学び1:アプリケーション・セキュリティ・テストをアウトソーシングする組織が増えています
企業はさまざまな理由でサードパーティのアプリケーション・セキュリティ・テスト・サービスを利用していますが、最大の理由の1つは、訓練を受けた、あるいは経験豊富なセキュリティ専門家が不足していることです。サイバーセキュリティ専門組織の (ISC)2 によれば、サイバーセキュリティ技術者の継続的な不足により、より多くの組織がサイバーセキュリティのニーズにサービスとして対応するようになる可能性があります。また、人員不足を経験している調査回答者の 70%が、サイバーセキュリティのギャップを埋めるためにサードパーティのサービスを使用することを期待していると、(ISC)2 は指摘しています。
そして、そのギャップを埋める必要があることは間違いありません。Forresterのレポート「The State of Application Security: 2022」によれば、Web アプリケーションのエクスプロイトが、一般的なサイバーセキュリティ攻撃で3 番目に利用されていると指摘しています。シノプシスは、年次レポート「ソフトウェア脆弱性スナップショット」作成のために実施した、アプリケーション・セキュリティ・テスト(AST)サービスを利用した4,000余りのテストの95%で、対象アプリケーションの何らかの脆弱性を発見しました。
シノプシスのASTサービスによるテストは、実行中のアプリケーションを実際の攻撃者が行うように調査して脆弱性を特定し、トリアージして必要に応じた修正を行うことを目的としています。
このように曝露している実行中の Webアプリケーションを、攻撃者と同じ方法で調査することで、脆弱性が外部の誰かによって悪用される前に特定して対処する必要があるということです。
また、一部の組織では、独自のテストによる検証を通して、内部のセキュリティ対策が機能しているかどうか確認することができます。さらに、第三者によるアセスメントを義務付ける規制やビジネス要件に準拠する必要がある場合、たとえば、Payment Card Industry Data Security Standard (PCI DSS) では、定期的に、あるいはソフトウェアやシステムに大幅な変更を加えた後にペネトレーションテストを行う必要があります。
2022 年の BSIMM13 トレンド&インサイト・レポートでは、Building Software in Maturity Model(BSIMM)プロジェクトに参加している組織の 88% が、外部のペネトレーションテストを利用して問題を発見していることがわかりました。ペネトレーションテストは、開発時のテストでは見逃された可能性がある問題を明らかにし、組織のセキュリティツールセットで不足しているテストをハイライトしてくれる可能性があります。 動的アプリケーション・セキュリティ・テスト(DAST)やペネトレーション・テストで明らかになったセキュリティ上の欠陥を静的解析ツールが捕捉できない場合、組織の全体的なセキュリティテストに問題がある可能性があります。
学び2:サイバーセキュリティは常に「人」が必要です
「Software Vulnerability Snapshot(ソフトウェア脆弱性スナップショット)」レポートを作成するために、シノプシスのCybersecurity Research Center(CyRC)の研究者は、シノプシスのAST サービスによってテストされた商用ソフトウェア システムとアプリケーションから得られた匿名化されたデータを調査しました。今年のレポートには、2,700 の対象ソフトウェアとシステムに対して実施された 4,000 以上のテストのデータも含まれていますが、ほとんどのテストは、ペネトレーションテスト、動的アプリケーション・セキュリティ・テスト(DAST)、そしてモバイル・アプリケーション・セキュリティ・テスト(MAST)を含む、侵入型の「ブラックボックス」および「グレーボックス」テストでした。
また、ASTサービスで実施したテストの 64% はペネトレーションテストでした。これは、アプリケーションまたはシステムのセキュリティを評価するために設計されたシミュレートされた攻撃で、ソフトウェアの最終開発段階またはデプロイ後に実行時の脆弱性を見つけて修正することができます。しかし、ペネトレーションテストは「人的リソース」が必要です。なぜなら、 自動化されたテストツールでは簡単に検出できない一部の脆弱性を、専門知識と十分な経験を有する「人」によって、見つけ出すことが可能になるからです。
DAST と MAST もテストに使用されました。MAST は、モバイルデバイスと対応するサーバーサイドのシステムで実行されているアプリケーションの脆弱性を発見するために使用されます。
DAST の主な目的は、実行中の Web アプリケーションをテストしてSQL インジェクションやクロスサイト・スクリプティング(XSS)などの脆弱性を発見することです。実行中の Web アプリケーションで悪用される脆弱性の多くは、ソースコード上に存在しません。それらは、本番環境にデプロイされた後に発現します。この問題に対処するため、DAST はアプリケーション・セキュリティ・テスト・プログラムにおける必須テストになります。
前述のとおり、ソフトウェア・セキュリティの全体像を把握するには、「人」の知識や経験が必要となります。シノプシスの DASTによる評価では、認証とセッション管理、アクセス制御、および情報漏洩に関連する一部の脆弱性など、一般的なソフトウェア・テストツールでは検出できない脆弱性を発見するための手動テストが含まれています。
学び3:機密性の高いネットワークトラフィックの保護を改善する必要がある
アプリケーションは、機密性の高いネットワークトラフィックの整合性を保護出来ないことがあります。たとえば、脆弱な SSL/TLS 構成はテスト対象の 82% に何らかの形の脆弱性が含まれており、AST サービスによるテストで見つかった脆弱性で最も多く発見されました。また、テストの種類別に分類すると、ペネトレーションテストでは、テスト対象の 77% から、DASTでは 81%、MASTでは 32% で脆弱な SSL/TLS 構成を検出しました。
ペネトレーションテストと DASTの両方で、テスト対象全体の 22% が XSS攻撃に曝露されていることがわかりました。XSS攻撃は、Web アプリケーションに影響を与える最も一般的で、リスクレベルが高あるいは重な脆弱性の 1 つです。そして、ほとんどの XSS 脆弱性は、アプリケーションの実行中にのみ発現します。
学び4:全ての種類のアプリケーション・セキュリティ・テストを用いる必要がある
組織におけるサイバーセキュリティのギャップが気になる場合は、サードパーティの AST サービスを利用してギャップに対処する必要があるかもしれません。サービスには、ビルド時の静的解析(SAST)、マニュアル・コード レビュー、QA/統合テストでの動的テスト(DAST)、ステージングや本番環境へのデプロイ時のペネトレーションテストを含む場合もあります。
ソフトウェアやアプリケーションが、市販のサードパーティソフトウェア、オープンソース、または社内で開発されたものであるかどうかに関係なく、さまざまなテストを組み合わせて実施することで、ソフトウェアの欠陥を修正し、既知の脆弱性を特定することができるのです。
The Software Vulnerability Snapshot
Continue Reading
2024 OSSRA レポート:オープンソース・コンポーネントの古いコードのリスク
Apr 17, 2024 / 1 min read
![[CyRC脆弱性勧告]CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性](https://images.synopsys.com/is/image/synopsys/cyrc-advisory-open5gs-gtp-library?ts=1697087353416&$responsive$)
