クラウドセキュリティにおけるアプリケーションの脆弱性

アプリケーションの脆弱性の概要

ほぼすべての組織のデジタルトランスフォーメーション計画において、クラウドは重要な役割を果たしています。クラウドは企業に柔軟性、スケーラビリティ、俊敏性を提供しますが、一方でサイバーセキュリティリスクも増大させています。

クラウドの導入により、組織の攻撃対象領域は飛躍的に拡大しました。一方で、可視性の不足や戦略の断片化が、新しい環境のセキュリティ確保を難しくしています。

クラウドを保護するには、一般的なオンプレミス環境を保護するモデルとは異なるセキュリティモデルが必要です。同時に、組織はクラウド環境内のすべてのコンポーネントであるエンドポイント、ワークロード、ネットワーク、アプリケーションを保護するために、多面的なアプローチを引き続き採用する必要があります。これにより、データの保護と運用の継続性の確保が可能となります。

この記事では、アプリケーションの脆弱性をより深く理解することで、組織がクラウドセキュリティポスチャ全体をどのように改善できるかに焦点を当てます。このリスクの本質と、それがどのように顕在化するかを説明し、組織および機能の革新を進めているテクノロジーを保護するために利用すべきベストプラクティスとツールを紹介します。

アプリケーションの脆弱性とは？

アプリケーションの脆弱性とは、攻撃者が悪用できるアプリケーションのコード内のギャップ、欠陥、または弱点を指します。他の脆弱性と同様、アプリケーションの脆弱性も組織のネットワークやシステムへの侵入口となり、悪意のアクターがサイバー攻撃を進める足掛かりとなります。

従来のソフトウェアアプリケーションとは異なり、現在のアプリケーションは複数のネットワークに加え、クラウドにも接続されています。このため、クラウドに特有のさまざまな脅威や脆弱性にさらされることになります。

クラウドでの脆弱性管理には、従来のオンプレミス環境にはない固有の課題があります。中でも特筆すべきなのは、クラウドサービスが常に変化している点です。そのため、ITチームはスケーリングのニーズを満たすために絶え間なくリソースのプロビジョニングとプロビジョニング解除を行っています。また、クラウド環境は動的であるため、サービスと設定が頻繁に変更されます。このことから、セキュリティチームはルーチンタスクを管理するための高度な自動化に加え、アセットを効果的に追跡して保護できるよう、セキュリティ戦略の他の要素との緊密な統合を必要としています。

アプリケーションの脆弱性の種類

アプリケーションコードに存在する欠陥や弱点は、どんなに些細で重要でないように見えるものであっても、悪用される可能性があります。このセクションでは、クラウド環境でよく見られる代表的なアプリケーションの脆弱性の例（すべてではない）を紹介します。

• SQLインジェクション：SQLインジェクションとは、悪意のあるSQLコードをアプリケーションに挿入し、攻撃者がデータベースにアクセスしたり、その内容を改ざんしたりできるようにするサイバー攻撃の一種です（SQLは、リレーショナルデータストリーム管理システムのデータ用に設計された、プログラミングで使用される言語です）。
• XSS（クロスサイトスクリプティング）：クロスサイトスクリプティングは、攻撃者が正当なWebサイト内に悪意のあるコードを挿入するコードインジェクション攻撃です。このコードは、感染したスクリプトとしてユーザーのWebブラウザ上で起動します。これにより、攻撃者は機密情報の窃盗や、ユーザーへのなりすましをはたらくことができるようになります。
• 認証の不備：認証の不備とは、サイバー攻撃者が実際のユーザーのアイデンティティを偽装して認証を通過したり、認証手段を回避したりして、侵害された認証情報、セキュリティキー、またはパスワードを使ってシステムにアクセスできることを指します。サイバー攻撃者は、承認されたユーザーのアイデンティティと権限を引き継ぐことで、環境内を自由に移動し、データを盗んだり、システムを改ざんしたりすることができます。また、バックドアを設定して将来のアクセスを確保することもあります。
• ゼロデイエクスプロイト：ゼロデイエクスプロイトは、ベンダーがまだパッチを適用していない、広く使用されているソフトウェアやオペレーティングシステムの脆弱性を狙ってIT環境に侵入するサイバー攻撃の一種です。ゼロデイエクスプロイトが特に問題となるのは、ソフトウェアベンダーがその脆弱性に気づいていないことが多いため、顧客のシステムがほとんど保護されていない状態になるからです。
• 設定ミス：従来のIT環境と同様に、クラウドベースの脆弱性で最も一般的なのは、設定ミスです。アプリケーションが適切に展開されていない場合、ユーザーが誤ってアクセスできるポイントが生じ、それが攻撃計画を進めるために悪用される可能性があります。
• 不十分なロギング/モニタリング：最新のクラウドストライクグローバル脅威レポートによると、サイバー攻撃の平均ブレイクアウトタイム（攻撃者が環境にアクセスし、その後ラテラルムーブメントを開始するまでの時間）は62分です。堅牢なログ管理やモニタリング機能が欠如していると、企業は攻撃を受けていることに気づくまでに時間がかかり、その間に電子犯罪者がデータを窃取したり、ITコンポーネントを改ざんしたり、悪意のあるコードを計画したりする機会を与えてしまいます。

アプリケーションの脆弱性による影響

侵害やセキュリティイベントにつながるアプリケーションの脆弱性は、組織に以下のような重大な影響を及ぼす可能性があります。

• データ、機密情報、または知的財産の損失
• 業務の中断
• 高額の修復コスト
• 評判の低下と顧客の信頼喪失
• 規制に基づく罰金や罰則
• 法的措置および訴訟
• 株価の下落
• 保険料の引き上げ
• 従業員の士気と生産性の低下

緩和戦略

アプリケーションの脆弱性は、企業にとって重大なリスクとなります。しかし、エクスプロイト可能な脆弱性が発生するリスクを低減し、万が一発生した場合の影響を軽減するために、組織が講じることができる対策があります。

定期的なコード監査と脆弱性評価を実施する。

脆弱性評価は、エンドポイント、ワークロード、およびシステム全体のサイバー脆弱性を定義、特定、分類、報告する継続的で定期的なプロセスです。評価の主な項目としては、次の点が挙げられます。

• すべてのクラウドアセットのインベントリを最新の状態に維持し、最も機密性の高いアセットに重点を置きながら、すべてのコードとアプリケーションの脅威評価を定期的に実施する。
• クラウドアセットを標的とする可能性がある最も一般的な脅威と脆弱性を常に把握し、パッチ適用などの適切な対策を講じて組織を保護する。
• アプリケーションのセキュリティを効果的に評価し、リスクを算出できるように、セキュリティ指標を明確で直感的なものにする。

開発ライフサイクルにセキュリティを統合する (DevSecOps)。

DevSecOpsは、ソフトウェアとアプリケーションの開発ライフサイクル全体にわたって継続的にセキュリティを統合することにより、最適なセキュリティとパフォーマンスの効率を確保する手法です。DevSecOpsの主な機能としては、次の点が挙げられます。

• リスク/ベネフィット分析を実施して、組織の現在のリスク許容度を判断する。
• セキュリティ環境における既存の脆弱性と既知の脅威に対処する包括的なビルトインセキュリティ戦略を作成する。
• アプリケーションに必要となるセキュリティコントロールを判断する。
• セキュリティ機能の開発およびテストプロセスにおいて繰り返されるタスクを自動化する。

効果的なパッチ管理システムを開発する。

パッチ管理は、ソフトウェア更新プログラム（パッチ）を識別し、コンピューター、モバイルデバイス、サーバーなどのさまざまなエンドポイントに展開するプロセスです。

効果的なパッチ管理プロセスには、以下の要素を考慮します。

• セキュリティパッチリリースの確認
• 脆弱性の重大度に基づいたパッチ適用の優先順位付け
• パッチの互換性テストと、影響を受けるすべてのエンドポイントへの複数パッチのインストール

堅牢なインシデント対応機能に投資する

インシデント対応 (IR) とは、データ侵害に対する準備、データ侵害の検知、封じ込め、およびデータ侵害から復元する手順を意味します。インシデント対応計画には、次の詳細が含まれます。

• インシデント対応が組織の広範なミッションをサポートする方法
• インシデント対応に対する組織のアプローチ
• インシデント対応の各フェーズにおける必要なアクション
• IRアクティビティを完了するためのロールと担当者
• インシデント対応チームと組織のその他の部署との通信経路
• インシデント対応機能の有効性を把握するための指標

アプリケーションセキュリティコントロールを実装する

アプリケーションセキュリティコントロールとは、コードレベルでアプリケーションのセキュリティを強化し、脆弱性を減少させる技術を指します。代表的なアプリケーションセキュリティコントロールには、以下のようなものがあります。

• 認証：ユーザーにシステムへのアクセスを許可する前に、ユーザーのアイデンティティが有効であることを確認します。
• 暗号化：不正アクセスを防ぐために、情報またはデータをコードに変換します。
• ログ記録：ユーザーアクティビティを調べて、疑わしいアクティビティや侵害のインシデントを監査します。
• 妥当性チェック：入力および処理されたデータが特定の基準を満たしていることを確認します。
• アクセス制御：IPアドレスまたは認可済みユーザーに基づいて、アプリケーションへのアクセスを制限します。

最小特権アクセスを確立する。

最小特権の原則 (POLP) は、コンピューターセキュリティのコンセプトおよび手法で、ユーザーの業務に必要なタスクに基づいて制限されたアクセス権をユーザーに与えるものです。POLPでは、アイデンティティが検証された承認済みのユーザーのみが、特定のシステム、アプリケーション、データ、その他のアセット内で職務を実行するために必要な権限を持てるようになります。

POLP戦略の一環として、組織は次のことを行う必要もあります。

• エンドポイントをモニタリングし、アクティブなエンドポイントディレクトリを保守する
• 特権の委任と昇格をモニタリングするために特権監査を実施する
• デフォルトのユーザーアクセスを必要最小限の特権に設定する
• 各アカウントを分離して、高度な特権が付与されているアカウントと基本的なプロファイルの間に明確な境界を設ける

ツールとテクノロジー

強固なDevSecOpsのアプローチを採用している組織であっても、脆弱性を含んだコードを作成する可能性は依然として存在します。そのため、サイバー犯罪者に悪用されるリスクのあるアプリケーションソースコード内の潜在的な弱点を発見するために、さまざまなテスト手法を活用することが重要です。

SAST（静的アプリケーションセキュリティテスト）

SASTは、ソースコードをはじめとするさまざまな静的入力を分析するアプリケーションセキュリティテストの一形態です。SASTは、アプリケーションが実行されてから行う動的テストとは異なり、開発ライフサイクルの早い段階で実施されます。このため、開発者はアプリケーションの展開前にセキュリティリスクを特定し、対処することができ、結果としてコードに悪用可能な脆弱性が含まれるリスクを減少させることができます。

DAST（動的アプリケーションセキュリティテスト）

セキュリティテストのもう1つの手法は、DASTです。DASTは「ブラックボックステスト」の一種であり、コードへのアクセスは必要ありません。代わりに、DASTはユーザーと同様にアプリケーションとやり取りを行い、インターフェースをリアルタイムでテストし、ランタイム時の脆弱性を発見します。前述のように、DASTではアプリケーションが展開された後、実際に稼働している状態でテストが行われます。

SASTとDASTはどちらも、包括的なアプリケーションセキュリティ戦略の中で重要な役割を果たすコンポーネントです。組織は、これら両方の手法を活用するとともに、前述の緩和策を取り入れることで、アプリケーションベースの攻撃リスクを効果的に低減する必要があります。

クラウドネイティブなセキュリティ機能

アプリケーションの脆弱性によるリスクを最小限に抑えるもう一つの効果的な方法は、主要なクラウドプロバイダーが提供するクラウドネイティブセキュリティ機能を活用することです。これらの機能には、継続的モニタリング、自動脅威検知、アイデンティティおよびアクセス制御が含まれますが、これに限らずさまざまな機能が提供されています。

これらの組み込みセキュリティ機能を活用することで、組織は以下の目的を達成できます。

• より迅速かつ効果的に脆弱性を特定して緩和する
• 対応時間を短縮し、リアルタイムの保護を実現する
• 業界標準と規制へのコンプライアンスを確保する
• アプリケーションのセキュリティに伴う複雑さを軽減し、コストを削減する

規制、標準、フレームワーク

前述の通り、コンプライアンスはアプリケーションセキュリティの重要な要素です。組織に適用される規制要件は、その所在地、業界、または個人情報の取扱い状況により異なりますが、多くの組織は何らかの形でコンプライアンス戦略を策定しています。

主な標準には次のものがあります。

• PCI DSS（ペイメントカード業界データセキュリティ基準）：クレジットカードのデータを受け入れ、処理、保存、または転送するすべての組織に適用される包括的なセキュリティ基準です。この基準では、セキュリティインシデントの防御、監視、検知、対応のプロトコルも定めています。

主な規制には次のものがあります。

• GDPR（EU一般データ保護規則）：EUのすべての居住者に対してデータ保護とプライバシーを提供する規則です。この規則は、個人が自分の個人情報をより厳格に管理できるようにすることを目的とし、また、グローバル企業に対する規制プロセスを簡素化することも目的として制定されました。
• HIPAA（医療保険の相互運用性と説明責任に関する法律）：米国の法律で、患者の医療情報や医療記録を保護し、その整合性を維持するためのプライバシー基準を定めています。

標準や規制への遵守がセキュリティを推進する理由

残念ながら、強固なセキュリティが何を意味するかは、主観的な要素に左右されるのが現実です。企業によってはコスト削減などを理由にセキュリティ対策が手薄になり、その結果、顧客やユーザー、患者、そしてそのデータがサイバー攻撃にさらされることがあります。

政府機関や規制機関は、これらの標準や規制を通じて、企業が個人とどのようにやり取りし、データを管理し利用するかに関する明確かつ厳格な要件を定めています。多くの場合、これらの標準は、組織が侵害を開示すべき特定の状況と、その際に取るべき手順も明確に示しています。

要するに、これらの標準の基本的な要素に従うことで、組織は強固なセキュリティポスチャを維持し、サイバー犯罪への有効な取り組みを継続できます。これにより、アプリケーションレベルでの攻撃を含む攻撃の可能性や重大度を低減できます。

今後の動向

人工知能、振る舞い分析、機械学習、エクスプロイト緩和などの新技術の登場が、クラウドアプリケーションセキュリティに革新をもたらし、組織が既知および未知の脅威から保護できるよう支援しています。

従来のツールやシステムでは、特定のタイプのマルウェアに関連付けられた「シグネチャ」と呼ばれる文字列を使用して、類似した攻撃を検知し、攻撃の進行を防ぎます。一方で、新しいテクノロジーはより高度な防御方法を提供し、シグネチャがまだ認識されていないいわゆる「未知の脅威」から組織を保護します。

この点が重要なのは、巧妙な攻撃者が従来の防御策を回避する方法を見つけているためです。例えば、マクロやスクリプトエンジン、メモリ内実行などを利用したファイルレス攻撃によって、攻撃を仕掛ける手段を取っています。

クラウドセキュリティ対策の進化に関する予測

脅威の状況は絶えず進化しています。これはつまり、サイバーセキュリティサービスプロバイダーが攻撃者の一歩先を進み続けなければならないことも意味します。現在、業界での変化を促進している最大の要因は、企業のクラウドへの移行です。これにより、企業は新たなクラウド特有のセキュリティ対策を導入するとともに、プロセスやプロトコルを見直し、完全な可視性、適切なアクセス、そしてアイデンティティ管理を確保する必要があります。

ここでは、近い将来にクラウドセキュリティ対策がどのように進化するかについていくつかの予測を示します。

1. テクノロジーの進化により、自動化がさらに進む。AIを活用したツールは、クラウドベースの脅威の検知を向上させるだけでなく、自律的な対応や修復の支援にも貢献します。攻撃者もAIを利用して脅威の規模や複雑さを増大させており、ITチームのリソースが限られている現状では、攻撃が修復されずに放置されると破壊的な結果を招く可能性があります。そのため、自律的な対応と修復機能は極めて重要です。
2. ゼロトラストアーキテクチャが今後の標準となる。ゼロトラストとは、組織のネットワーク内外を問わず、すべてのユーザーを認証し、認可し、セキュリティ設定やセキュリティポスチャについて継続的に検証したうえで、アプリケーションやデータへのアクセスを許可または維持するセキュリティフレームワークです。これは、「信頼するが検証する」という従来のネットワークセキュリティのアプローチとは大きく異なります。ゼロトラストフレームワークにAI、ML、振る舞い分析を統合することで、アクセスパターンを継続的に分析し、異常を検出することにより、セキュリティの効果をさらに高めることができます。
3. 分散型セキュリティモデルがブロックチェーンテクノロジーによって強化される。透過的で改ざん防止が施された台帳を確立するブロックチェーンテクノロジーを活用してセキュリティイベントを記録することで、トレーサビリティが向上します。この分散化にエッジコンピューティングを組み合わせることで、企業はデータの整合性と信頼性を守るために新たなセキュリティ戦略とツールを採用する必要が出てくるでしょう。

アプリケーションの脆弱性を抑止するための重要な考慮事項

それぞれの組織によって脆弱性管理に対するニーズ、課題、リスク許容度、目標は異なりますが、脆弱性管理ソリューションを評価する際に共通して考慮すべき重要な要素がいくつかあります。

統合

現在のサイバーセキュリティスタックとITインフラストラクチャで使用しているツールとスムーズに統合できるソリューションかどうか？

互いに適切に統合されるツールを使用することで、セキュリティチームと開発者が効果的にコミュニケーションを取り、修復作業を迅速化でき、その結果、セキュリティの強化とプロセスの効率化が実現します。

スケーラビリティ

どのような制限事項があるか？

組織が使用しているクラウドサービスプロバイダー、展開タイプ、プログラミング言語に関係なく、ソリューションが適切に機能するかどうかを理解することが重要です。

コスト

価格はどのように計算されるのか？

ベンダーによって価格設定の方法が大きく異なるため、価格モデルを理解することは非常に重要です。

組織の規模に適したツールの総所有コストはどれくらいか？また、そのソリューションは他の分野でコスト削減に寄与するか？

多くのベンダーは、ツールの導入に対するビジネスケースを確立するために役立つ投資収益率 (ROI) の計算を提供しています。

評価

ベンダーは、このツールに関して業界の賞やアナリストの評価を受けているか？

アナリスト企業はサイバーセキュリティを含む多くの業界で重要な役割を果たしています。アナリストからの高い評価は、そのベンダーが最新の進展に対応し、顧客のニーズに応えていることを示しています。

これらの要素に加え、クラウドセキュリティの新たな課題、特に進化し続けるアプリケーションの脆弱性について、継続的に学び、トレーニングを実施する文化を定着させることも重要です。サイバー脅威に対する最前線は従業員であり、オンラインでの適切な行動を促進することが、IT環境全体のセキュリティ確保に不可欠です。

実績のあるサイバーセキュリティベンダーと連携し、クラウドアプリケーションを含む幅広いトピックに関する充実したインタラクティブなトレーニングを開発することをお勧めします。全従業員を対象に定期的にトレーニングを実施することで、最新の脅威手法やリスク、従業員の行動が組織のセキュリティに与える影響、そして不審な事象への適切な対応方法を学ぶことができます。

クラウドアプリケーションセキュリティにおける次のステップ

今日の脅威環境では、組織はクラウドアプリケーションに関連する脅威を含む、拡大し巧妙化する攻撃から保護するため、包括的なセキュリティソリューションを策定し実装する必要があります。以下に、組織が現在のクラウドセキュリティポスチャを評価し、改善するための推奨事項をいくつか示します。

1. 攻撃者を理解する。組織を保護するための第一歩は、攻撃者が何者で、目的は何か、どのように行動するかを理解することです。特に、攻撃者がクラウド環境でどのように活動し、どのような戦術、手法、手順 (TTP) を使用するかを考慮することが重要です。
2. エクスポージャーリスクを軽減する。クラウドベースのアプリケーションやワークロードを追加するたびに、組織の攻撃対象領域は広がっていきます。エクスポージャーリスクを軽減するには、組織は次の2つの措置を講じる必要があります。
   1. すべてのクラウドアプリケーション、ワークロード、その他のアセットのインベントリを管理して、クラウド環境全体の可視性を高めます。
   2. 攻撃対象領域を制限するために、不要または廃止されたクラウドリソース、アプリケーションマイクロサービス、APIを継続的に検索して削除します。
3. クラウドアプリケーションセキュリティポリシー、フレームワーク、アーキテクチャを開発して実装する。多くの組織にとって、クラウドは新しい領域であり、そのため独自のセキュリティ戦略が求められます。企業は、適切なアクセス管理、アイデンティティ管理、そして継続的モニタリング機能を通じて、クラウドベースのすべてのアセットのセキュリティを維持するための、クラウド固有のポリシー、プロトコル、手順を開発し、実施する必要があります。

進化し続けるサイバー脅威から保護するには、アプリケーションの脆弱性に対処することが急務です。この点を踏まえると、組織が迅速かつ包括的な措置を取ることが不可欠となります。高度な攻撃に対する堅牢な防御を確立するために、サイバーセキュリティの専門家と連携してクラウドアプリケーションセキュリティを強化することを強くお勧めします。