ブログ

アプリのセキュリティ: 曇りの部屋の象

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2015 年 6 月 1 日公開

雲の中の象

よし、子供たち。 今こそ「その話」をするべき時です。 ご存知でしょうが、それは友達とささやきあっているけれど、これまでは実際に聞くのが怖かったものです。もちろん他のみんなも知っているし、本当に知らないと認めてかっこ悪い印象を与えたくなかったからです。  

ただし、彼らはそれを知らないか、少なくとも知っていたとしても、それについて話したりはしません。 クラウドを使用する際に適切な予防策を講じることについて話し合う時期はとうに過ぎています。 クラウド内のアプリを感染や攻撃から保護する方法をご存知ですか。

はい、今日はついにクラウドにおけるapplicationセキュリティについてお話します。

暗号化ではありません。 アイデンティティとアクセス管理ではありません。 ネットワークセキュリティではありません。

 

applicationのセキュリティ。

現在、広大なインターネット上には「クラウド セキュリティ」に関するあらゆるドキュメント、調査、アドバイス、一般的な議論が存在しますが、その中で「アプリ セキュリティ」という言葉に言及しているものはほとんどありません*。  暗号化の使用、クラウド内のデータを誰が保護すべきか(または保護していないか)、どこからでもアプリへのアクセスを制御するために誰がどのような ID およびアクセス管理を使用しているかに関する調査と統計を見つけることができます。 しかし、applicationセキュリティについてはどうでしょうか? ナダ。 何もない。 ゼロ。 ゼロ。

最新のVerizon データ侵害調査レポート (DBIR) によると、Web アプリは金融サービスにおけるセキュリティ インシデントの第 2 位の原因であり、悪意のあるクライムウェアに次いでいることを考えると、これは実に驚くべき (そして不安な) ことです。  今世紀のトップ 25 の侵害について少し分析したところ、ほぼ半数(44%) が Webapplicationを通じて実行されたことが判明し、驚きました。 また、セキュリティ体制の低下とapplicationsのクラウドへの移行の間には相関関係があるように思われることも残念です。

現実には、暗号化は万能薬ではありません。

これがどれほど深刻であるかを強調するために、今度はすべて大文字で繰り返します。 暗号化は万能薬ではありません。

ネットワーク セキュリティや ID およびアクセス管理も同様です。

これらはすべて良いことですが、個別に見ると、はるかに大きな保護スキームの一部にすぎません。 applicationセキュリティを組み込む必要があるが、組み込まれていないことが多い保護スキーム。

ネットワーク セキュリティではHTTP DDoS 攻撃を阻止することはできません。 アイデンティティとアクセス管理では、 HeartbleedApache Killerのような Web プラットフォームの脆弱性の悪用を阻止することはできません。

暗号化では SQLi を阻止できません。 悪意のあるコードを暗号化すると、そのコードを検出するためにネットワーク内で設計された無数のサービスからそのコードが隠されるだけです

applicationは、その目的上、一般向けのリソースです。 私たちはそれを世に出し、消費者がそれと関わることを期待し、いや、奨励し、誘惑し、懇願します。 それを使用するためです。 インストールします。 頻繁に訪れること。 これはapplicationの世界であり、顧客対応、従業員対応、社内システムの実行など、ビジネスのあらゆる側面においてapplicationsが重要であることを意味します。 私たちは今日、ほとんどすべてのことをapplicationsに依存していますが、セキュリティについて言及すると、それを忘れてしまうようです。

今こそ、データ セキュリティやネットワーク セキュリティ、暗号化された通信だけでなく、applicationセキュリティにももっと注意を払い始めるべき時です。 データは、application内で処理されているときに最も脆弱になります。 その時点ではプレーンテキストであり、完全にそのapplicationの制御下にあるためです。 applicationは、それを表示、変更し、それを引き出すことができる人(ボット、スパイダー、マルウェアの増加を考えると、ますます何にでも)に配信することができます。

つまり、applicationsを悪用や攻撃から保護することにさらに注意を払う必要があるということです。 プラットフォーム (Web またはアプリ サーバー) からプロトコル (TCP および HTTP)、実際のコード自体まで。 applicationスタック全体を悪用する攻撃で使用されるさまざまな方法をスキャンして検査し、検出して防御する必要があります。

F-Secure Labs によると、Webapplication攻撃の頻度は 2012 年の 20% 未満から 2013 年には 40% に倍増しており、Neustar は 2014 年に、DDoS 攻撃の標的の 55% がスモークスクリーン (実際のapplication層攻撃を隠蔽するためのボリューム型 DDoS) を経験し、約 50% にマルウェア/ウイルスがインストールされ、26% が顧客データを損失したことを発見しました。

application攻撃は現実的かつ重大な脅威であり、特にクラウドに移行すると、アプリケーションを保護するための選択肢が少なくなる可能性があるため、その脅威は大きくなります。

セキュリティに重点を置いたクラウドで利用できるネイティブ サービスは、アクセスと暗号化に重点を置いています。 いずれも「application層」のセキュリティではなく、application自体を悪用してデータを無効化、破壊、または盗み出すことを目的とした攻撃に耐えるために必要な範囲をカバーするものではありません。 つまり、別のソリューション、つまり、データ センターと同様にクラウドで処理するapplicationsとデータを保護するように設計された別のサービスが必要になります。 これは、クラウド対応のWAF (Webapplicationファイアウォール)またはWAF as a Service を意味する場合もあれば、少なくともクラウドに展開されるすべてのapplicationにOWASPが推奨するベスト プラクティスを徹底的にapplicationことを意味する場合もあります。

クラウド セキュリティは、プロバイダーと顧客が「クラウド」のセキュリティ保護のさまざまな側面を担当する共同責任として考えることができますが、applicationセキュリティは、そもそもそのapplicationをクラウドに配置した人が 110% 責任を負います。 AWS のグローバル セキュリティ プログラム責任者である Bill Murray 氏 (強調は筆者) への以下のインタビュー ( The Register経由) を検討してください。

「AWS のセキュリティは AWS と顧客の共同責任です」とマレー氏は最近のインタビューで語った。 彼は、Amazon データセンターの物理的なセキュリティを含む AWS セキュリティを担当しており、法執行機関からの令状や召喚状も処理しています。

「AWS で実行するゲスト オペレーティング システムから実行中のapplicationsに至るまで、すべてを保護する責任はお客様にあります」と同氏はEl Regに語った。「当社はホスト OS と VM、そしてデータ センターの床のコンクリートに至るまですべてに責任があります。」

「私たちはよくこの質問を受けます。 「夜眠れないのはなぜですか?」 AWS のセキュリティに関して私たちが夜も眠れないのは、顧客がセキュリティを確保するためにapplicationsを正しく設定していないからです」とマレー氏は言います。

つまり、必然的に襲い掛かる攻撃からapplicationを保護するために、どのようなサービスやソリューションを導入するかを慎重に検討する必要があるということです。

applicationセキュリティは高価なボディーガードのようなものではありません。 これは VIP アプリだけが取得できるものではありません。 これは個人的なセキュリティのようなもので、公開されるすべてのapplicationに備わっている必要があります。 これは、アプリがデータセンター内にあるかクラウド内にあるかに関係なく当てはまります。

※「非常に少ない」と言いましたが、正直言って一つも見つけられませんでした。 おそらくそれは私の Google スキルが衰えているからだろうが、それよりも、誰もそれについて話したがらないからだろう。