RASP（ランタイムアプリケーション自己保護）

RASP（ランタイムアプリケーション自己保護）とは？

ランタイムアプリケーション自己保護 (RASP) とは、ソフトウェアプリケーションにセキュリティ機能を組み込むことで、アプリケーションの実行中に悪意のある攻撃を防ぐテクノロジーを説明するためにGartnerが作った用語です。

ネットワークやエンドポイントレベルでの保護を提供する従来のセキュリティソリューションとは異なり、RASPはアプリケーション自体に焦点を当て、ソフトウェア内に組み込んだセンサーとコンテキスト情報を使用して、ランタイム中にアプリケーションを監視し、各ソフトウェアに存在する特定の脆弱性に対処し、リアルタイムで脅威を自動的に防ぎます。

RASPが重要な理由

近年、アプリケーションはサイバー犯罪者やハッカーにとって効果的で利益を生み出す攻撃ベクトルになっています。これらの攻撃者は、アプリケーションの脆弱性や設定ミスなどの人的エラーやオープンポートなどを利用します。

Webアプリケーションファイアウォール (WAF) や不正侵入防止システム (IPS) などの従来のネットワークやインフラストラクチャのセキュリティ対策は、ネットワークトラフィックやユーザーセッションを監視して疑わしいアクティビティを特定しますが、これらのツールはアプリケーション内のトラフックやデータは監視しないため、組織はアプリケーションに対する攻撃に脆弱な状態になります。

RASPはアプリケーション内部にセキュリティを移動することで、組織がリアルタイムでアプリケーションデータを収集し、そのデータをアプリケーションのコンテキストを考慮して評価できるようにします。ツールは各アプリケーションとその実際の使用に固有なため、RASPは従来のツールやソリューションとは比較にならないレベルの精度と能動的な動作を提供します。

RASPとクラウドセキュリティ

RASPは、組織のクラウドセキュリティ戦略の重要な構成要素です。特にクラウドアプリケーションセキュリティで重要です。ビジネス変革への取り組み、新しいビジネスモデルの実現、リモート作業の積極的な採用に向けてクラウドの利用度が高くなるに伴い、クラウド環境やハイブリッド環境で遂行するすべてのビジネスをセキュリティで保護し、安全な状態に維持することも必要になります。

従来のセキュリティ対策はクラウドの保護機能を備えていません。つまり、組織は新しい戦略を策定し、アプリケーションレベルのポリシー、ツール、技術、ルール（特にRASP）などの新しいツールを採用し、すべてのクラウドベースのアセットの可視化を維持し、サイバー攻撃からクラウドベースアプリケーションを保護し、承認されたユーザーにのみアクセスを制限する必要があります。

RASPのユースケース

RASPツールは、主に次の2つの機能を提供します。

1. アプリケーション保護：ランタイム中のアプリケーションに存在するセキュリティ上の脆弱性と悪意のあるアクティビティを検知してブロックします。
2. 脅威インテリジェンス：アプリケーション内部で詳細なコードレベルの可視性を実現し、組織を攻撃している人物、その攻撃方法、その動機をセキュリティチームが把握するうえで効果的なインサイトを生成します。これにより、ゼロデイ脆弱性や他のサイバー攻撃から防御できます。

RASPの仕組み

RASPテクノロジーは、最新のソフトウェアエンジニアリング原則を利用して、アプリケーションレベルで保護と脅威インテリジェンスを有効にします。RASPはコードベース内にセンサーをインストールして、アプリケーションの実行を監視し制御します。これらのセンサーは、ランタイム時のアプリケーションアーキテクチャと実行フローを完全に可視化できます。

RASPツールは、このセンサーデータとコンテキスト情報（コード、アプリケーションロジック、設定と構成、ランタイムデータと制御フロー、およびその他の入力など）を組み合わせて、ソリューションがリスクの高いアクティビティやアクティブな侵害を特定することで、このようなイベントを低減する方法について正確で時宜を得た決定をできるようにします。

RASPとWAF

RASPとWebアプリケーションファイアウォール (WAF) には、共通の目標として、サイバー攻撃やデータ侵害からネットワークアプリケーションを保護することがあります。ただし、これらのツールでは、この目標に向けて採用している手法がそれぞれ異なり、またさまざまな制限があります。

WAFは、Webアプリケーションとインターネット間のHypertext Transfer Protocol (HTTP) とHypertext Transfer Protocol Secure (HTTPS) トラフィックをフィルタリング、監視、分析することで組織を保護するアプリケーションセキュリティデバイスです。WAFは、脅威がアプリケーションに到達する前にブロックします。ただし、WAFは境界ツールとしてアプリケーション内のアクティビティを監視する機能は備えていないため、ファイアウォールを通り抜けた攻撃者がアプリケーションを使用して攻撃プランを実行しようとしている可能性があります。

ここでRASPが登場します。RASPは、WAFやその他の予防的セキュリティツールをすり抜けた攻撃を阻止するために、アプリケーションデータとコンテキスト情報を使用してネットのように機能します。

クラウドコンピューティングの増加やモバイルデバイスの普及により、各組織の境界から簡単に侵入しやすくなったことで、汎用ファイアウォールとWebアプリケーションファイアウォールの有効性が低下しています。この欠点は、アプリケーションを含むすべてのクラウドベースのアセットの保護を実行する包括的なセキュリティ戦略の重要性を明確に示しています。WAFとRASPは、すべての包括的なサイバーセキュリティ戦略の2つの重要なコンポーネントです。

RASPのメリット

RASPセキュリティは、アプリケーションレベルで自動化されたリアルタイム保護を提供します。これにより、組織にとって次のような数多く重要なメリットがもたらされます。

アプリケーションレベル攻撃の防止

RASPは何よりもまずアプリケーション攻撃から組織を保護するための重大な機能です。アプリケーションレベルのサイバー攻撃の例は次のとおりです。

• ゼロデイ攻撃：未知のセキュリティ上の脆弱性やソフトウェアの欠陥を、その対策パッチがソフトウェア開発元からリリースされる前に悪用するサイバー攻撃です。
• クロスサイトスクリプティング (XSS)：正当なWebサイトに攻撃者が悪意のあるコードを挿入するコードインジェクション攻撃です。このコードは、感染したスクリプトとしてユーザーのWebブラウザ上で起動します。これにより、攻撃者は機密情報の窃盗や、ユーザーへのなりすましをはたらくことができるようになります。
• SQLインジェクション：既知の脆弱性を利用して攻撃者が悪意のあるSQLステートメントをアプリケーションに挿入します。その点でXSSに似ています。これにより、攻撃者は情報の抽出、改ざん、削除ができます。
• DoSとDDoS：悪意のある標的型の試みであり、事業運営を混乱に陥れるためにネットワークに偽のリクエストを大量に送り込み、機能不全にします。

リソースの最適化

RASPツールは、日常的なアプリケーションモニタリングとイベント対応を自動化することで、ITチームが人の介入を必要とするタスクに限られたリソースに集中できるようにします。さらに、RASPソリューションはアプリケーション内のデータを利用するため、従来のツールよりはるかに高いレベルの精度で動作します。これにより、ITチームが手動で調査し解決する必要のあるアラートやフォールスポジティブの数を削減できます。

データ保護

RASPが動作しているアプリケーション内に保存されたデータは、そのアプリケーションが侵害されても保護されます。これにより、アプリケーションの情報が自己保護されているため、アプリケーションにアクセスし、データを盗もうとしているハッカーは、その情報を表示したり使用したりできる可能性が低くなります。

継続的な保護

RASPはコードレベルでの保護を有効にします。つまり、アプリケーションは自己保護の状態になり、クラウド、オンプレミス、またはハイブリッドクラウド環境のどこに展開されるかに関わらずその状態を保ちます。RASPは、アプリケーションが異なる環境で更新または再起動されても、修正する必要はありません。これにより、組織に高レベルの継続的な保護が提供され、デプロイすると監視やメンテナンスがほとんど必要ありません。

DevOpsのサポート

より多くの組織がDevOpsと呼ばれるアジャイルソフトウェア開発プロセスを利用するようになったことで、チームは開発時や生産時にアプリケーションのセキュリティテストを誤って無視する可能性があります。RASPは、アプリケーションのコード内の脆弱性とその利用方法に関連しているため、開発者に貴重なコンテキストを提供します。DevOpsチームはこの情報を使用することで、セキュリティリスクを低減し、インタラクティブなアプリケーションセキュリティテストをサポートするためにアプリケーション内で強化する必要のあるアプリケーションのコード部分を特定できます。

RASPのベストプラクティス

RASPソリューションは、アプリケーションを安全に保つには非常に有用ですが、次のベストプラクティスに従うと、ツールを最大限に活用できます。

1. DevSecOpsアプローチを採用する

RASPは特定の種類の攻撃に対する防御では優れていますが、すべてのサイバー犯罪者や攻撃者に1つの方法のみで対抗しようとすることは望ましくありません。DevSecOpsのアプローチを採用して、サイバーセキュリティの風土を組織に取り入れる必要があります。このアプローチでは、SDLC（ソフトウェア開発ライフサイクル）上でセキュリティ対策をプロセスの左方向へ移動します。つまり、プロセスの開始当初からセキュリティを組み込みます。

2. ツールエコシステムを検討する

組織に組み込むRASPソリューションを評価するに当たって、現在使用しているツールにRASPソリューションをどのように連携するかを検討することが重要です。最先端のRASPソリューションの中には、SIEMやDASTなどのソリューションとの統合機能を備えているものがあります。

3. テストを繰り返す

完全に実装する前に、RASPソリューションを繰り返しテストして、ツールと統合するアプリケーションのパフォーマンスを監視します。RASPソリューションが個々のアプリケーションに与える影響を完全に理解することで、ITチームはアプリケーション内で発生した異常なイベントをすばやく特定できます。

クラウドワークロード保護ソリューションを使用したアプリケーションの保護

Falcon Cloud Securityソリューションを使用すると、クラウドネイティブアプリケーションを短期間で確実に構築、実行、保護できます。Falcon Cloud Securityにより、あらゆるクラウド上で、すべてのワークロード、コンテナ、Kubernetesアプリケーションにわたり、クラウドネイティブスタック全体を対象として、包括的な侵害保護が実現します。

クラウドストライクのクラウドソリューションの保護により、組織はモニタリングと検知を自動化し、疑わしいアクティビティ、ゼロデイ攻撃、危険な振る舞いを阻止することで、脅威の一歩先を行き、攻撃対象領域を縮小することができます。このソリューションの機能は次のとおりです。

完全な可視性

Falcon Cloud Securityは、ワークロードとコンテナのイベントとインスタンスメタデータを完全に可視化し、より迅速かつ正確な検知、対応、脅威ハンティング、調査を可能にし、クラウド環境でいかなる脅威も見落とされないようにします。

攻撃の防御

クラウドストライクのクラウドソリューションを使用すると、組織はモニタリングと検知を自動化することもでき、疑わしいアクティビティ、ゼロデイ攻撃、危険な振る舞いを阻止することで、脅威の一歩先を行き、攻撃対象領域を縮小できます。

迅速なセキュリティ確保

Falcon Cloud Securityの主要な統合機能は、継続的インテグレーション/継続的デリバリー (CI/CD) のワークフローをサポートしているので、パフォーマンスを犠牲にすることなくDevOpsの迅速さでワークロードをセキュリティ保護できます。

Falcon Cloud Securityの詳細については、当社のソリューション概要をダウンロードするか、当社製品ページを参照してください。