過検知+検知漏れ=実際のコスト

アラート：Webサービスが誰かに偵察されています！

アラーム：マルウェアに感染しています！

警告：データ流出が検出されました！

パニックの時間：新たなゼロデイ、脆弱なデータ暗号化、パッチが適用されていないソフトウェア、同じアカウントからの複数のログイン、通常アクセスしようとしない領域やプログラムへの変則的なユーザアクセス、認証情報の漏洩 、サービス拒否 (DoS)攻撃などなど、延々と対処しなければならない。

これまでに何度も耳にしたことがあるだろう。セキュリティ部門は、絶え間ない警報の砲撃に耳をふさがれ、サイロ化されたツールの寄せ集めから流れてくる大量のアラートに圧倒されている。実際、最近の調査によると、調査対象となったIT意思決定者の59%が、1日あたり500 件を超えるクラウドセキュリティの警告を受信している。

これら全ての警告が正確なものであり、注意を払う必要があれば話は別だ。しかしながら、実際には不正確であることがあまりにも多い。

多くのセキュリティ警告が偽か優先度が低い

調査によると、企業の5分の2以上(43%)の過検知率が40%に達している。誤報は単に迷惑なだけではない。 実際、過検知はAppSecプログラム全体の経済的側面に大きな影響を与える。

オオカミ少年の話を思い出す。村人たちはオオカミが本物かどうかわからなかったので、不届き者が「オオカミ！」と叫ぶたびに、全員が鍬をつかんで野原に飛び出し、本物かどうかにかかわらず脅威を追い払わなければならなかった。AppSecの脆弱性の誤報も同じだ。どの警報が本物でどれが不正確であるかわからないため、選択の余地がない。それら全てを調査するために時間を無駄にしなければならない。

Contrast SecurityのCTO兼共同設立者のJeff Williams氏が説明しているように、これには膨大な時間がかかる。「ツールによって報告された脆弱性が真実かどうかを見極めるには、本当に優秀なら10分でそうでなければ何時間もかかることがある。」と彼は言う。「(ほぼ全ての企業がそうであるように)リソースに制限がある場合、ツールで報告されるすべての脆弱性を調査することはできない。」

例えば、アプリケーションで静的スキャナ(SAST)または動的スキャナ(DAST)を実行したところ、400個の脆弱性の可能性が検出されたとする。大量の警告の中には、本当に重大な問題が絶対に存在するはずで、そうした脆弱性には迅速な対応が必要だ。問題は、それらが干し草の山の中に隠れている針であるということだ。事実、企業の約65%は実際に重要な警告は10%のみであると回答している。

つまり、静的または動的スキャナで検出された潜在的な400件の脆弱性のうち、真の脆弱性は40件のみということになる …

...しかし、どれが正しく検知されたもので、どれが過検知であるかが分からなかったために、何が本当で何が偽物なのかを見極めるために、山のような脆弱性を切り分けようと時間を費やすことになる。「これらの『潜在的』な脆弱性を100個検討する時間しかないと想像しよう。」とJeffは言う。「どんなに速くても、1つ1つ調べるのに10 分はかかるだろう。400件すべてを行うには、8日以上かかる計算になる。でも、2日しかないから25%だけを分析する、となる。そうすると、アプリケーション内の真陽性を10件確認して、残り30件の本当の脆弱性を見逃すことになる。」

セキュリティ部門では1日の5分の1を警告の確認に費やしている

調査によると、警告の確認と優先順位付けのために、もっと有効に使えるはずの膨大な時間が奪われている。企業の56%が、セキュリティ部門では警告の確認(セキュリティエンジニアによる調査が必要な作業)と、どれを優先するかを決定することに1日の20%以上を費やしていると報告している。

本当の脆弱性を見つけることは重要だが、このような数字を考えると、大量の誤報に埋もれてしまっては逆効果だ。本物と無関係なものを区別するために多くの時間を浪費し、本当の脆弱性を見つける時間がなくなってしまう。「今回の例では、ツールの誤検知によって、アプリケーションの脆弱性の75%について何も知ることができず、ましてや修正することもできなかった」という、理論的(だが代表的)なシナリオについても、Jeffは付け加えている。 

優先度の低い警告 = さらにまた気が散るもの

たとえ警告が完全に間違っていなくても、それらの優先度は低い可能性がある。そのため、セキュリティ担当の日常業務を妨げるに値しないが、気が散るような話題となる。例えば、IT意思決定者の半数近く(49%)が、セキュリティ警告の40%は優先度が低いと回答している。

要するに、誤検知の結果は次のようになる。

• 真陽性でも修正されるものがほとんどない
• 対策・修正には長い時間がかかる
• 増え続けるバックログ

もっと良い方法があるはず 

何が本当の危険で、何が時間の無駄なのかを見極めるための、もっとシンプルな方法があるはずだ。ランタイムセキュリティで何ができるかを知ってほしいので、12月12日(火)午前11時(EST)/午後2時(EST)、フォレスター・リサーチとContrast Securityのウェビナーに参加し、ランタイムセキュリティがAppSecをどう変革し、アプリ/APIを内側から強化するかを聞いて頂きたい。