セキュリティオブザーバビリティ：インテリジェントなセキュリティ評価

「セキュリティオブザーバビリティ」とはいったい何だろうか?

その答えの1つとしては、簡単な例を考えてみることだ。オブザーバビリティがあれば、セキュリティシナリオの調査のために週末を失うか、苦労せずに自動的に必要な情報が全てあるかの違いが生じる場合の単純な例だ。例えば、Log4jライブラリとその致命的なLog4Shell脆弱性脆弱性の時と同様に、JNDIインジェクションに対して潜在的に脆弱なサードパーティライブラリがあるとしよう。

どのルートにこれらのライブラリが含まれているかを可視化できればよかったのでは？

実際の生のセキュリティ青写真について考えなければならない。これは、アプリケーションとAPI(アプリケーションプログラミングインターフェース)の操作を多方面から監視する方法で、攻撃対象、防御、危険なメソッド、APIエンドポイントへのアウトバウンドコール、システムインタラクション、データベース接続、ファイルシステムのやり取りなどが対象に含まれる。

• 環境はどうなっているか？サーバ、プラットフォーム、アップストリーム、構成、その他の詳細情報は？
• 攻撃対象領域は？
• 各ルートにはどのような防御策が講じられているか？
• 認証、承認、暗号化はどのように管理され、どのくらいの頻度で使用されるか？
• どのような危険な関数が呼び出され、どのインタプリタ、パーサー、ファイルシステム、ネットワーク関数などが使用されているか？
• どのようなサービスと接続が使用されているか？
• データの特徴は？

時計の針を2021年12 月に戻そう。Log4jライブラリがどのルートに含まれているかだけでなく、そのライブラリにアクセスする脆弱なパスが存在するかどうかも示す青写真があれば、至る所に存在するライブラリの追跡に週末を費やして奔走したセキュリティ担当の多くは救われただろう。至る所にあるライブラリから脆弱性が悪用された場合、認証されていないリモートコード実行(RCE)が可能になり、悪用されたアプリケーションとそのサーバの両方を攻撃者が制御できていた可能性がある。

Log4Shellをはじめ、セキュリティの青写真が切実に必要とされる数多くの活用例のために、Contrastは、画期的なオブザーバビリティ機能であるセキュリティオブザーバビリティ(別名 Contrast オブザーバビリティ)をBlack Hat 2023で紹介した。この革新的な機能により、アプリケーションとAPIが実際にどのように動作しているかについて必要な詳細を含む、コンテキストに応じたセキュリティの青写真を自動的に作成することができる。

今回、Contrast Securityの共同創業者兼CTOであるジェフ・ウィリアムズが、ソフトウェア開発担当とセキュリティ担当がこれらの青写真をどのように活用できるかを詳しく説明した。セキュリティ担当が複雑なアプリケーションのアーキテクチャのリスクを効果的に評価・管理する必要があるときに、システムをより深く理解するために、開発担当との会話で数え切れないほどの時間を浪費し、データフロー図や脅威モデルを手作業で描くことにうんざりしているのであれば、読んでみてほしい。

なぜセキュリティオブザーバビリティが重要なのか?

A：脅威の状況が進化しているため、これは不可欠になっている。現在急速な変化を続けている、相互接続されたデジタル環境を考えると、アプリケーション/APIセキュリティは複数の課題に直面している。 技術の進歩は良い面もあるが、複雑さが増し可視性が曖昧になっている。

Deloitte Insights によると、企業の79%が資産の可視性にギャップを感じており、その不明瞭さが3 倍のインシデントにつながっていると回答している。サイバー攻撃を検知することに関して、その膨大な数、高度化、困難さは、人間にとっては圧倒的だ。

何とかそれに対処するために必要なのは、ランタイム セキュリティだ。これには、セキュリティオブザーバビリティのほか、ランタイムセキュリティテスト、ランタイム SCA、およびランタイム保護が含まれる。 稼働中のアプリケーションとAPIの動作をリアルタイムで把握する必要がある。そうすることで、重大な損害を引き起こす前に潜在的な脅威を検出して無力化することができる。

Q：セキュリティオブザーバビリティにより、監視するよりもっと主体的になれるか？

A：セキュリティ監視の主な目的は、既知の脅威や異常をリアルタイムまたはほぼリアルタイムに検出して対応することだ。セキュリティ上の懸念事項として既に定義されている特定のイベントやパターンを特定し、セキュリティ担当に警告することに焦点が当てられている。

一方、セキュリティオブザーバビリティには、より広範な目的があり、既知の脅威や事前に定義されたイベントの検出に限定されない。むしろ、セキュリティ体制全体を理解するだけでなく、セキュリティを取り巻く全ての環境を包括的に理解するためのものだ。

これには、特定のセキュリティインシデントや既知の攻撃ベクトルに焦点を当てるのではなく、代わりに総合的なアプローチを取ることが必要だ。ログ、評価基準、トレースなどの幅広いデータを収集・分析することによって、セキュリティ環境を深く包括的に理解できる。 言い換えれば、これは問題の一覧表ではなく青写真だ。

それは、プロアクティブ(事前対応)とリアクティブ(事後対応)であるかの違いになる。セキュリティ監視は、既知の脅威やイベントが発生したときに対応しセキュリティ担当に警告を発して対策を講じるのに対して、セキュリティオブザーバビリティは企業が全体的なセキュリティ体制をよりよく理解するのに役立つ。

Q：セキュリティオブザーバビリティの代表的な活用例は？

活用例：脅威モデリング
Q：現在市場にある脅威モデリングツールの何が問題なのか？

A：市場に出ている脅威モデリングツール(IriusRisk、Microsoft Threat Modelingなど)は、かなり原始的だ。

これらは主にデータ収集ツールであり、どんな青写真であるかを理解するためには大量の質問に答える必要がある。そして、脅威を特定して、適切なセキュリティの仕組みが確実に導入されていることを確認するために、いくつかのプロセスを実行することになる。

脅威モデリングは、非常に手間のかかる作業だ。多くの場合、アプリケーションが実際にどのように動作するかの全体像を把握するために、数週間にわたるデータ収集とシステム設計者やプロジェクトメンバーなどとのインタビューが必要になる。

場合によっては、古いVisioの図面が使用されることもある。しかし、脅威モデル管理者は多くの場合、独自の図面を作成する必要がある。セキュリティオブザーバビリティがあれば、すべてのデータが収集できるので、図面を描く全ての作業を節約できる。

オブザーバビリティによって、企業の脅威モデリングの実践がよりスケーラブルになり、コスト効率を高めることができるだろう。というのも、脅威モデリングを大規模に行える人など実際にはいないからだ。それを行うのに十分なスキルを持った人材が不足しているし、とても時間がかかる。

活用例：ペネトレーションテスト

Q：セキュリティオブザーバビリティはペネトレーションテストに役立つか？

A：アプリケーションのテスト方法をより効率的にしたいという関心が、ペンテストチームにある。オブザーバビリティにより、ターゲットを絞ったペネトレーションテストが可能になるだろう。セキュリティ担当はペネトレーションテストに集中するための情報を得て、効率と効果を最大限に高めることができる。推測だが、ペネトレーションテストの一部としてContrastを使用すれば、ペネトレーションテストにかかる労力をおそらく50%か75%程度削減できるだろう。

また、オブザーバビリティによって、アプリケーションの脆弱な動作やコンポーネントを明らかにする検査や疎通、検出されたデータや実際のアプリケーション動作に基づく分析のターゲット設定、観測された動作データを使用して検出された脆弱性の悪用可能性を判断する機能なども可能になる。

活用例：リスクの優先順位付け
Q：セキュリティオブザーバビリティはリスク評価と優先順位付けに役立つか？

A：コンテキストに応じたリスク評価に注目している。これによって、セキュリティ担当が各脆弱性に関連するリスクをよりよく理解して優先順位を付け、コントロールとコンテキストに基づいて悪用可能性を判断し、アプリケーション内のコンテキストに基づいて各脆弱性のリスクスコアを生成できる。そして、利害関係者向けに、リアルタイムデータを組み込んだ詳細なリスクレポートを作成できるようになる。アプリケーションがアクセスするサービス、API、ファイル、データベースが特定され、潜在的な影響に基づいて脆弱性を評価し、優先順位付けをすることができる。

活用例：インシデント対応やフォレンジック
Q：コンテキスト化されたデータをインシデント対応に使用できるか？

A：もちろん、できる。セキュリティオブザーバビリティによって提供されるコンテキストで、セキュリティ運用部門は、セキュリティインシデントを迅速に理解し、焦点を絞った対応計画を作成できるようになる。セキュリティの青写真がなければ、担当者達は調査やコンテキストの収集を手作業で行い、貴重な時間を浪費することになる。オブザーバビリティがあれば、潜在的な悪用の影響範囲を特定することができる。

オブザーバビリティが根本的な機能であることは分かっている。それは、セキュリティが実際にどのように機能するかについてアプリケーションの青写真をユーザに提供することができるからだ。当社のユーザが、その青写真を使ってまだ我々が思いついてもいなかったようなクールなことを考え出すかもしれない。ことによったら、それが品質管理担当に渡されるかもしれない。このセキュリティの青写真を使ってユーザが何をするのかが楽しみだ。

Q：Contrastのオブザーバビリティ機能は脅威モデリングツールをどう改善するか？

A：すべてのデータを自動的に収集し、顧客がほぼいつでも質問できるようにすることで、改善できる。例えば、「ねぇContrast、認証チェックがされていないルートを全部見てみたいよ」と言った場合に、Contrastはその質問にすぐに答えることができる。そのデータをどこかにエクスポートしたり、何かをする必要はない。

Q：脅威モデリングとContrastがオブザーバビリティで提供する技術的なアプローチの違いは？

A：弊社のアプローチでは、軽量なエージェントの組み込み(インスツルメンテーション)を使用する。これは、実際のアプリケーションの挙動を高性能で検査するために継続的な監視を行い、複雑な問題を明確に切り出すことができる。単に脆弱性を検出するだけでなくアプリケーションのハートビート、複雑な接続、隠れたリスクを理解するためのものだ。Contrastのオブザーバビリティによって、典型的なセキュリティアセスメントの実施が、漠然とした時間のかかる作業から、正確で効率的なプロセスへ変わるものとなるだろう。

セキュリティ担当はどのようにオブザーバビリティデータを活用できるか？
Q：Contrastで収集される脅威モデルデータを理解するために可視化ツールは必要か?

Q：SIEMにデータをインポートするのはどうだろう？

A：それは、データ分析の別のやり方になるだろう。SIEM(セキュリティ情報/イベント管理)が特に脅威モデルに適しているとは思わないが、そのような時系列データを保存して、それを使って何かできる場所だと思う。

Q：SBOMにオブザーバビリティと相関性はあるか？

A：セキュリティオブザーバビリティツールによって、ランタイムのSBOM(ソフトウェア部品表)を継続的に作成し、どのライブラリがアプリケーションやAPIで実際に使用されているかを自動的に検出できる。これによって、企業はソフトウェアのサプライチェーンにおけるセキュリティギャップを特定し、悪用可能な脆弱性に集中することができるようになる。

Related: 

• Learn about the hidden dangers of traditional AppSec tools and why Runtime Security is replacing them: podcast writeup (blog)
• 2021 Application Security Observability Report (report)
• Accelerating DevOps with Autonomous Security Observability: Webinar Recap (2021 blog)
• Accelerating DevOps with Autonomous Security Observability (webinar with Brian Reed, chief mobility officer of NowSecure, & Jeff Williams)
• 2020 APPLICATION SECURITY OBSERVABILITY REPORT (report)
• AppSec State-of-the-Art Protection and Observability Exactly Where it is Needed — in Production Runtimes (ebook)
• Lack of Security Observability Thwarts Application Security (white paper)
• WHY OBSERVABILITY IS THE NEXT BIG THING IN SECURITY (2020 blog)