クラウドアプリケーション向けの監視およびセキュリティプラットフォームを提供するDatadogの日本法人であるDatadog Japanは6月28日、オンラインで「アプリケーションセキュリティ調査レポート」に関する記者説明会を開催した。

同レポートは、2023年3月にDatadogの顧客ベースである数千の企業の使用データをもとに調査。Datadog Application Security Management(ASM)を使用している組織から収集した攻撃データ、およびApplication Performance Monitoring(APM)を使用している組織から収集した脆弱性データを分析した。

攻撃対象領域の増加に伴い年々増加する脆弱性

まず、Datadog Japan シニアセールスエンジニア, CISSPの松崎裕樹氏は昨今のWebアプリケーションのセキュリティについて「攻撃対象領域は増加を続けており、2022年は2017年比71%増の2万5000を超えた。特に2017年以降から1万以上となり、この年代から重大な脆弱性が見つかり、対応が重要となったほか、CVEを公表する組織数も増加した。記憶に新しいのは2021年末のLog4jの脆弱性が挙げられる」との認識を示した。

  • Datadog Japan シニアセールスエンジニア, CISSPの松崎裕樹氏

    Datadog Japan シニアセールスエンジニア, CISSPの松崎裕樹氏

同氏によると、脆弱性対応の背景として複雑化するシステム構成や、攻撃対象領域の拡大、ビジネス要件への技術の追随があり、運用面では脆弱性の深刻度評価、対応へのリソース、パッチ適用に伴うアプリケーションなどのリリーススケジュールの調整などの課題があるという。

  • 脆弱性は年々増加しつつある

    脆弱性は年々増加しつつある

このような状況のため、増加傾向にある脆弱性の深刻度を適切に評価し、限られたリソースでタイムリーに対応していくためには、合理的な優先順位付けとスピーディな判断が求められるとのことだ。

レポートで示唆されたこと

レポートでは、サービスごとのサードパーティ製品の依存数が多くなるほど重大な脆弱性がサービスに内在する可能性が高くなるという。

松崎氏は「昨今、ソフトウェアを開発する際に一からコーディングすることは少なく、便利なライブラリなどを用いてカスタムコーディングしてデプロイすることが多い。それぞれのライブラリが動くための前提となる別の部品が大規模になるほど多くなり、ライブラリを採用すると決定した段階では脆弱性が見つからなくても、あとで見つかる可能性がある。そうなると、依存関係の総数とサービスに重大な脆弱性が含まれる可能性が高くなる」と説明した。

  • 依存数が多くなるほど重大な脆弱性がサービスに内在する可能性が高くなるという

    依存数が多くなるほど重大な脆弱性がサービスに内在する可能性が高くなるという

また、攻撃の11%は本番環境以外も標的にしており、通常であれば本番環境やそれ以外の環境は組織にとっては外部アクセスを想定していないことに加え、想定いたとしても認証・認可の仕組みで不特定多数のアクセスを想定していない。しかし、インターネットに露出していれば攻撃されるため、本番環境だけ脆弱性対応するだけでは理にかなっていないとのことだ。

  • 攻撃の11%は本番環境以外も標的にしている

    攻撃の11%は本番環境以外も標的にしている

さらに、攻撃の観測データを調査したところ、サーバのソフトウェアバージョンなど攻撃者が事前にターゲットの情報を入手して攻撃を仕掛けるが、正しく標的を捉えた攻撃は26%となっている。

  • 攻撃のうち4分の1は正しく標的を捉えている

    攻撃のうち4分の1は正しく標的を捉えている

松崎氏は「存在しないエンドポイントに対する当てずっぽうな攻撃や使用言語への攻撃など、攻撃者がどの程度ターゲットのことを知っているかにより、バラつきはあるものの4分の1はある程度分かったうえで攻撃している。そのため、どのような環境で動き、どのような脆弱性があるのかということを把握できる仕組みを持つことが望ましい」と述べた。

このような観点から、共通脆弱性評価システム(CVSS)により、緊急であると評価されたすべての脆弱性をアプリケーションチームとセキュリティチームは優先的に修正しなければならないという。ただ、CVSSのベーススコアで脆弱性の深刻度が100%緊急となっていたとしても、稼働環境を加味して再評価すると3%にとどまるという。

  • 攻撃のうち4分の1は正しく標的を捉えている

    攻撃のうち4分の1は正しく標的を捉えている

脅威と脆弱性を統合的に可視化するDatadogの機能

そこで、同社が訴求するものが「Datadog Application Security Management(ASM)」と「Datadog Application Vulnerability Management(AVM)」の2つとなり、松崎氏がデモを行った。

ASMはサーバサイドリクエストフォージェリー(SSRF)、SQL インジェクション、Log4Shell、反射型クロスサイトスクリプティング(XSS)など、コードレベルの脆弱性を悪用しようとするアプリケーションレベルの攻撃に対する保護機能を提供。サーバ、Docker、Kubernetes、AWS ECS、AWS Fargate(対応言語の場合のみ)で直接ホストされたアプリを監視・保護することができる。

Datadogのトレーシングライブラリと独自のエージェントを利用して、アプリケーション攻撃にさらされているサービスを特定し、構成が完了するとアプリ内検出ルールを利用してアプリケーション環境の脅威を検出して保護を行い、実稼働システムに影響を与える攻撃やコードによる脆弱性が発生した場合にはシグナルをトリガーする。

脅威が検出されると、Datadogでセキュリティシグナルが生成され、重大度が「HIGH(高い)」または「CRITICAL(緊急)」のセキュリティシグナルの場合、Slackやメール、PagerDutyに通知を送信してチームに伝え、脅威に関するリアルタイムのコンテキストを提供することを可能としている。

トリガーされたらDatadogに移動して調査と保護を行い、詳細な観測データを1カ所で確認しつつ、アプリケーションの問題を解決し、攻撃フローの分析、フレームグラフの表示、関連するトレースおよびログデータの確認により、アプリケーションの脆弱性を特定。アプリケーションのデータから修復・緩和手順まで、すべてを同じパネル内で行えるため、異なるコンテキスト間を移動する手間を省けるというものだ。

  • 「Datadog Application Security Management(ASM)」のイメージ

    「Datadog Application Security Management(ASM)」のイメージ

一方、AVMはアプリケーションが依存しているオープンソースライブラリの脆弱性について、本番環境を継続的に監視し、コストを要する侵害になる前に影響の大きい脆弱性を特定し、優先的に修復することができるという。

サービス全体の健全性を監視しながら脆弱なオープンソースライブラリを洗い出し、エージェントの追加やパフォーマンスに影響を与えることなく、攻撃対象全体をリアルタイムに可視化。改善された脆弱性を確実に本番に反映させることで、CI/CD(継続的インテグレーション/継続的デリバリ)パイプラインのエラーによる本番前のコードと本番コードの不一致を回避する。

また、Datadogの統合タグ付けにより、検出されたすべての脆弱性の検索、フィルタ、クエリを行い、調査を迅速に行うとともに、脆弱なサービスや影響を受けるクラウドワークロード、インフラストラクチャホスト間でピボットし、ビジネスへの影響を評価。そして、脆弱性の露出やCVSS、リアルタイムの脅威アクティビティを考慮した重大度スコアで脆弱性の優先度を決定する。

さらに、サービスオーナーシップの洞察で優先度の高い脆弱性を関連チームにアラートし、脆弱性修復の所有者の割り当てと追跡を行い、行動可能な修復ガイダンスで脆弱性を解決することができるという。

  • 「Datadog Application Vulnerability Management(AVM)」のイメージ

    「Datadog Application Vulnerability Management(AVM)」のイメージ

最後に松崎氏は「ASMがWAF(Web Application Firewall)と異なる点はWAFの防御では補完できない構成を組むことができる。また、AVMは脆弱性対応にあたり、パッチ適用の有無など最新の対応状況を把握することが可能だ。両機能は、ランタイムコンテキストで脅威と脆弱性を統合的に可視化でき、対応すべき問題の判断に役立つ」と力を込めていた。