Contrast ADRでアプリケーションセキュリティの盲点を解消

あなたがビーチの監視員だと想像してみよう。ただし、ヘリコプターからか遊歩道に設置されたカメラからしか監視できないとする。確かに、水しぶきが上がるのは見えるだろう。サメのヒレが1つか2つ見えるかもしれない。しかし、別の方向を見ている時に波の下で何かが起これば、完全に暗闇の中だ。

これこそが、ほとんどのセキュリティ担当がアプリケーション層の脅威に関して対処している方法だ。 EDRやWAFといった従来のツールは、エンドポイント、トラフィックパターン、システムの挙動といった表面的なスキャンには優れている。しかし、アプリケーションの奥深くでこっそりと何かが起こっても、多くの場合、これらのツールではそれを検知できない。WAFは限られたセキュリティ情報でノイズの多いトラフィックをフィルタリングすることしかできず、EDRはOS以外をカバーできない。これでは、大きな盲点が生まれてしまう。そして、それはまさに現代の攻撃が潜む場所でもある。

従来のセキュリティツールでは不十分な理由

詳しく見ていこう。

WAFは、SQLインジェクション、クロスサイトスクリプティング(XSS)などの一般的な脅威からWebアプリケーションを保護するために開発された。そのため、攻撃者が巧妙な難読化を行ったり、想定外の方法でアプリケーションロジックを悪用したりすると、WAFでは実際に何が起きていいるかが理解されないまま、手当たり次第にアラートが発せられる。その結果、誤検知が大量に発生し、トリアージを行うSOC(セキュリティオペレーションセンター)にとっては悪夢のような状況となる。

一方、EDRはエンドポイントのアクティビティ(プロセスの作成、ファイルの変更、システムコールなど)に焦点を当てる。しかし、攻撃者がカスタムアプリケーションコードの脆弱性(ビジネスロジックの欠陥など)を悪用した場合、EDRはそれを検知できない。EDRは、その層向け用には設計されていないからだ。

最近の調査が、それを裏付けている。当社では、さまざまなセキュリティツールが実際の攻撃に対してどの程度有効なのかを調べたいと考えた。そこで、Contrast研究所の調査担当によってテストが行われた。アプリケーション内部の動作を標的とする様々な種類の攻撃を試したのだ。以下の攻撃を、様々な方法であなたのシステムに侵入しようとしている人に例えてみよう：

• データを盗もうとする (SQLインジェクション)
• システムを乗っ取ろうとする (Log4Shellとトロイの木馬型シェル)
• 見れるべきではないファイルにこっそりアクセスする (パストラバーサル、ファイルの読み取り/書き込みの試行)
• 想定外の命令を与えようとする (コマンドインジェクション)
• さらには、アカウントを作成したり、システム全体をシャットダウンさせようとする

当社では、他の一般的なセキュリティツールである、EDR(コンピュータの監視)とWAF(Webサイトのトラフィックの監視)に対して、Contrast ADRプラットフォームをテストしてみた。

結果は次のとおり：

• EDRツールは、攻撃を完全に見逃すことがよくあった。まるで、監視カメラが正しい方向に向いていなかのようで、侵入を捉えることができなかった。
• WAFツールは一部の攻撃を検知し、アラームを発した。WAFは、データを盗もうとするなど、よくある侵入の手口を検知するのには優れていた。しかし、攻撃者がシステムを完全に制御できるような、本当に深刻な攻撃を見逃していた。これはまるで、誰かが玄関のベルを鳴らしたときは警報が鳴るのに、裏口を破壊して侵入してくる人には警報が鳴らないようなものだ。
• 時には、WAFツールは、実際には脅威ではないものに対してもアラームを発することがあった。侵入者ではなく、友人が訪ねてきたのにアラームが鳴ることを想像してみてほしい。これにより、どのアラームを重要視すべきかを判断するのが難しくなる。
• 当社のContrast ADRツールは、深刻な攻撃を全て捕らえた。まるで家の中に監視カメラがあり、侵入者が何をしているのかを正確に映し出していた。さらに、実際の脅威と無害なものを見分けることもできた。

つまり、当社のテストによって、多くの一般的なセキュリティツールが重要な攻撃を見逃したり、誤報が多すぎたりする可能性があるのに対し、Contrast ADRはアプリケーション内で実際に何が起こっているのかをより明確に把握できることが示された。

要するに、 

• EDRは、アプリケーションロジックを悪用する攻撃を見逃す。
• WAFは大量のアラートを生成するが、どれが実際に重要なのかを見分けるのが困難。

内側から見る：Contrast ADRの特徴

Contrast ADR(アプリケーションにおける検知と対応)は、これまでのセキュリティ対策を覆す。外側から監視してアプリケーションの内部で何が起きているかを推測するのではなく、内部から働きかけるのだ。アプリケーションランタイムに組み込まれた軽量のセンサーを使用して、リアルタイムで何が起こっているかを直接確認できる。

この「インストルメンテーション」アプローチによっり、ADRで以下のことが可能になる：

• 全ての関数呼び出しの完全なスタックトレースをキャプチャする
• 実際に攻撃を受けている既知および未知の脆弱性を監視する
• サードパーティのライブラリと依存関係の動きを追跡する
• 正常な挙動のベースラインを確立し、異常にフラグを立てる

これらのデータは全て自動的に収集され、調整される。手動での関連付けは必要ない。データは明確で、実用的なものであり、アプリケーション内で何が起こっているかに直接結び付いている。

セキュリティ担当にとっての意味

Contrast ADRを使用すると、セキュリティ担当は影の脅威を追いかけるのをやめ、実際の脅威に集中できるようになる。具体的には、次のようになる：

• 厄介な脅威を把握 — ゼロデイ、カスタムコードの脆弱性、ロジックの欠陥など厄介な問題に気づくことができる。
• ノイズを排除 — 実際のアプリケーションの挙動に関連付けられた、検証済みの脅威についてのみアラートを受け取ることができる。
• より迅速な調査 — スタックトレース、リクエスト、コードの場所など、完全なセキュリティ情報がすでにあるので迅速に調査ができる。
• 滞留時間の短縮 — 悪意のあるアクティビティがさらに深く侵入する前にアプリケーションレベルで検知できる。
• 予防的な対応 — アルタイムのアラートや対応アクションを利用して、悪用の試みを検知し迅速に対応できる。
• 事後分析の簡素化 — 詳細な攻撃データが組み込まれているため、インシデントのレビューがより簡単かつ完全になる。

他のシステムとの連携もスムーズ

ADRでは、既存のシステムを完全に置き換える必要はない。 現在のSOCワークフローやツールとシームレスに統合し、アプリケーション層の豊富な攻撃データをSIEMにそのまま取り込むことができる。つまり、ゼロから始める必要はなく、より優れた相関性、より完全な可視性、より強力な防御を実現できる。

アプリケーションの盲点に光を当てる

アプリケーション層の脅威は今後も消えることはない。むしろ、その傾向はますます深刻化している。しかし、Contrast ADRを使えば、もう水面下で何が起こっているのか推測する必要はない。

今こそギャップを埋め、アプリケーションセキュリティをコントロールする時だ。

これまで見逃してきたものを見てみよう。Contrast ADRサンドボックスを試して、詳細な可視性によって何が見えるようになるかを実際に体験してほしい。