アプリの可用性、整合性、機密性を確保する方法

7 分 読む

過去 40 年間で、ソフトウェアは進化してきました。 メインフレームの時代、ユーザーは大規模なマルチユーザー システム上で集中的に保存されたプログラムにアクセスしていました。 しかし、1990 年代には、典型的なapplicationは段ボール箱にシュリンクラップされたプラスチック ディスクで提供され、ローカルにインストールされ、まれにしか更新されませんでした。

ある意味では、私たちは一周回って戻ってきました。つまり、applicationsは再びネットワーク経由で配信されることが多くなり、application開発者は運用上の役割にますます関与し、自分で開発したアプリケーションのセキュリティを確保するようになりました。 常時稼働のアプリケーション・アズ・ア・サービスの世界では、ソフトウェアの脆弱性がすぐに悪用され、単純な DDoS 攻撃によってサービスが中断される可能性があります。

独自のapplicationsを開発する企業の場合、プログラマーはエンドツーエンドの安全なソフトウェア開発ライフサイクル (SDLC) の一環としてソフトウェアを作成する必要があります。 これは、ソフトウェアの攻撃対象領域を減らし、脆弱性を排除し、より安全に設計およびプログラミングできるように開発者をトレーニングすることに重点を置くことを意味します。

アクセス制御とコアセキュリティ原則の適用

同時に、企業はクラウドapplicationsを安全に管理する必要がある運用テクノロジーとして扱う必要もあります。 クラウドapplicationsは常に接続されているため、簡単に標的にされる可能性があり、脆弱性をタイムリーに特定して排除することが重要になります。 脅威に先手を打つには、企業は脆弱性を特定して優先順位を決定し、Webapplicationファイアウォール (WAF) を使用して迅速に修復を自動化できる脆弱性管理プロセスを導入する必要があります。 WAF は、開発チームがコードの修正に取り組んでいる間に攻撃をブロックすることで企業の時間を稼ぐことができる重要なWebセキュリティ制御です。

アプリ セキュリティの一般的な脆弱性管理の議論以外に、他に何を考慮すべきでしょうか? 出発点は適切なアクセス制御を設定することです。 認証、承認、アカウンティング (AAA) フレームワークは、SSO や多要素認証などの機能を使用して、デフォルトで強力な認証を要求することを保証するための重要なガイドです。 さらに、少なくとも 3 つのロール (権限のないユーザー、権限のあるユーザー、管理者など) を含む強力なロールベースのアクセス制御 (RBAC) に基づいてユーザーを承認すると、意図しないインシデントを減らすのに役立ちます。 また、インシデントが発生した場合、イベントを適切にログに記録しておくことで、使用されたアカウントやその発生元のシステムなど、解決のための重要な詳細を取得するのに役立ちます。

AAA フレームワークと並行して、CIA セキュリティ原則 (機密性、整合性、可用性) の観点からアプリのセキュリティを検討すると、企業がapplicationsを保護し、サービスを継続して実行するために実行する必要がある追加の手順が明らかになります。

1. 可用性 -applicationの稼働を維持する

従業員のクラウドapplicationsへの依存が高まるにつれ、クラウド サービスの可用性がビジネス運営にとって重要になっています。 DDoS 攻撃はかつては迷惑な存在でしたが、今ではビジネス運営を混乱させるほど大きな影響力を持っています。

推奨事項:

• ネットワークのエッジで攻撃をブロックするように設計された DDoS 緩和サービスを使用します。 攻撃が発生した場合、このようなシステムでは、クラウド使用量の急増によるトラフィックの追加料金が発生しないため、実際にコストを節約できます。
• 変更管理のプロセスを実装します。 多くの企業が、インフラに欠陥のあるアップデートを強行した結果、自社のサービスに障害を引き起こしました。
• WAF または DDoS 保護アプライアンスを使用して、レイヤー 7 (アプリケーション レベル) 攻撃を防ぎます。

2. 整合性 - アプリが意図したとおりに動作していることを確認する

デジタルの扉を開いたままにしておくことは、企業にとって最優先事項です。 悪者を締め出すことが2番目です。 開発チームと運用チームは、上記の AAA で説明したように、すべてのapplicationsとデータにアクセスするための安全な基盤を構築する必要があります。 また、意図しない変更によってアプリがデータの整合性に影響を与えるような動作をすることがないように、変更管理も管理する必要があります。

推奨事項:

• WebSafe や WAF などのツールを実装すると、悪意のある攻撃者がapplicationに不正なデータを挿入する能力が制限され、あらゆる脅威から保護されて損失や露出を減らすことができます。
• データの完全性をチェックするapplicationコントロールは、上流のコントロールの 1 つが失敗したかどうかを監視する優れた方法でもあります。
• application構成の自動テストにより、欠陥のある変更が実装されたときにすぐに操作に警告することができます。

3. 機密性 - クラウドで秘密を守る

データの機密性は、クラウド内かデータセンター内のオンプレミスかを問わず、収集、転送、保存の段階で考慮する必要があります。 WAF を含む脆弱性管理は、applicationの悪用によってアプリやアプリ内のデータの機密性が侵害されるのを防ぐために導入する必要がある主要な制御です。 最近では、ユーザーと Webapplicationサーバー間の通信を暗号化するために TLS テクノロジを使用しない理由はありません。 クラウドまたはオンプレミスに保存されるデータも、不正アクセスを防ぐために完全に暗号化する必要があります。

推奨事項:

• デフォルトで TLS/SSL を有効にします。 どこでも HTTPS!
• 保存中の重要なデータ、特にバックエンドの資格情報ストアを強力に暗号化します。 単純なパスワードハッシュはもはや受け入れられません。 少なくとも、ハッシュとソルト、またはより強力な暗号化メカニズムを実装する必要があります。
• 欠陥を検出してトリアージするための徹底的な脆弱性管理プログラムを実装します。 パッチ展開間の脆弱性をカバーするために、WAF の仮想パッチ適用機能が強く推奨されます。
• クラウドapplicationsとインフラストラクチャのセキュリティ保護は複雑ですが、AAA と CIA の観点から見ると、セキュリティ専門家は総合的にこの分野にアプローチし、全体的なセキュリティ戦略をサポートするアクションを実行できます。

プレストン・ホーグはシニアです。 F5 Networks のセキュリティ マーケティング ディレクター。 プレストンは、F5 Labsapplication脅威インテリジェンス チームの監督を含む、グローバル セキュリティ キャンペーン、エバンジェリズム、思想的リーダーシップを担当しています。 プレストンは、複雑なセキュリティ プログラムの開発、実装、管理、リスク分析と管理の設計、規制とコンプライアンスの要件に対応するプログラムの実装など、情報セキュリティの分野で 20 年以上の経験を持っています。