アプリケーションを外部攻撃の標的にさせないためのセキュリティ 2022年

2022年07月13日
アプリケーションを外部攻撃の標的にさせないためのセキュリティ 2022年

Author

大塚和彦 Kazuhiko Ohtsuka

皆さん、こんにちは。

唐突ですが、最近、自宅のベランダに鳩が来るようになり、攻撃？を受けております。（鳩は攻撃をしていると思っていません）
このような外部からの攻撃に対処する方法について、お知らせさせていただきたいと思います。

鳩からの攻撃ではなく、最近話題のアプリケーションへの攻撃について、お話させていただきます。

SolarWinds社のサプライチェーン攻撃の脅威は、どこの会社でも存在する

リックソフト株式会社ではオープンソースソフトウェア（以下、OSS）の脆弱性検出と対策支援、ライセンスコンプライアンス遵守支援を行うツール「Mend SCA（旧WhiteSource）」という製品を提供しています。

大手市場調査会社のアナリストからの話では、2019年〜2020年頃はOSSライセンスのコンプライアンス遵守やDevSecOpsなどの相談が多かったですが、2020年後半からサプライチェーンの見直しやSBOM（Software Bill Of Materials：ソフトウェア部品表）への対応に関する相談が増えはじめたということです。

その理由は、2020年12月に全米を震撼させたSolarWinds社のサプライチェーン攻撃によるハッキング事件です。ほとんどの企業が同じ脅威（セキュリティリスク）をもっていることに気づき、問題視し始めたからです。

ソフトウェア開発会社に開発を委託し、納品されたソフトウェアに「脆弱性が存在しないか？」「危険なOSSライセンスのソースコードを使用していないか？」というチェックまで行っている企業は、それほど多くありません。

対策をしている企業でも、契約書に脅威（リスク）を回避する条項を記載しているくらいなのではないでしょうか。

健全な状態であることを証明したソフトウェア開発が求められていることは間違いありません。

市場レポート「サプライチェーン攻撃の重要度は増す」

それら証明するように、2021年7月29日に欧州ネットワーク情報セキュリティ機関（ENISA）は、2021年にはサプライチェーン攻撃は2020年と比較して4倍も増加し、今後も増え続けると発表されました。

大手市場調査会社：Forrester社も、2022年5月19日に「The State Of Application Security, 2022」という調査レポートから、アプリケーションの外部攻撃の脅威という点で1位：ソフトウェア脆弱性、2位：サプライチェーン攻撃、3位：Webアプリケーションのエクスプロイトという結果が発表されました。

このForrester社のレポートではAPIに関する脅威（リスク）も提唱しています。

Forrester: The State of Application Security, 2022（英語版）

いま組織全体で見直し必要となったセキュリティ戦略

話が違う方向に飛んでしまいますが、最高情報セキュリティ責任者（CISO）の役職者、もしくは相当する役割をもつ情報システム部門マネージャーが存在する企業では、前述のような背景からセキュリティポートフォリオの再設定を行なっていることと思います。

またセキュリティポートフォリオを定義するとともに、情報システム部門の在り方も大きく変わりつつあります。

ビジネス部門では急激な変化に対応するため、自らが考え素早く対応する方向に向かっていることと思います。それら全てを情報システム部門が管理するということは非常に困難ですので、セキュリティ統制するために必要なIT共通基盤を構築する必要がでてきました。

例としては、１つは外部サービスや他アプリケーションと接続するためのAPI連携統合基盤などです。さまざまなクラウドサービス（SaaS）やアプリケーションが、網目のようにAPI連携した場合、それらを把握することは難しくなります。まさしくSolarWinds社の事件のように、脅威（リスク）にすら気がつかず、発見が遅れてしまうことにもつながります。

情報システム部門でガイドラインやポリシーを作成し、外部連携するためのコネクタと接続アカウントなどを管理することが必要になります。

この部分については、話が長くなるので機会があればブログで書きたいと思っています。