ブログ

アプリのセキュリティ保護はSDLCパイプラインのセキュリティ保護から始まります

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2019年8月19日公開

現代の開発手法では、開発ライフサイクルの自動化が進んでいます。 IDE からコード リポジトリ、自動ビルドとスキャンから本番環境へのリリースまで、ツールが連携して継続的な配信パイプラインを形成します。

リポジトリは、コードを保存する場所として、また配信プロセスを構成するイベントを開始する場所として機能します。 コードがコミットされると、セキュリティ スキャンが実行される場合があります。 構成が変更されると、適切なインフラストラクチャに自動的にプッシュされ、すぐに展開されます。

これらのツールは開発、配信、展開のプロセスをスピードアップさせており、ますます「クラウド内」で利用されるようになっています。 オンプレミスに存在するものは、増加するリモート開発者のコミュニティをサポートするために、インターネット経由でアクセスできることがよくあります。 ほとんどの組織は、リポジトリへの認証アクセスを要求するほどセキュリティに精通していますが、必ずしも最新の脅威からそのアクセスを保護することが行われていません。

現代の脅威の 1 つに、クレデンシャル スタッフィングがあります。 一般的には企業リソースに対するリスクとして考えられますが、現実には、インターネット経由でアクセスできる認証システムはすべて侵害されるリスクがあります。 開発者が安全なパスワード慣行を適用する可能性は、他の IT プロフェッショナルと比べてそれほど高くも低くもありません。 インターネット上ではパスワードの再利用が一般的であり、数十億の認証情報が公開されると、攻撃者は豊富なリソースを活用してさまざまなシステムにアクセスできるようになります。 この格言を暴露するこの記事を検討してください: 「ロンドンのインフォセキュリティ カンファレンス 2018Lastline306 人の情報セキュリティ専門家を対象に行った調査では、45% の人がセキュリティ上の最大の大罪の 1 つであるアカウント間でのパスワードの再利用を犯していることがわかりました。」 セキュリティ専門家のほぼ半数がパスワードを再利用しているのなら、開発者を含む IT コミュニティの残りの人々のプロフィールがどのようなものになるか想像してみてください。

実存的に、米国での悪名高いデータ侵害。 2014 年に始まった人事管理局 (OPM) 攻撃は、特権ユーザーの資格情報を侵害することに成功した攻撃者によって実行されました。 攻撃者がこれらの認証情報を盗み出すことに成功すると、OPM のサーバーに保存されている機密情報にアクセスできるだけでなく、米国のサーバーやインフラストラクチャに横方向に移動することも可能になりました。 内務省でも同様に大混乱を引き起こした。

SDLC を構成するシステムやサービスにアクセスすると、攻撃者はいわば井戸に毒を注入できるようになります。 ソースコードにアクセスできれば、悪意のある動作の挿入やアイデアの盗難は簡単に実行できます。 

この脅威に対抗するために、組織はゼロトラストアーキテクチャの概念をソフトウェア開発パイプラインのツールに拡張することを検討する必要があります。 IDE からクラウド管理コンソール、コード リポジトリに至るまで、特権ユーザー アクセスを使用すると、MFA/CAC に基づく強力なセキュリティ プラクティスを適用できます。

特権ユーザー アクセスと SDLC パイプライン

特権ユーザー アクセス (PUA) は、基本的に SAML を使用しないフェデレーションであり、アプリケーションが何らかの特殊な認証方法をサポートする必要もありません。 ゼロトラストの原則をレガシー アプリに拡張できるだけでなく、最新の Web ベースのアプリケーションもサポートできます。

このソリューションは、資格情報プロキシとして機能する F5 Access Policy Manager (APM) の機能と、一時的な資格情報を自動的に一般化する機能に基づいています。 簡単に言うと、ユーザーは企業の資格情報ストア (ドメイン コントローラー、LDAP) に対して認証され、その後 APM は保護されたシステムにログインするために使用できる一時的な資格情報を生成します。 開発パイプラインの場合、これはBitbucketGitHubGitLabなどのコード リポジトリになります。 このアプローチにより、開発者に大量のプロセスオーバーヘッドを発生させることなく、リポジトリへのアクセスをより厳密に制御できます。 

PUA-SDLC について

  1. ユーザーはBIG-IPに資格情報を提供する
  2. BIG-IPはIaaSまたはオンプレミスのディレクトリサービスに対してユーザー資格情報を検証します
  3. BIG-IPは認証されたユーザーに一時的な認証情報を提供します
  4. IDE またはブラウザ経由でリポジトリに一時的なユーザー認証情報を送信する
  5. リポジトリはユーザー名と一時的な認証情報をBIG-IPに渡して検証します。
  6. BIG-IPは検証を返します
  7. ユーザーはリポジトリに正常にログインしました

機密データにはコードを含める必要があります。 つまり、データと同様に、コードへのアクセスも保護される必要があります。 コードはデジタル ビジネスの中心であり、配信パイプラインはますます攻撃ベクトルと見なされるようになっています。 特権ユーザー アクセス モデルを導入することで、資格情報とその背後にいるユーザーの両方が正当であることをより確信できるようになります。

F5 APM の詳細については、こちらをご覧ください。