アプリケーションにおける検知と対応(ADR)の事例

 

著者について

Jeff Williamsは、Contrast Securityの共同創業者兼CTOとして、20年以上にわたりセキュリティリーダーシップの経験があります。それ以前は、EYに買収された革新的なアプリケーションセキュリティコンサルティング会社であるAspect Securityの共同設立者兼CEOを務めました。また、JeffはOWASPの創設者であり、主要な貢献者でもあります。OWASPでは10年間グローバル会長を務め、OWASPトップ10をはじめ、人気のあるオープンソースライブラリやツールをいくつか作成しました。Jeff は、PCI Council、NIST、OASIS、CycloneDX、OWASP Foundation、Eclipse Foundation、および多くの企業や機関に対してアプリケーションセキュリティのアドバイザーを務めています。Jeffはバージニア大学で学士号、ジョージメイソン大学で修士号、ジョージタウン大学で法学博士号を取得しています。

なぜアプリケーションやAPIは侵害され続けるのでしょうか？

私は20年以上にわたり、防衛システム、選挙システム、金融、公益事業、航空会社など、様々な分野でアプリケーションセキュリティに携わってきました。また、NSAの国立暗号大学(National Cryptologic School)で教鞭をとり、OWASPトップ10を作成し、何百もの大企業の重要なアプリケーションに対して手動による侵入テストやコードレビューを行ってきました。

私の経験上、安全なコードを一貫して書きづづけることがいかに難しいか、よく分かっています。私がOWASPトップ10を初めて作成してから22年が経ちますが、アプリケーションセキュリティの進歩は氷河期のようにゆっくりとしてものです。平均的なアプリケーションには、カスタムコードとライブラリの両方に数十もの深刻な脆弱性があります。中にはもっとたくさん脆弱性がある場合もあります。ソフトウェアの脆弱性が蔓延する状況を改善できなかったことを非常に残念に思っています。

多くの人が、ソフトウェアにビジネスの成功を賭けているかもしれませんが、その賭けは安全なコードを書くための「シフトレフト」の取り組みの成功にかかっています。私はキャリアの大半を同じような考え方で過ごしてきました。残念なことに、これは非常に危険な賭けであり、最先端のアプリケーションセキュリティのプログラムを持つ企業でさえもこの賭けに負けているということが、誰にとっても明らかになっています。

このような厳しい状況では、Web攻撃に対する優れた保護が絶対に必要です。ただ残念なことに、1990年代後半にWAF(Webアプリケーションファイアウォールが登場して以来、基本的に進歩がありません。プロトコル、データ構造、アーキテクチャにおいては数十年に渡って飛躍的な革新があったにもかかわらず、WebアプリケーションとAPI(アプリケーションプログラミングインターフェイス)における防御が停滞しているとは想像しがたいですが、それが現実です。ほとんどの企業・組織では、攻撃をブロックするWAFすらありません。WAFは、ただノイズの多いアラートを出すだけで、運用担当からは無視されるものですから。

スタックの他のすべての層は、ネットワークトラフィックにセキュリティを適用する境界デバイスによる対策から、より柔軟な対策へと移行しています。サイバーセキュリティの他の分野では、XDR、EDR、NDR、CDR、SDR、SIEM、SOAR、CNAPPなどに移行しています。これは、異常な動作を特定するために、エージェント、リアルタイムテレメトリ、高度なデータ解析技術を使用する「検知と対応」のアプローチです。しかし、運用におけるアプリケーションセキュリティは石器時代のように時代遅れで、映画「エイリアン」に登場するシガニー・ウィーバーが近接探知機を頼りにしていたように、運用担当はいまだにWAFにしがみついています。

このホワイトペーパーでは、企業の安全を守るために必要なADR(アプリケーションにおける検知と対応)の戦略とテクノロジについて説明します。

なぜ本番環境と運用環境でアプリケーションやAPIを保護する必要があるのでしょうか？

今日の企業活動とセキュリティにとって、アプリケーション層は非常に重要です。私たちは皆、金融、医療、政府、社会生活など、生活する上であらゆる重要なことをソフトウェアに任せています。しかし、この重要なアプリケーション層が、サイバー犯罪者にとってますます魅力的な標的になっています。2024年のVerizonのデータ漏洩/侵害調査報告書(DBIR)¹では、WebアプリケーションとAPIの侵害は攻撃経路のトップ3に入っており、ランサムウェアのインストールに至る経路としてWebアプリケーションがトップ2に入っています。にもかかわらず、アプリケーション層は依然として十分に保護されていません。

アプリケーション層の保護の複雑さは、いくら強調してもしすぎることはありません。今日のアプリケーションは動的で、何十ものリポジトリ、何百ものライブラリ、多くのAPIやマイクロサービス、サーバレス機能、コンテナなどで構成され、マルチクラウド環境にデプロイされています。これらの要素が組み合わさることによって、脆弱性が生まれる可能性が高まります。Ponemon²によると、企業ではアプリケーションセキュリティの脆弱性バックログが拡大しており、アプリケーションやAPIの脆弱性はすでに平均して数十万件が発生しています。現代のアプリケーション開発では変化の量と速度が非常に大きく、従来のセキュリティ対策で対応するには困難になっています。

アプリケーションセキュリティの領域は、従来、開発者やエンジニア、およびアプリケーションセキュリティの専任者に委ねられていました。ただし、その他のセキュリティ監視はセキュリティ運用(SecOps)担当に委ねられています。今こそ、アプリケーションとAPIのセキュリティ可視性を公開し、共有責任を促進し、運用部門の効率を向上させる時が来ました。

このホワイトペーパーでは、本番環境と運用環境におけるアプリケーションセキュリティの不備という差し迫った課題について探ります。既存のソリューションの限界について深く掘り下げ、より包括的な対策の必要性に焦点を当て、ADR(アプリケーションにおける検知と対応)と呼ぶ画期的な手法を紹介します。ADRは、アプリケーションセキュリティに継続的な保護とリアルタイムの可視性を提供するよう設計されています。ADRにより、従来のセキュリティ対策によって生じたギャップを埋め、アプリケーション層が組織のサイバーセキュリティ戦略の盲点とならないことを保証できます。

現在のアプリケーションセキュリティにおける検知と対応：従来の3つ対策が不十分な理由

現在、企業には、本番環境におけるアプリケーションセキュリティのインシデント検知・対応について、3つの選択肢があります。そのうちの2つの選択肢である、WAFとセキュアなソフトウェア開発は、2000年代初頭に登場しましたが、どちらも現代のアプリケーションが本番環境で直面する脅威の全ての範囲に対処するために設計されたものではありません。3つ目の選択肢である、XDR(拡張検知・対応)やCNAPP(クラウドネイティブアプリケーション保護プラットフォーム)などの最新のツールは、アプリケーション層をカバーしていません。その結果、組織はアプリケーションの挙動をリアルタイムで把握できず、進行中の脅威を見逃し、効果的に対応することができません。

1. WAFは、既知の脅威に対する単純な攻撃をブロックするのに役立ちますが、重大な制限があります。WAFは境界で動作し、送受信トラフィックを検査して悪意のあるパターンを特定します。しかし、WAFはアプリケーション内部の動きを可視化できないため、攻撃を正確に検知することができません。この弱点のために、WAFは検知漏れと過剰なブロックの両方で悪名高いものとなっています。また、WAFには広範な調整やメンテナンスも必要です。誤検知による大量のアラートがセキュリティ部門に負担をかける一方で、本当に危険なのは、多くの実際の攻撃が検知されずにWAFをすり抜けてしまうことです。
2. 従来のセキュリティ運用ツールは非常に便利ですが、アプリケーションセキュリティを可視化できません。このようなツールには、XDR、EDR(エンドポイントにおける検知と対応)、NDR(ネットワークにおける検知と対応)、CDR(クラウドにおける検知と対応)、SIEM(セキュリティ情報/イベント管理)、SOAR(セキュリティのオーケストレーションと自動化による対応)、CNAPPなどがあります。これらのツールの有効性は、センサーやログファイルから受け取るデータの品質と網羅性によって制限されます。これらのツールでは、インテグレーション機能やエージェントを使用して、ホスト、コンテナ、ネットワークデバイス、クラウド環境からログとイベントを収集します。しかし、どのセンサーもアプリケーションとAPIのセキュリティを可視化できないため、これらのツールはアプリケーションセキュリティのインシデントの検知と対応には役立ちません。
3. セキュアなソフトウェア開発は、ソフトウェアが本番環境に移行される前に、開発ライフサイクル中に脆弱性を検出して排除することを目的としています。これは理論的には良さそうに聞こえますが、静的(SAST)、動的(DAST)、オープンソースのソフトウェアコンポジション解析(SCA)ツールなどのASTツールは、脆弱性の特定には成功していますが、脆弱性の軽減や修正には至っていません。実際、OWASPトップ10が初めてリリースされてから20年間で、脆弱性の平均数は24.2件から43.6件に増加しています。SASTツールで検出された脆弱性の対応/修復の平均時間(MTTR)は、現在290日³となっています。

これらの方法はいずれも、単独では十分ではありません。これらを組み合わせたとしても、今日の複雑なアプリケーション環境に必要な包括的な保護はできません。

CISO、アプリケーションセキュリティ部門、SOC(セキュリティオペレーションセンター)との議論では、繰り返し現れるテーマがあります。それは、企業・組織は、アプリケーションとAPIのセキュリティの盲点についてもっと知りたいと考えており、その盲点を埋めるソリューションを強く望んでいるということです。CISOは、アプリケーションレベルの脅威を把握して対応できないことに懸念を示し、現在のツールが不十分であることを認識しています。業界のリーダーたちの言葉は、この不十分な部分に取り組むことの緊急性と、この分野におけるイノベーションの必要性を強調しています。

例えば、あるCISOは次のように述べています：

「ネットワークとエンドポイントに対しては強固な防御策を講じていますが、アプリケーションに関しては、実質的に手探りで進んでいるような状態です。」

別のセキュリティ責任者は、次のように述べています：

「アプリケーション環境の複雑化が進む中、従来のセキュリティ対策ではもはや十分ではありません。より詳細な可視性と、より効果的な対応能力が必要です。」

ADRのご紹介

現代のアプリケーションの複雑さと相互接続性が増すにつれ、それらを標的とするサイバー脅威の巧妙さも増しています。従来のセキュリティ対策では、アプリケーション層で必要な可視性と保護を提供するには不十分であることが分かっています。幸いなことに、ADRという新しいセキュリティ技術が登場しました。

ADRは、アプリケーションとAPIに監視機能を組み込み、リアルタイムで脅威を保護して、検知・対応できます。ADRによって、ソフトウェアスタック全体のセキュリティ動作を継続的に可視化し、セキュリティインシデントを示す異常を特定できます。そして、脅威を軽減するためのアクションを自動的に実行し、運用部門と開発部門にインシデントの詳細情報や対応策を含むデータを得ることができます。

ADRによりアプリケーション層内から直接、詳細なリアルタイムの可視性と保護が提供されることで、他の検知・対応ソリューションが残したアプリケーションセキュリティの重大な空白を埋めることができます。セキュリティ担当は、他の攻撃ベクトルに対応するために、様々な検知・対応方法を導入してきました。例えば、ユーザのノートパソコンなどのデバイス向けのEDR、クラウド環境での脅威に対するCDR、IDを監視するITDR(IDの脅威検知と対応)などです。これらの技術によって、テレメトリが収集され、次世代SIEM、XDR、CNAPPプラットフォームに供給されます。しかしこれまで、アプリケーションの動作を直接監視して解析し、異常や脆弱性をリアルタイムで検知するものは存在しませんでした。

ADRを導入してこの空白を埋めることで、組織のITインフラの主要部分で攻撃者がどのように行動しているかを追跡することができます。攻撃者がアプリケーションやAPIを標的にするのは、それらが組織の最も価値のあるデータに直結しているからです。ADRを利用すれば、セキュリティ運用担当は、攻撃の起点となるアプリケーションやAPIから横方向への展開を追跡し、侵入が永続的になる前に阻止することができます。この機能により、セキュリティ運用担当は横方向の動きを抑え、敵の滞留時間を短縮できます。このホワイトペーパーの後半では、ADRをXDR、SIEM、CNAPPプラットフォームに統合して、セキュリティ運用担当が「一元管理」できるContrastのアプローチについて説明します。

ADRの活用事例

1. アプリケーション/APIの保護 — 運用担当は、アプリケーション/API層内の脆弱性が悪用されるのを未然に防ぐセキュリティ対策を導入する必要があります。ADRを使用することで、実行中のアプリケーション内に直接セキュリティ対策を組み込むことで、カスタムコード、フレームワーク、オープンソースライブラリ、アプリケーション/APIサーバ、ランタイムプラットフォームなどのアプリケーションスタック全体を保護できます。
   • 標準的なアプリケーションおよびAPIプラットフォームに導入
   • Kubernetesオペレータを使用してクラスター全体に導入
2. アプリケーション/APIの検知 — 運用担当は、アプリケーション/APIの脅威を迅速かつ正確に検知できなければなりません。ADRを活用することで、高度なアルゴリズムを使用してアプリケーションを継続的に監視し、異常な動作をリアルタイムで検知できます。そして、確認されたセキュリティインシデントを迅速にトリアージするための豊富コンテキスト情報を含むアラートを即時に提供できるようになります。
   • アプリケーションの異常な動作へのフラグ付けとモデル(XDR、SIEM、CNAPP)との関連付け
   • あらゆるHTTPリクエストの処理に関するセキュリティ構成図の即時参照
   • 誤検知のアラートを最小限に抑えた高精度な検知
3. アプリケーション/APIへの対応 — 運用担当は、特定された脅威に対して事前に定義された対応処理を迅速に実行できるよう、準備しておく必要があります。ADRにより、悪意のあるトラフィックが自動ブロックされ、侵害されたコンポーネントを隔離し、セキュリティ担当にインシデントの詳細情報を含めたの通知が可能になります。これにより、セキュリティインシデントを効果的に封じ込めて無効化し、影響を最小限に抑え、アプリケーションの整合性を維持できます。
   • 既知の脆弱性(CVE)の悪用の防止
   • カスタムコードとライブラリの両方におけるゼロデイ脆弱性の悪用の防止
4. アプリケーション/APIのオブザーバビリティとコンプライアンスの確保 — 極めて複雑なアプリケーション層のセキュリティを管理するには、すべてがどのように機能するかの詳細なアーキテクチャが必要です。ADRは、すべてのアプリケーションとAPIの詳細なリアルタイムのセキュリティ構成図を自動的に生成し、それらが相互にどのように接続されているかを示します。このような構成図は、規制要件に準拠していることを確認し、組織全体で効果的なセキュリティガバナンスを実現するのに役立ちます。
   • 企業全体のアプリケーション層におけるセキュリティ活動の継続的な可視化
   • XDR、SIEM、SOAR、CNAPPとのシームレスな統合による包括的なセキュリティ対策

2つのシナリオから見る： 安全でないデシリアライズのインシデント

現在、多くの企業で起きている実世界の状況について考えてみましょう。

ブラウザ内のJavaScriptユーザインターフェイスとデータを交換する、企業向けのWebアプリケーションを想像してみてください。開発者は、一般的なコーディングパターンに従い、ブラウザ内のデータオブジェクトをバイトストリームに「シリアライズ」し、それをWebアプリケーション内のオブジェクトに「デシリアライズ」しました。開発者は、安全でないデシリアライズの重大な脆弱性を意図せずに導入してしまったことに気づいていませんでした。この企業が従来使用していたSASTやDASTツールでは脆弱性を検出できなかったため、脆弱性を残したまま本番システムが稼働してしまいました。残念ながら、これは多くの組織でよくある出来事であり、その結果、「安全でないデシリアライズ」がOWASPトップ10に含まれることになっています。

ADR導入前

攻撃者はデシリアライズの脆弱性を利用して、サーバ上で任意のコードを実行するように設計されたペイロードを含む悪意のあるシリアライズされたオブジェクトを作成します。シリアライズされたオブジェクトがアプリケーションに到達すると、コードによって自動的にデシリアライズされます。このデシリアライズ処理の一環として、含まれているペイロードが実行され、攻撃者はサーバ上で任意のコードを実行できるようになります。つまり、サーバを完全に乗っ取ることができるのです。

残念なことに、この企業のWAFは攻撃がアプリケーションに到達するのを防ぐことができませんでした。WAFは、シリアライズされたオブジェクトの中身を見ることはできないため、悪意のあるペイロードが正当なユーザからの通常のトラフィックと異なることを識別できないのです。

さらに、この会社のEDR、XDR、SIEM、SOAR、CNAPPソリューションもこの攻撃を見逃してしまいました。これらのプラットフォームは、既知の攻撃パターンや異常がないか、エンドポイント、ネットワーク、ログを監視することに重点を置いています。シリアライズされたオブジェクト内の攻撃は、セキュリティプラットフォームからは見えません。なぜなら、攻撃はシリアライズされたデータに埋め込まれているため、この操作に関するログは何も記録されないからです。

サーバ上で任意のコードが実行できるようになったことで、攻撃者はさらなる行動を開始します。攻撃者は最初の足がかりを利用して内部ネットワークを探り、他の脆弱性や価値の高い標的を探します。そして、侵害したサーバを利用してネットワーク内を横方向に移動します。これは、アイランドホッピングと呼ばれるプロセスで、他の内部ホストを侵害し、機密データにアクセスします。

ADR導入後

次に、同じシナリオでADRが導入されている場合を考えてみましょう。ADRプラットフォームは、アプリケーションスタック全体をリアルタイムで継続的に監視します。通常の運用中に、ADRが安全でないデシリアライズの脆弱性が悪用されていることを検知します。以下の内容を含む詳細なインシデントレポートが作成されます。

• ペイロードを含む、完全なHTTPリクエストの情報。
• 実行中のコードから直接キャプチャされた、デシリアライズ処理のスタックトレース。
• 攻撃されているルートのセキュリティコンテキストを表すコンテキスト図。

セキュリティ担当が、インシデントの詳細を確認した後、攻撃をブロックするためにADRの自動応答機能を有効にすることを決定します。ADRの自動応答は、デシリアライズ処理をサンドボックス化するよう設定され、攻撃に関連するオペレーティングシステムのコールやその他の異常な動作を防ぎます。

自動応答が有効になると、攻撃が再度試みられたときにADRがすぐに介入し、悪意のあるペイロードがブロックされコードの実行を防ぎます。セキュリティ担当は、攻撃がリアルタイムで正常に阻止されたことを確認します。引き続き、セキュリティ担当はADRからのアラートを受け取り、悪用の試みについて常に情報を得ることができます。そして、開発担当は、ADRがアプリケーションを保護しているという安心感のもと、根本的なコードの脆弱性に関する情報を受け取り、修正作業を進めることができます。

ADRが最初から導入されていれば、状況は事前に管理されていたでしょう。ADRの深い可視性と継続的な監視機能によって、攻撃者が足場を築きインシデントを拡大する前に阻止できたはずです。コードに重大なデシリアライズの脆弱性があったとしても、ADRは安全性を確保します。カスタムコード、オープンソースライブラリ、フレームワーク、アプリケーションサーバなど、既知および未知の脆弱性を問わず、アプリケーションスタック全体を保護します。

Contrastランタイムセキュリティプラットフォーム：ADRを支えるテクノロジ

ADRの有効性は、開発、運用、セキュリティの各プロセスをシームレスに統合できる堅牢な基盤技術にかかっています。Contrastのランタイムセキュリティプラットフォームは、この基盤を提供し、アプリケーションランタイム内にセキュリティを組み込むための包括的なソリューションを提供することで、リアルタイムの保護、検知、および対応能力を確実にします。

上記のアーキテクチャ図で示すように、Contrastプラットフォームは、無関係な技術の寄せ集めではなく、アプリケーションとAPIセキュリティに対する統合的なアプローチとしてゼロから設計されています。まず、完全に分散化された軽量のセキュリティインストゥルメント機能により、実行中のアプリケーションやAPI内からアプリケーションセキュリティの動作を監視します。このテレメトリは、Contrastが高度なAppSecモデルを構築・維持するための最新のデータストリーミングアーキテクチャに供給されます。このモデルは、デジタルセキュリティツイン(DST)とも呼ばれます。このモデルにより、非常に正確な問題やインシデントの特定、コンテキストに応じたリスク評価、リアルタイムの通知などが可能になります。

リアルタイムのアラートとインサイト

• Contrast は、リアルタイムのデータを使用してセキュリティインシデントの深刻度を評価し、コンテキストと対策を含む即時アラートをトリガーします。
• Contrastは、環境全体のアプリケーションを常に監視し、変更を解析し、ポリシー違反にフラグを立てます。
• Contrastは、重要なセキュリティ情報を適切な部門・担当に直接配信し、シームレスな統合によって既に使用しているツールを通じて提供します。

リスクスコアリングエンジン

• Contrastの動的なリスクスコアリングエンジンは、ビジネスへの影響、脅威の状況、セキュリティの成熟度、脆弱性の詳細などの要素を考慮して、セキュリティ対策の優先順位付けを行います。
• リスクスコアリングエンジンにより、開発部門では高リスクの脆弱性の修正に集中することができ、運用部門はコードレベルの詳細な情報によってインシデントに迅速に対応することができます。

アプリケーションセキュリティモデル

• Contrastは、エンタープライズアプリケーションエコシステムのDST(デジタルセキュリティツイン)を作成します。このモデルは、インベントリ、攻撃対象領域、脆弱性、脅威、防御、接続などをカバーするリアルタイムの統合ビューです。
• 数百から数千のアプリケーションを処理できるDSTは、単一のモデル内で比類のない解析、正確なリスクの優先順位付け、効果的なインシデント対応を可能にします。

検索、ダッシュボード、レポート

• Contrastは、ポートフォリオ全体のAppSec状況を完全に把握するための豊富なデータのダッシュボードと強力な分析機能を提供します。
• ダッシュボードは、ロールベースのアクセス制御により、さまざまな役割(開発、セキュリティなど)に合わせて調整して提供され、さらに詳細な洞察を得るためにデータを照会・分析する機能も備えています。

ポリシーの一元管理

• Contrastを使用すると、組織は脆弱性評価からコンプライアンスまで、アプリケーションセキュリティのあらゆる側面を、アプリケーションポートフォリオ全体にわたってリアルタイムで管理できます。
• 新しいセキュリティルールはすぐに追加することができ、すべてのアプリケーションでカスタマイズできます。追加のスキャンや再デプロイは必要ありません。

最新のデータストリーミングアーキテクチャ

• Contrastの分散アーキテクチャは、すべての環境(開発、QA、本番、クラウドなど)のさまざまなソースから大量のセキュリティデータを効率的に取り込み、解析します。
• 脆弱性と攻撃に関するリアルタイムのテレメトリがセキュリティ運用(SecOps)と開発者に通知され、セキュリティ脅威の迅速な特定と対応を可能にします。

Contrastのランタイムセキュリティプラットフォームは、すでに世界の多くの大企業で数十万の重要なアプリケーションやAPIで使用されています。当社のランタイムセキュリティプラットフォームは、毎日何兆もの危険な関数呼び出しを監視し、保護しています。

包括的な検知と対応を実現するためのADRの運用化

ある金融サービス企業がContrast ADRを導入することで、AppSec運用を強化することを決めたとしましょう。当初、彼らの焦点は、プラットフォームの高度なインストルメンテーションとリアルタイム監視機能を活用して、アプリケーション環境内の脅威を検知し、対応することにあった。Contrastが導入されるとすぐに、セキュリティ担当はアプリケーションの動作と潜在的な脆弱性について、これまでにないレベルの詳細と洞察を得らるようになりました。

ステップ1：イベント管理のためのSplunkとの連携

Contrastが収集するデータの粒度と関連性の高さに感銘を受けた金融サービス企業のセキュリティ担当は、この貴重な情報を既存のSIEMシステムであるSplunkと連携させようと考えました。セキュリティ担当は、標準化されたイベントデータのためのCIM(共通情報モデル)に準拠し、syslogを使用してContrastからSplunkにイベントをストリーミングしました。

イベントがSplunkに流れ込んだら、この企業のセキュリティアナリストはContrast Splunkプラグインを使用してデータを可視化しました。この連携により、Contrastのアプリケーションセキュリティ・テレメトリを既存の監視およびトリアージプロセスにシームレスに組み込むことができました。Contrastが提供する豊富なコンテキスト情報により、担当はインシデントをより効果的に特定し、優先順位を付けることができるようになりました。詳細な攻撃パターンを把握し、脆弱性の影響をリアルタイムで理解し、アプリケーションセキュリティのイベントをSplunk内の他のデータソースと関連付けることで、インシデント対応のワークフローを合理化できるようになりました。

ステップ2：アプリケーションの動作によるCNAPPの強化

この金融サービス企業は、AppSecのインサイトをCNAPPと統合することの幅広い価値を認識し、ContrastをWizにも接続しました。この統合により、インフラとそのセキュリティ状況を包括的に把握し、インフラとAppSecの間のギャップを埋めることができました。

Contrastから詳細なAppSecデータがWizに供給されることで、セキュリティ部門は各ワークロードを掘り下げて、包括的なセキュリティアーキテクチャを確認できるようになりました。異なるコンポーネント間の相互接続を視覚化し、各接続のセキュリティへの影響を理解し、クラウド環境というより広いコンテキストの中でインシデントを浮き彫りにすることができました。これにより、アプリケーション層の脆弱性と脅威がインフラ全体のセキュリティにどのように影響するかをより深く理解することができました

ステップ3：強化されたワークフローによるADRの運用

SplunkとWizにContrastを統合したことで、この金融サービス企業のセキュリティ運用部門は、既存のワークフローを変更することなく、アプリケーションとAPIのセキュリティインシデントを特定し、対応できるようになりました。Splunkプラグインにより、Contrastのデータに簡単にアクセスできるようになり、既存のセキュリティ運用ワークフローを自然に拡張できました。Wizでは、アプリケーションとインフラの完全なセキュリティアーキテクチャをマッピングし、重要な脆弱性を特定し、組織への潜在的な影響を理解することができるようになりました。

この事例は、堅牢なセキュリティエコシステム内にADRを導入することの変革的な影響を明確に示しています。アプリケーションランタイム内にセキュリティを組み込み、包括的な監視および管理プラットフォームと統合することで、組織は保護をアプリケーション層全体に拡張できるのです。

ADRのビジネス事例：戦略的および財務的なメリット

ADRの導入は、セキュリティ体制の強化、コストの削減、イノベーションの推進を目指す組織にとって、説得力のあるビジネス事例となります。

セキュリティ体制の強化 — サイバー脅威の状況はかつてないペースで進化しており、アプリケーションやAPIは高度な攻撃の主要な標的となっています。従来のセキュリティ対策では、アプリケーション層に必要な可視性と保護がないことが多く、壊滅的な結果をもたらす可能性のある侵害に対して脆弱なままです。ADRが革新的なソリューションとなり、アプリケーション環境内の脅威に対するリアルタイムの監視、検知、保護を可能にします。ADRは、アプリケーションのランタイムに直接セキュリティを組み込むことで、脆弱性が悪用される前に確実に検知・緩和されるようにし、組織全体のセキュリティ体制を大幅に強化します。

自動化された脆弱性対策によるコスト削減 — データ侵害の経済的な影響は、罰金や訴訟費用などの直接的なコストだけでなく、風評被害や顧客離れなどの間接的なコストも含めて、甚大なものになる可能性があります。ADRを導入することで、脆弱性の検知・緩和が自動化され、攻撃が成功する可能性が減少するため、大幅なコスト削減につながります。脆弱性管理の自動化により、手動による介入の必要性が最小限に抑えられ、貴重なリソースが解放され、セキュリティ部門はより戦略的な取り組みに集中できるようになります。さらに、脆弱性を早期に特定して修正することで、コストのかかるインシデントを防ぎ、組織の収益を守ることができます。

CVE-2023-22527 Atlassian Confluence – テンプレートインジェクション

CVE-2023-34040 Spring/Kafka – 安全でないデシリアライズ

CVE-2023-22965 Spring4Shell – 悪意のあるデータバインド

CVE-2021-44228 Log4Shell – JNDIインジェクションによるリモートコード実行

CVE-2021-26084 Atlassian ConfluenceのELインジェクション

CVE-2020-17530 Apache Struts2 – ELインジェクション

CVE-2020-11651 Python Salt – 認証回避

CVE-2020-11652 Python Salt – ディレクトリトラバーサル

CVE-2020-9484 Apache Tomcat – 安全でないデシリアライズ

CVE-2019-2725 WebLogic –安全でないデシリアライズ

CVE-2019-0230 Apache Struts2 – ELインジェクション

CVE-2018-11776 Apache Struts2 – ELインジェクション

CVE-2016-0792 Jenkins XStream – 安全でないデシリアライズ

これらの脆弱性(CVE)は、公表される前からContrastで防御されていました。

開発生産性とイノベーションの向上 — アプリケーションセキュリティの主な課題の1つは、堅牢な保護の必要性と高速なソフトウェア開発の要求とのバランスを取ることです。従来のセキュリティツールは、誤検知を大量に発生させることが多く、不要なアラートや開発サイクルの遅延につながっています。ADRはこの問題に対処するため、誤検知を減らす高精度で豊富なセキュリティインサイトを提供し、本番環境の使用したリスクの優先順位付けを可能にし、対策プロセスを合理化します。セキュリティを開発パイプラインに統合することで、DevSecOpsの実践がサポートされ、開発担当がセキュリティを損なうことなく迅速にイノベーションを起こせるようになります。

規制要件への準拠の確保 — 規制への準拠は、現代のビジネス運営に重要な側面であり、NIST(米国国立標準技術研究所)、PCI(ペイメントカード業界データセキュリティ基準)、GDPR(EU一般データ保護規則)などによって厳しい要件が課せられています。ADRは、SEC(米国証券取引委員会)の新たな調査および開示要件を満たすために不可欠です。ADRは、セキュリティ活動の継続的な監視と詳細なレポートを提供することにより、組織がコンプライアンスを維持できるように支援します。

データ侵害のコストが壊滅的なものになる可能性がある時代において、ADRの戦略的な実装はセキュリティ上の必須事項であるだけでなく、健全なビジネス上の意思決定でもあります。ADRに投資する組織は、現代の脅威の状況の複雑さをうまく切り抜け、回復力、信頼、長期的な成功を確実にすることができます。

ADRの活用事例

ADRは、アプリケーション層のセキュリティを確保するという点において大きな飛躍をもたらし、従来のセキュリティ対策の欠点に対処し、既存のソリューションが残した重大なギャップを埋めるものです。

ADRは、リアルタイムの監視、詳細な動作解析、自動応答機能を提供することで、AppSecに革新的なアプローチをもたらします。高度なサイバー脅威に対する保護を強化し、脆弱性が悪用される前に検知して緩和します。セキュリティをアプリケーションのランタイムに直接組み込むことで、アプリケーションの動作に対して継続的に可視化し、制御することで、攻撃が成功するリスクを大幅に軽減します。さらに、ADRのコンテキストに応じた洞察と正確なリスクスコアにより、セキュリティ担当は修復作業を効果的に優先順位付けし、全体的なインシデント対応と復旧力を向上させることができます。

今すぐ取るべきステップ：

アプリケーションセキュリティのギャップを検証する：既存のセキュリティ防御を検証し、アプリケーションやAPIの攻撃に対して効果的な保護となっているかどうかを確認しましょう。

ADRの説明を行うデモに参加する：ADRが本番環境のアプリケーションとAPIにリアルタイムの可視性、継続的な監視、自動応答機能を実現できることを体感しましょう(*4)。

既存のツールと連携させる：XDR、SIEM、CNAPPプラットフォームとの統合を活用して、セキュリティの全体的な可視性とインシデント対応ワークフローを強化しましょう。

価値を認識する：ADRが自分の組織にとってもたらすメリットを評価しましょう。

組織は、アプリケーション層の保護の重要性を認識し、ADRをサイバーセキュリティフレームワークに統合するための積極的な対策を講じる必要があります。この戦略的な投資は、組織のデジタル資産を保護し、運用レジリエンスを高め、市場における競争優位性を確保するという長期的なメリットをもたらします。今こそ行動を起こし、進化し続けるデジタルの世界に置いて、組織を守るだけでなく、成功するための体制を整えましょう。

 

1 Verizon 2024 Data Breach Investigations Report, p. 31

2 The State of Vulnerability Management in DevSecOps

3 Veracode State of Software Security (PDF)

4 ADR demo