売業とヘルスケアの場合は約200日です。 テクノロジーと IT はさらに遅れており、脆弱性の修正には平均 250 日かかります。

セキュリティに対する最初の自由放任主義的なアプローチが、後者のアプローチを非常に受け入れ難いものにしているのです。 アプリのセキュリティが優先順位の上位にない場合、アプリケーション (またはアプリケーションにデータを提供する API) のかなりの割合が脆弱である可能性が高くなります。

2. アプリだけじゃない

アプリのセキュリティはアプリケーションだけに関係する、という誤解があります。 アプリがスタンドアロンのエンティティである場合、おそらくそれは真実でしょう。 しかし、アプリはプラットフォーム上に展開され、サードパーティのスクリプトと API に依存し、データ管理を担当するシステムと統合されます。 つまり、アプリのセキュリティはスタックである アプリ自体だけでなく、すべてのコンポーネントに細心の注意を払う必要があります。 OWASP Top Ten はアプリの出発点としては良いですが、プラットフォームのプロトコル レベル (TCP、HTTP、TLS) の脆弱性が過去 10 年間で大きな悩みの種となってきたことを無視してはなりません。

また、ボリューム型ネットワーク攻撃と、より悪質なシステムおよびアプリ層攻撃との関係も無視できません。 Dark Reading は最近の記事でこの相関関係を指摘しました。

影響を受けた組織のほぼ半数が、DDoS 攻撃が、データ盗難やランサムウェアなど、ネットワーク上の何らかの侵害や悪意のある活動と同時に発生したと述べています。 たとえば、47% が DDoS 攻撃後にネットワーク上でウイルス活動を発見したと報告し、43% がマルウェアがアクティブになったと報告し、32% が顧客データの盗難を報告しています。

ダークリーディング、DDoS 攻撃が急増、組織は対応に苦戦

アプリのセキュリティには、アプリを拡張および保護するネットワーク、データ、サービスを含むアプリ アーキテクチャ全体に注意を払う必要があります。

3. 他人の問題ではない 

soad-セキュリティ-クラウド-採用-2017

2017 年のアプリケーション配信の現状に関する調査によると、5 社に 1 社の組織がアプリケーションの 50% 以上をクラウドでホストすることを計画しており、アプリのセキュリティ保護はより困難になっています。 アプリを「クラウド」に配布すると、セキュリティの負担の一部、特にネットワークおよびシステム レベルのコンポーネントの責任が再分配される可能性があります。 ただし、アプリとそのプラットフォーム、およびアプリが依存する外部スクリプトとリソースについては、依然として開発者の責任となります。 オンプレミスと同じレベルのセキュリティをクラウドでも確保することは、特にポリシー レベルでオンプレミスと互換性のないネイティブ クラウド サービスを混在させる場合には困難です。

しかし、これは、オンプレミスとクラウド全体でこれらのポリシーを適用するサービスの一貫性を確保するか、アプリのセキュリティ義務を、両方で同時に一貫性を提供できるサービスベースの提供に移行するか、クラウドネイティブ サービスに同等のポリシーを慎重に手作業で作成するかのいずれかの方法で対処する必要がある課題です。

どのようなルートを選択しても、責任はあなたにあります。

ブランドの評判、消費者の信頼、将来の悪用の可能性(資格情報が盗まれた場合)といった点での侵害の影響を考えると、アプリのセキュリティはこれまで以上に重要になります。 それを最後の最後まで放置したり、誰かが対処してくれるだろうと想定したりするのは、災難を招く原因になります。 クラウドとクラウドをサポートするサービスが提供するアーキテクチャオプションを活用しながら、その重要性を認識し、テストと修復を優先することで、リスクを大幅に軽減できます。

アプリのセキュリティはオプションではありません。