サイバーセキュリティ意識向上月間：Contrastと脅威の状況はどのように進化したか？

今年はサイバーセキュリティ意識向上月間(CSAM)の20 年目であり、全米サイバーセキュリティ アライアンス(NCA)は、デジタルセキュリティに関する認識を高めるために通常1ヶ月間行われるキャンペーンを丸1年に延長した。この啓発キャンペーンを新たに通年で実施し、サイバーセキュリティ・インフラセキュリティ庁(CISA)が考案した不朽のテーマ「Secure Our World」を掲げた。

新しい脅威は絶えず出現しているが、サイバーセキュリティ実践の主なテーマはここ数年間ほぼ変わっていない。つまり、CSAM(オンラインで安全を保つ方法を私たち全員に教えることを目的とした政府と民間業界のコラボレーション)は、次の4つの中核となるセキュリティ実践について人々を教育してきた。

1. パスワードマネージャを使用する利点を理解することで、パスワードマネージャのセキュリティと使い易さに関する誤解を払拭する。
2. 個人用デバイスおよびビジネスネットワークで多要素認証(MFA)を有効にする。
3. フィッシングを認識して、報告をする。フィッシングは、現在でもサイバー犯罪者が利用する主要な脅威の1つだ。
4. 定期的に更新プログラムをインストールし、自動更新を有効にする。

Contrastでは、ユーザ保護の基本であるこれらの取り組みに対しては賛同して「すばらしい！」と言いたい。しかしながら、NCAはユーザを教育するだけでなく、そもそも企業が安全なソフトウェアを作ることを奨励すべきだと考える。安全なアプリケーションは、たとえ企業がミスをしたとしてもユーザを守るものだ。Contrastは、そのためにあると言っても過言ではなく、ユーザが直面する危険を減らせるように、企業が安全なコードを世に送り出せることを目指している。

オンライン上で人々の安全を守ることこそが、9年前の2014年にContrast Securityが設立された理由だ。そこで、NCAの20年というマイルストーンを振り返るために、創業者で最高技術責任者のJeff Williamsに、Contrastや脅威の状況、また市場が創業以来どのように進化してきたかについて語ってもらおうと考えた。 Jeffは、次のように語っている。

Q：Contrast創業の理由は？

A：私はアプリケーションセキュリティ(AppSec)のコンサルタント会社を12年間経営し、いくつかの大企業と協力して世界で最も重要なアプリケーションのセキュリティ強化を実現した後に、この会社を立ち上げました。企業がアプリケーションのセキュリティ対策に失敗するのを何度も見てきました。彼らは、従来のツール(SAST、DAST、SCA、WAFなど)を全て使用していましたが、結局未修正の脆弱性の膨大なバックログと最小限の保護しか出来ていませんでした。企業によっては、未修正で優先順位が付けられていないセキュリティ問題が何十万、何百万という単位で残っていたこともありました。これは、万が一事故が起きた場合に損害賠償など高くつくし、危険です。何度も同じパターンの繰り返しでした。これに対して、我々は手作業による診断テストや手作業によるコードレビューを数多く実施しましたが、結局のところ、こうしたプロセスには多くのセキュリティ専門家が必要でありうまく機能しませんでした。

自動化の観点から見ると、AppSecに使われるツールには2種類あります。脆弱性を見つけるためのスキャナーと、アプリケーションやアプリケーションプログラミングインタフェース(API)を囲んで保護するためのWebアプリケーションファイアウォール(WAF)です。どちらも脆弱性検出や攻撃検知の精度は低いです。どちらも精度を高めるのに十分なコンテキストがありません。静的スキャナー(SAST)はソースコードを見るだけで、動的スキャナー(DAST)はアプリを外側から見るだけです。どちらのスキャナーも、アプリケーションがどのように動作し、どのようにデータを処理し、何と会話しているのかを理解していません。

AppSecは、まだ多くの企業で効果的に機能していません。さらに従来のAppSecツールは遅すぎて設定が難しく、誤検知が多すぎます。Contrastは、ソフトウェアをより適切に評価し保護するための新しい技術を発明し、これらの技術を市場に投入するために設立されたのです。

Q：Contrastのアプローチはどう違うのか？

A：Contrastは、「ランタイムセキュリティ」と呼ばれる、アプリ/APIに対して新たな優れたアプローチでセキュリティ対策を実現することができます。スキャンや外側からのファイアウォールを利用するのではなく、Contrastはアプリケーションの内側から動きを観察し、危険で無防備な従来の手法とは全く異なる手法で安全性の根本に取り組むことができます。

その仕組みはこうなります。アプリ/APIスタックは何十万ものメソッドで構成されています。これらのメソッドの多くでは、XMLの解析、クエリの実行、接続の作成など潜在的に危険な処理が行われます。問題は、これらの危険なメソッドが完全に保護されていないことです。コンパイラの警告も、ドキュメントも、攻撃の検知も、エクスプロイト対策もありません。私は、これらのメソッドを、ラベルもチェーンブレーキもキックバック防止もマニュアルもトレーニングもないチェーンソーのようなものだと考えています。実際、何千もの工具や部品でいっぱいの作業場で、それらを安全に使用する方法を見つける手段がないことを想像してみてください。

このような環境を考えると、開発者がこれらのメソッドを安全に使用せずに、うっかり脆弱性を作ってしまうことは避けられないです。この不注意は、彼らのせいではないのです。脆弱性には1,000以上の分類があり、それぞれを理解するのは難しいですから。さらに悪いことに、脆弱性は言語、プラットフォーム、フレームワークごとに異なります。Contrastは、これらのメソッドで必要とされる保護を自動的に実現することによって、この問題を解決することができます。

そのため、Contrastは「信頼境界」と呼ばれる保護機能を自動的にメソッドに組み込むことにしました。この保護機能によって、実際には表裏一体の関係にある2つのことが行われます。まず、開発者がそのメソッドを安全に使用したかどうかがチェックされます。そうでない場合は、何が起こったのか、どうすればそのメソッドを安全に使えるのかを示す詳細なアラートが即座に表示されます。本番環境では、この信頼境界によって、メソッドが悪用される試みが検知され、悪用が成功するのを防ぎます。

このアプローチは、既存ツールがもたらす問題の多くを解決し、誰もが自分で実践できます。開発プロセスを混乱させるセキュリティ専門家などは、必要ありません。実際、AppSecの作業のほとんどは、通常の開発プロセスの一部として行われるべきです。だから、アプリケーション、セキュリティ、開発を一緒にしようとしているんです。そして、Contrastはその点でかなり上手くやっていると思います。

Q：Contrastの存在価値はどう進化したのか？

 A：Contrastの使命は常に、ソフトウェアセキュリティを民主化することです。つまり、作り手が自信を持って革新でき、人生で最も重要なものを保護できるようにすることなのです。 開発者が自分自身で安全なコードを作成できるようにすることが、前進する唯一の道だと信じています。

しかし、AppSec自体の重要性は着実に高まっています。私達は毎日、生活の中で重要な全てのものをソフトウェアアプリケーションやAPIに託しています。それは、金融、医療、政府、公共事業、社会生活、防衛などです。同時に、複雑さ、接続、重要度、周期、構成要素など、ソフトウェアセキュリティにとって危険な要因は増加しています。これは非常に深刻な結果をもたらす最悪の状態です。

世界経済フォーラムは、サイバーセキュリティによる災害を、流行病や気候関連の災害に続けて、世界の存続危機リスクの第4位に位置付けています。 そして、アプリケーションセキュリティが侵害の最大の原因となっています。 そのため、私達Contrast Securityの存在価値は、かつてないほど高まってます。 単純なセキュリティチェックマークには興味がありません。私達は、世界の大企業の何十万もの重要なアプリケーションとAPIを保護しており、この責任を非常に真摯に受け止めています。

Q：市場はどう進化したのか？

 A：最も興味深いのは、政府がようやくそれに気づいたことです。彼らは、「そのソフトウェアには何が入っているのか？ そこには、どんなライブラリが含まれているのか？ どのような部品で構成されているのか？」といった質問をし始めました。この様な政府の動きは、私や他の多くの人がソフトウェア市場の立て直しを支援するために長い間働きかけた結果でもあります。SolarWindsやLog4Shellのような侵害も彼らに行動を起こさせました。

バイデン大統領によるサイバーセキュリティに関する大統領令は、米国政府機関に対し以下のような新しい基準の策定を指示しました。

• 米サイバーセキュリティ・インフラセキュリティ庁(CISA)の拘束的運用指令22-01にて、連邦政府機関に対しネットワークに存在する数百の既知の脆弱性を修正し、指定された期日までに修正するよう指示
• バグのあるライブラリやその他の脅威を隠している可能性のあるソフトウェアの使用に関して連邦政府機関に向けた基準を設定する米行政管理予算局(OMB)の覚書22-18(PDF)
• NIST(アメリカ国立標準技術研究所)サイバーセキュリティフレームワーク800-53にて、インタラクティブアプリケーションセキュリティテスト(IAST)およびランタイムアプリケーションセルフプロテクション(RASP)に関する新しいガイドライン
• 証券取引委員会(SEC)の取締役会における新たなサイバーセキュリティ知識に関する要件
  
• 同様の法規則が欧州連合(EU)によって制定

要するに、セキュリティに関して透明性を高めなければならないということです。依存関係、セキュリティプロセス、脆弱性、侵害などを、数年ではなく数日間で開示する必要があります。そして、あなたがCEOである場合は、NISTのSSDF(Secure Software Development Framework)にある基本的なことに対応していることを証明しなければなりません。これが、サーベンス・オクスリー法(SOX法)のようだと思えるなら、あなたは正しい方向に向かっていると言えます。

OMB 22-18及びNISTのSSDFの要件を満たすために、Contrastがどのようにサポートできるかについては、アドバイザリーをご一読ください。

アドバイザリーを読む

ソフトウェア市場を改善して、ソフトウェアの生産者と消費者がセキュリティに関して同じ情報を持ち、市場の力がより良いセキュリティを促進できるようにすることを目標にしています。今、ソフトウェアを開発している側である場合は、すぐにでもクリーンアップして、透明性を確保する準備を行うべきです。

Q：脅威の状況はどう進化したのか？

A：Contrastを始めた頃は、脅威の状況はもっと単純でした。アプリケーションセキュリティの焦点は、WebアプリケーションのカスタムコードとAPIでした。その時以来、攻撃者は進化しています。彼らは依然としてアプリやAPIを直接攻撃していますが、企業のソフトウェアに侵入する新たなルートを特定しています。

ソフトウェアのサプライチェーン全体が標的になっています。攻撃者は、オープンソースライブラリを侵害して、一度に多くの企業を狙うかもしれません。あるいは、開発パイプラインを標的にして製品を侵害し、その企業の顧客を狙うこともあります。実際、ソフトウェアのビルド、テスト、デプロイに使用されるほとんど全てのソフトウェアが、攻撃者にとって興味深い媒介になっています。

そこがアプリケーション層の素晴らしいところです。つまり、アプリケーション層では常に最も革新的なことが起こるところであり、新しくて興味深いアプリケーションセキュリティの課題が生まれるところなのです。最近では、LLM(大規模言語モデル)やその他のAIテクノロジによって明らかになる新たな脅威に興味を惹かれています。重要なのは、新しい脅威を積極的に理解することです。そのため、開発者がこれらのテクノロジを安全に使用できるようContrastには新しいポリシーとルールがすでに導入されており利用可能です。

Q：Contrastの今後の展望は？

A：Contrastは、私達が目指していたソリューションを生み出し、多くの大企業でAppSecの変革に成功したと感じています。ソフトウェアが複雑になればなるほど、ソフトウェアの構成要素を静的に見るだけでなく、「実行時(ランタイム)の現実の動き」に基づいてセキュリティを確保することが重要になります。実行されている状態を見なければいけません。

 大きな道のりでした。脆弱性を検出するために、エージェントを組み込むというインストルメンテーション技術を利用することから始めました。数年後に、この素晴らしいインストルメンテーションプラットフォームを活用して、アプリケーション/APIに優れたランタイム保護を提供しました。また、実行時のライブラリ解析のサポートも追加したため、脆弱なライブラリが存在するかどうかだけでなく、それらのライブラリがアプリケーションによってどのくらい使用されているかを正確に検出できるようにしました。

そして、ちょうどパズルの最後のピースを追加したところです。それは、「ランタイムセキュリティ・オブザバビリティ」と呼ぶものですが、これによってアプリケーションのセキュリティがどのように機能するかについてのデジタルセキュリティの青写真を作成することができます。これは、単に問題を見つけることとは異なります。この青写真によって、脅威のモデル化、侵入テスト、リスク管理、侵入対応など、AppSecのすべてが改善されます。

もちろん、Contrastはこれからも技術革新を続けていきます。私達は、セキュリティインストルメンテーションで出来ることのほんの表面に触れただけです。企業がAppSecプログラムを苦痛の塊から、ソフトウェア開発と連携して費用対効果の高いものに変革できるよう支援し続けます。企業は、常にセキュリティと格闘しなくても、技術革新しながら優れたソフトウェアを生み出すことだけを楽しむことができる、新しい健全な「ライフスタイル」を見つけることができます。

Contrastは、今後もこのプラットフォームを引き続き優れたものにしていきます。企業がこのプラットフォームを効果的に使用できるようなり、手動ツールでAppSecを行う古い方法から、最新のインストルメンテーション技術をベースにしたランタイムセキュリティプログラムへ移行するよう支援していきます。

Read more: 

• Learn about the hidden dangers of traditional AppSec tools and why Runtime Security is replacing them (blog: podcast writeup)
• Meet OMB 22-18 Requirements with Contrast Security (data sheet PDF)
• How Contrast Security Supports And Improves Government Reference Designs (solution brief PDF)
• How to Secure APIs at DevOps Speed (ebook PDF)
• The Truth About AppSec False Positives: Lack of Accuracy is Burying Organizations with Erroneous Alerts (white paper PDF)
• Contrast Responsible AI Policy Project: Keeping your business safe in the AI era (blog)