Webアプリケーションの脆弱性~アプリを危険にさらす3つの行為

Webアプリケーションは、顧客ロイヤルティと従業員の生産性を高めてくれるすばらしい存在です。

ですが、それらのアプリケーションはすべて信頼できるものでしょうか。 残念ながら、そうとはいえません。

アプリケーションが市場に出るまでの間、パフォーマンスの良し悪しや、ユーザが実際に使ってくれるのか等々、開発者はしきりに気にかけています。一方で、気付かないうちに見過ごしてしまっているものもあります。セキュリティです。企業が頼りにしているアプリケーションには、ビジネスを危険にさらす脆弱性が含まれている可能性があります。

ここでは高度なテクニックを駆使して抜け穴をつき、損害をもたらす狡猾なサイバー犯罪のことを言っているのではありません。これらの攻撃はニュースにはなるものの、よくある一般的なものとはまた別のものです。

企業が頼りにしているアプリケーションには、ビジネスを危険にさらす脆弱性が含まれる可能性がある。

ここで取り上げるのは、ごくありふれた、自動実行型の攻撃です。これを読んでいる間にも、ハッカーはWebサイトの自動スキャンを設定しているかもしれません。後は、コーヒーでも飲んでいる間に、攻撃ターゲットの長いリストが作成されるというわけです。成功に終わった攻撃全体の85%を、ハッカーの間でよく知られた10種の一般的な脆弱性が占めています。どの企業がいつ被害者になっても不思議はありません。

<40%

社内で開発されたアプリケーションのうちセキュリティ要件を満たしているものは40%足らず。

自分の財布を無防備に置きっぱなしにしておくという人はいないはずです。アプリケーションに対しても同じ配慮が必要です。ハッカーの侵入を許してしまう行為には以下の3つがあります。

1. コードレベルのセキュリティ対策がなされていない

アプリケーションがユーザの手元に渡ってから不具合を修正するのではなく、開発者を教育し、問題を事前に防止することのほうがはるかに簡単です。にもかかわらず、安全なコーディングを実践している例はまだまだ少ないのが現状です。

ある調査で、アプリケーション開発者の基本的なセキュリティの理解度をテストしたところ、大半が合格点に達することができませんでした。社会人になってからセキュリティ・トレーニングを受けた時間が1日未満という開発者が半数を占めることを考えれば、当然の結果といえるかもしれません。なぜこれほどわずかなトレーニングしか行われていないのでしょうか。 たいていの場合、経営陣にはほかに優先事項があるからです。

2. アプリケーションの脆弱性に気づくのが遅れる

Symantecによると、毎週、新しいゼロデイ脆弱性が見つかっているとのことです。安全なコーディングは対策の第1歩ではありますが、特効薬というわけではありません。たとえこれを実践していたとしても、エラーはアプリに紛れ込んでしまいます。では、どうすればいいのでしょうか。 ハッカーより先に脆弱性を見つけるのです。つまり、徹底的にテストを行う必要があります。

Veracodeによると、社内で開発されたアプリケーションのうち、最初のテストでセキュリティ要件を満たしているものは40%足らずということです。サードパーティのアプリケーションとなると、その比率はさらに下がり、わずか28%となっています。とにかく、テストと修正を繰り返し行うようにしましょう。多くのツールが提供されています。安全なコーディングに加えて、脆弱性のテストを行うことで、リスクを大幅に軽減することができます。

3. 既知の脆弱性の修復に時間がかかる

WhiteHat Securityによると、過半数の企業がセキュリティ欠陥の修正に200日以上過半数の企業がセキュリティ欠陥の修正に200日以上を要しておりそのうち2/3が見つかった脆弱性の40%しか修復できていません。200日――つまり半年以上――という時間は、ハッカーが機密データの盗み出し、漏洩、悪用や、アプリの改ざんといった攻撃を実行するのに十分な長さです。

最善の戦略

Webアプリケーション・ファイアウォール(WAF)をインストールすることで、アプリケーションの修正にかかる時間を節約できます。WAFは、Webトラフィック(HTTP/S)とWebアプリケーションを狙った攻撃をブロックするための、ハードウェア型もしくはソフトウェア型のファイアウォールです。多くのWAFがWebアプリケーション脆弱性スキャニングサービスと統合されており、Webアプリケーションの脆弱性に対し、自動でパッチが適用されるようになっています。またWAF-as-a-serviceを契約することで、手間のかかるWAF管理を知識の豊富なサードパーティに委託することも可能です。

追記

IT予算を賢く使えていますか? SANS Instituteの『2016 Report on Application Security』レポートによると、一般的に提供されるWebアプリケーションはデータ侵害の重大な原因となっています。にもかかわらず、過半数(51%)の企業が、IT予算全体の1%未満しかアプリケーションのセキュリティに投じていない、もしくは、いくら投じているかわからないと回答しています。

これは驚くべき事実です。

企業のアプリケーションはハッカーとの戦いの最前線に位置しています。アプリケーションの保護に十分な予算を割り当て、上述の3つの課題に対処することで、リスクを緩和することができます。