アプリケーションセキュリティには、さまざまな要素がありますが、日々新しいアプリケーションが開発される状況とアプリ数を考えれば、アプリケーションセキュリティについて検討することが必要だと分かると思います。

1. 優先順位は高くないが重要なもの

IoTおよびモバイルアプリケーションのセキュリティについてArxanとIBMが行った調査では、攻撃防止策を何も講じていないことを認めた回答者が44%という高い割合に達しました。

人によっては、このような回答がアプリケーションポートフォリオのうちの一部に関するものにすぎないと思うかもしれません。しかし、Webセキュリティに関するWhiteHat Securityの半年ごとのレポートでは、「保険業界では約3分の1、銀行および金融サービス業界では約40%、ヘルスケア業界と小売業界では約半数、製造業界、食品・飲料業界、およびIT業界では半数以上のアプリケーションは、常に脆弱である」と報告されています。

WhiteHat Securityの「常に脆弱」という語句は、「年間を通じてすべての日において脆弱である」ことと定義されています。つまり、多くのアプリケーションは脅威にさらされていると言えるでしょう。

さらに、同レポートでは「業界によって異なるが修正までの平均期間は、約100日間から245日間に及ぶ」ことが分かりました。業界別でみると、小売業界とヘルスケア業界では約200日、テクノロジーおよびIT業界ではこれを上回る約250日間を脆弱性の修正に要しているそうです。

このような状況を生み出しているのは、最初に述べた放任主義的な姿勢です。アプリケーションセキュリティが、優先度リストの上位にない場合、アプリケーション(またはアプリケーションにデータを供給するAPI)の相当に割合の脆弱性が存在すると考えても誤りではありません。

2. アプリケーションだけに注意を払わない

アプリケーションセキュリティは、アプリケーションのみに関係するものだという誤解があるかもしれません。

アプリケーションが独立した存在であれば、これは正しいかもしれません。しかし、アプリケーションはプラットフォーム上で展開され、サードパーティによるスクリプトやAPIに依存し、またデータ管理を担うシステムと一体化されます。これはアプリケーションセキュリティがスタックであり、アプリケーションそのものだけではなく、すべてのコンポーネントについて注意を払う必要があることを意味します。

OWASP Top Tenは、アプリケーションセキュリティについて検討する良き出発点ですが、プロトコル(TCP、HTTP、およびTLS)レベルの脆弱性も、過去10年間にトラブルの大きな原因となってきたことを忘れないでください。

また、ボリュメトリック(増幅型)DDoS攻撃と、より狡猾なシステムやアプリケーションレイヤーへの攻撃との関係も無視できません。Dark Readingの記事で、この関係が次のように示されています。

攻撃を受けた企業と組織の半数近くは、そのDDoS攻撃と同時に、データ盗難やランサムウェアなど自らのネットワーク上での違反や不正な活動が行われたと報告している。たとえば47%はDDoS攻撃の後に自組織のネットワーク上でのウィルスの活動、43%はマルウェアの起動、および32%は顧客データの盗難を報告している。
- Dark Reading「DDoS Attacks Surge, Organizations Struggle to Respond
アプリケーションセキュリティにおいては、ネットワーク、データ、およびサービスを含めた、アプリケーションに応じて規模を拡大縮小するとともに、そのセキュリティを担うアプリケーションアーキテクチャ全体に注意を払う必要があります。

3. アプリケーションセキュリティは他人ごとではない

F5の「2017年版 アプリケーションデリバリの状況」の調査によると、すでに企業や組織の5分の1がアプリケーションの半数以上をクラウド内にホストしている状況です。つまり、アプリケーションセキュリティの確保は、従来よりもさらに困難となっています。 また、アプリケーションのクラウドへの移行に伴い、特にネットワークとシステムレベルのコンポーネントに関するセキュリティの責任も移行する可能性があります。 しかし、アプリケーションとそのプラットフォーム、およびアプリケーションが依存する外部のスクリプトとリソースは、依然としてそのアプリケーションを利用する側の責任です。オンプレミスと同等のセキュリティをクラウド内で実現することは、ポリシーレベルでオンプレミスのものと互換性がないネイティブなクラウドサービスと組み合わせた場合、特に困難となり得ます。つまり、これらのポリシーをオンプレミスとクラウドの両方で、サービスの一貫性を保証する、アプリケーションセキュリティに関する一貫性を同時提供できるサービスベースの製品に移す、あるいはクラウドネイティブのサービスについて同等のポリシーを慎重に作成する、といった方法で対処しなければなりません。 いずれにしろ、どのような方法を取るかにかかわらず、責任はアプリケーションを使う側にあります。ブランドの評判、消費者からの信頼、および(認証情報が盗難された場合は)将来的な悪用に関わるリスクのため、アプリケーションのセキュリティはこれまで以上に重要となっています。 対策を最後まで先送りする、あるいは誰かが対応してくれるだろうと考えることは、大惨事を引き起こす原因となります。テストと是正の重要性を認識し、高い優先度を設定するとともに、クラウドとクラウドを支えるサービスが実現するアーキテクチャ上の選択肢を活用することがリスク軽減に大いに役立ちます。 どのような状況でもアプリケーションセキュリティは必須となります。今回述べたことを踏まえて、十分な対策を行いましょう。

著者プロフィール

伊藤 悠紀夫(いとう ゆきお)
F5ネットワークスジャパン
セールスエンジニアリング本部
プリセールスコンサルタント

UNIXサーバ、ストレージ、シン・クライアントといったインフラエンジニアを経て、F5ネットワークスジャパンへ2012年に入社。
現在はセキュリティ・クラウドをキーワードにイベント講演やハンズオンラボを行い、F5ソリューションの啓蒙活動に奮闘中。
最近はOpenStackやIoTといったキーワードを中心に連携ソリューションを模索している。