{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
サイバーインテリジェンス活用によるセキュリティ課題の解決-ウェブアプリケーション開発におけるサイバーインテリジェンスの活用
2023-02-22
ウェブアプリケーション開発におけるセキュリティ対応の動向
サイバー攻撃の多様化や高度化に伴い、セキュリティ対策の重要性はますます増加しています。ウェブアプリケーション開発におけるセキュリティ対応方針としては、一般的にはOWASP(Open Web Application Security Project)などが策定した外部のガイドラインに基づいてセキュリティ規程が各社で定められています。また、開発の柔軟性とスピードを両立させるため、セキュア・バイ・デザインやDevSecOpsなどの概念を取り入れる企業も増えつつあります。
他方、自社が策定したセキュリティ規程に則るだけで変化し続けるサイバー脅威の動向を逐次反映することは難しく、セキュリティ規定を遵守したものの、リリース前や運用段階のセキュリティ診断において問題が発覚し、追加コストが発生してしまうケースも少なくありません。
本稿ではこの課題に対し、連載の第1回で取り上げたサイバーインテリジェンス(主にOperations観点)を活用したアプローチについて考察します。
ウェブアプリケーション開発におけるサイバーインテリジェンスの活用
図表1で示したようなウェブアプリケーション開発プロセスにおいて、サイバーインテリジェンスの活用方法を3つの観点から述べます。
リスク分析範囲の拡大
サービスおよび業務の企画段階でセキュリティ対応方針を検討する際には、まずは開発するウェブアプリケーションのリスク分析を行い、その結果に基づいてセキュリティ対応方針を策定する必要があります。
リスク分析を行う場合、一般的にはウェブアプリケーションに対するサイバー脅威(OWASP Top10など)と、ウェブアプリケーションで取り扱う情報などを踏まえた上で、脅威の発生可能性と被害時の影響度合いを算出し、想定されるリスクの種別と度合いを特定します。
しかしながら、このリスク分析による評価結果は、開発したウェブアプリケーションがサイバー攻撃の被害にあわない(被害を最小化する)ためのセキュリティ対応方針を検討する際の材料でしかありません。
開発したウェブアプリケーションがサイバー攻撃の被害を受けた後に、その被害が他のシステムなどに拡大するケースもあるため、ウェブアプリケーションリリース後のビジネスへの潜在的なリスクを特定するためには、自社のIT環境全体を考慮したリスク分析が必要です。他方、ウェブアプリケーションが被害を受けた後のリスク(2次/3次被害リスク)を網羅的に分析することは、対象範囲が広範となることから現実的ではありません。
この点において、サイバーインテリジェンスが活用できると考えます。
具体的には、開発するウェブアプリケーションと同様の特性(取り扱う情報や利用用途など)を持つウェブアプリケーションで発生したサイバーインシデントの事例を基に、2次/3次被害が発生するケースや、2次/3次被害により生じうるビジネスへの影響を特定します。
これにより、ウェブアプリケーションの開発にあたって生じる自社のビジネスへの潜在的なリスクを可視化することができ、ウェブアプリケーションの開発を承認する際の判断材料として活用することも期待できます。
運用からのフィードバック
前述のリスク分析結果に基づくセキュリティ対応方針に従い、次工程ではウェブアプリケーションに実装するセキュリティ要件を定義することになります。
セキュリティ運用設計での手戻りを減らすため、セキュリティ要件を定義する段階で運用チームにも参画してもらうことが望ましいです。
運用チームが参画することで、既存のセキュリティ運用体制やプロセスをもとに、平時での対応(脆弱性情報収集やパッチ適用など)や、有事での対応(インシデント対応など)に関わるフィードバックを得ることができます。これに加え、サイバー脅威の攻撃手法とサイバー脅威に対する自社の検知体制・プロセスをサイバーインテリジェンスとして活用した際、以下の2つの観点からフィードバックを得ることもでき、セキュリティ運用設計段階での手戻りを削減させることが期待できます。
- リスク分析時に識別したサイバー脅威に対し、MITRE ATT&CKのフレームワークで定義された攻撃ステップごとに検知できるか(検知できない攻撃手法はないか)。
- 攻撃検知後に被害状況を特定するためには、どのような証跡(ログ)をウェブアプリケーション側で取得する必要があるのか。
コンポーネント選定への活用
アプリケーション開発においては、OSSなどさまざまなコンポーネントが利用されており、コンポーネントの選定基準は各企業が定めています。
選定基準にはセキュリティ対応に関わる要件も含まれており、特にOSS選定に際しては最も重要視される要件です。そこで選定候補となるOSSの開発コミュニティ分析といったサイバーインテリジェンスを活用することで、脆弱性発覚後の対応品質などを製品ごとに比較評価することができ、より品質の高いOSSの選定が可能となります。
おわりに
本稿で紹介したようなサイバーインテリジェンスのアプローチを活用することにより、ウェブアプリケーション開発に伴う自社の潜在的リスクの可視化や、セキュリティ対策実装の効率化などが期待できます。
また冒頭で述べたように、近年はセキュア・バイ・デザインやDevSecOpsなどの概念が反映されつつありますが、サイバーインテリジェンスのアプローチをさらに加えることで、よりセキュアかつ効率的なウェブアプリケーションが実現できると考えます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
