ネットに公開されている資産とウェブアプリのサイバーリスクの軽減に向けた 4 つの質問

ネット上で公開されている資産やウェブアプリのサイバーリスクの軽減について、下の 4 つの質問から答えを探ってみます。

ネットで公開されている資産やウェブアプリに対するサイバー攻撃は後を絶たず、終息の兆しもありません。Verizon がまとめた 2020 年のデータ侵害調査報告書 (2020 Verizon DBIR) によると、データ侵害の 43% がウェブアプリの攻撃に関連よるものでした。自動的に攻撃を仕掛ける新しいツールが出現し、特定のセキュリティホールを狙う、潤沢な資金源のある巧妙で悪質なハッカーも存在する状況で、悪者は、今までになく簡単に企業に攻撃を仕掛けて防御体制の強度を試すことができます。

ウェブアプリのセキュリティは、企業の対応にかかっています。企業にとって、攻撃者が発見して悪用できそうな企業ネットワーク内の脆弱点を理解することが第一の基本です。その理解があれば、適切なパッチ、コード修正を先行的に適用して、場合によっては代替コントロールの導入も加えて脅威を緩和することができます。

以下の 4 つの質問は、ネットで公開されている資産とウェブアプリのリスクを、各々異なる視点で捉えています。

1. ネット上で公開されている資産のリスクはどの程度だろうか?

まず、ネット上で公開されている資産のリスク評価方法を見てみましょう。理想を言えば、外部アクセスは、できるだけ少数の資産に限るべきです。公開リスクを確認するスキャンを活用すれば、外部アクセスを極力制限していることが検証できます。また、公開リスクのスキャンにはもう 1 つ利点があって、それは、ネットワーク内で実行している代替コントロールが機能していることの検証です。

実に些細な情報でも、外部に公開されれば悪用される可能性があります。例えば、FTP サーバーのバージョンなどはグーグルハッキングのテクニックによって簡単にエクスプロイトできる情報です。脆弱性管理プログラムを活用して、定期的なスキャンを設定してリスクを最小化することが重要になります。リスクスキャンの結果をネットワークの設定と、ホスト別の代替コントロールの設定に反映させると効果的で、不必要な情報の露呈を避けることができます。

2. 企業ネットワークのバックエンドにはどのような脆弱性があるのだろうか?

ネットワークの脆弱点を理解するには、ローカルでスキャンすることをお勧めします。環境内に配備されている脆弱性スキャナー、またはホストにインストールされているエージェントから実行させます。環境内のローカルスキャナーに認証スキャンを実行させれば、もっとも綿密な結果が得られます。スキャンには対象資産の認証情報を与えなければ充分な詳細情報が得られません。認証スキャンができない場合には、エージェントを使うこともできます。エージェントは、既にホストで実行されているので、認証情報は必要ありません。

認証スキャンが完了すれば、対象資産が影響を受けやすい脆弱性がすべて洗い出されたリストが入手できます。次のステップは、1 つひとつの脆弱性の脅威に関するコンテキストを理解することです。個々の脆弱性の実世界における実際のリスクを把握すれば、悪用されるかどうかによって修正作業を優先順位付けすることが可能になり、不足しているセキュリティリソースを有効活用することができます。

設定とコンプライアンスの問題に注意を払うことも重要です。脆弱性管理ソリューションには、適合が必要な規格や基準や、ベストプラクティスの基準に対する設定の監査が可能なものが必要です。ベストプラクティスには、米国のインターネットセキュリティセンター (CIS)、国防情報システム局の技術実装ガイド (DISA/STIG)、クレジットカード業界 (PCI) の標準だけでなく、企業内部の基準も含める必要があります。

 3. ウェブアプリが攻撃から守られていることは確認できるだろうか?

ウェブアプリを攻撃から守る最も迅速で効率のよい方法は、自動スキャンプログラムを導入することです。例えば、動的なアプリケーションのセキュリティテスト (DAST) という自動的に実行されるペネトレーションテストがありますが、これはウェブアプリと安全な方法でやりとりして、応答からアプリのコードに脆弱点があるかどうかを評価します。

DAST ツールは、OS とアプリレベルの脆弱性と設定監査よりも深い評価が可能で、ウェブアプリを動的に監査します。普通ありえない行動や、ロジックの欠陥に対してアプリが脆弱でない状態を維持するのに役立ちます。さらに、実行環境の検証にも役立ち、SQL の挿入などによってコーディングの欠陥や設定ミスを検出することができます。ここで重要なポイントは、レガシーのウェブアプリスキャナーの中には、最新のアプリに対応できないものがあるということです。最新の DAST ツールは、従来の HTML のウェブアプリをスキャンできるばかりでなく、HTML5、JavaScript、 AJAX フレームワークによって構築された動的なウェブアプリやシングルページアプリケーション (SPA) にも対応しています。

シフトレフトは、ウェブアプリのセキュリティをソフトウェア開発のライフサイクル (SDLC) に統合するベストプラクティスです。実環境前の段階でウェブアプリのフルテストを行うこと、そしてコード変更に追随して自動的にセキュリティスキャンを実行することは、企業の全体的なセキュリティ体制の改善につながります。ウェブアプリ内の脆弱性を早期に発見し、問題修正のコストを削減し、侵害によって起きる潜在的なダメージが限定できます。

4.PCI 適合をスキャンで確認する方法があるだろうか?

クレジットカード業界のデータセキュリティ規格 (DSS)には、四半期毎に外部スキャンを実行し、認定ベンダー (ASV) による証明書を提出することが要件 (11.2.2) に含まれています。公開リスクスキャンの結果と、認定ベンダーが提供するウェブアプリスキャンソリューションの両方を組み合わせが、ネット上で公開されているウェブアプリと資産に対する証明になります。これらのスキャン結果を用意して、要件 11.2.2 に対する適合証明を取得する申請プロセスに従ってください。適合証明は任意の関係当事者に提示できます。書式設定済みの PCI テンプレートを利用したり、異議申し立てプロセスを定義しておくと、申請プロセスの進捗がはかどります。

まとめ

以上からお分かりと思いますが、ネット上で公開されている資産やウェブアプリを脅かすサイバー犯罪のリスクを確実に評価できる決定的な方法はありません。それでも、リスクを理解して最小化できるベストプラクティスがあります。詳しくは、eブック「 ウェブアプリのセキュリティプラクティス推奨 5 項目」をご一読ください。

もっと詳しく

• ブログ: ウェブアプリケーションセキュリティ：F1™ レースから学ぶ 3 つの教訓
• ウェビナーのご視聴はこちらから: ウェブアプリのセキュリティを改善する 3 つの方法