セキュリティアプリケーションの可用性、完全性、機密性をいかに確保するか

Executive Summary

アプリケーションを常時接続で年中無休、24時間利用できるということは、インターネットの登場以来、これまでにない脅威にさらされ続けることを意味します。独自のアプリケーションを開発する企業の場合、プログラマーはエンドツーエンドのセキュア ソフトウェア開発ライフサイクル(SDLC)の一環としてソフトウェアを開発することが求められます。それには、ソフトウェアの攻撃対象領域を減らし、脆弱性を取り除き、さらに安全性の高い設計とプログラムが可能になるよう開発者を教育することに取り組まなければなりません。ここでは、アプリケーションの高可用性、整合性、機密性を確保する仕組みをご紹介します。

Executive Summary

アプリケーションを常時接続で年中無休、24時間利用できるということは、インターネットの登場以来、これまでにない脅威にさらされ続けることを意味します。独自のアプリケーションを開発する企業の場合、プログラマーはエンドツーエンドのセキュア ソフトウェア開発ライフサイクル(SDLC)の一環としてソフトウェアを開発することが求められます。それには、ソフトウェアの攻撃対象領域を減らし、脆弱性を取り除き、さらに安全性の高い設計とプログラムが可能になるよう開発者を教育することに取り組まなければなりません。ここでは、アプリケーションの高可用性、整合性、機密性を確保する仕組みをご紹介します。

Related

脅威インテリジェンスのセキュリティ体制に対するインパクトは?


Related

セキュアなクラウド。そのために知っておくべきこと

40年間、ソフトウェアは進化を続けてきました。メインフレーム時代、ユーザは大規模マルチユーザシステム上で一元的に格納されたプログラムにアクセスしていました。1990年代に入ると、市販のアプリケーションをローカルにインストール、更新を行うというのが一般的になりました。

ある意味、また元の方法に戻ったともいえるかもしれません。多くのアプリケーションがふたたびネットワーク経由で提供され、アプリケーション開発者が運用に関わる機会が増え、自ら開発したアプリの保護を担うようになってきています。このような常時接続型のアプリケーションがサービスとして提供される環境では、ソフトウェアの脆弱性がただちに悪用され、簡易なDDoS攻撃によってサービスが中断に追い込まれる事態になりかねません。

自社でアプリケーションの開発を行う企業の場合、エンドツーエンドの安全なソフトウェア開発ライフサイクル(SDLC)の一環として、プログラマーがソフトウェアを作成する必要があります。つまり、ソフトウェアの攻撃対象領域の縮小、脆弱性の解消、より安全な設計・プログラムに向けた開発者の教育に重点を置くことが求められています。

アクセス制御とセキュリティの基本原則の適用

また、企業は、十分な管理が必要な運用技術としてクラウド・アプリケーションを取り扱う必要があります。クラウド・アプリケーションは常時接続されているため、攻撃対象になりやすく、タイムリーな脆弱性の特定、解消が不可欠です。脅威に予防的に対応するには、脆弱性の特定と深刻度の判定を行い、Webアプリケーション・ファイアウォール(WAF)によって速やかに自動修復するための脆弱性管理プロセスの導入が必要です。WAFは重要なWebセキュリティ管理機能の1つであり、攻撃を阻止している間に開発チームがコードの修復に当たることで、時間を節約できます。

一般的な脆弱性管理以外に、アプリケーション・セキュリティではどのようなことを考慮すればいいのでしょうか? まずは、適切なアクセス制御の設定について見てみましょう。認証、承認、アカウンティング(AAA)フレームワークは、SSOや多要素認証などの機能を用いた強力な認証がデフォルトで必須であることを確認するための重要な指針です。加えて、少なくとも3つのロール(例:非特権ユーザ、特権ユーザ、管理者)が含まれる強固なロールベースアクセス制御(RBAC)に基づきユーザの承認を行うことで、意図せぬ事故を減らす効果が期待できます。また、事故が発生した場合であっても、イベントを適切に記録することで、どのシステムのどのアカウントが使用されたのかといった、解決のための詳細情報を取得しやすくします。

このような常時接続型のアプリケーションがサービスとして提供される環境では、ソフトウェアの脆弱性はただちに悪用され、単純なDDoS攻撃によってサービスが中断に追い込まれる事態に

AAAフレームワークと並行して、CIAのセキュリティ三原則 – 機密性、完全性、可用性 – という観点からアプリケーションのセキュリティを見ることで、アプリケーションの保護とサービスの持続的な提供のために、企業が実施すべきさらなる対策が浮かび上がってきます。

1. 可用性 – アプリケーションを常に利用可能な状態に

クラウド・アプリケーションへの依存度が高まる中、クラウドサービスの可用性は業務を遂行するうえで非常に重要な要素となってきています。かつては単なる迷惑行為だったDDoS攻撃も、今では業務の中断を招くものとなっています。

推奨事項:

  • ネットワークの入り口で攻撃をブロックするDDoS対策サービスを利用しましょう。攻撃発生時にクラウド利用の急増による追加料金を課されずにすみ、コストを抑えることが可能です。
  • 変更管理のプロセスを実行するようにしましょう。インフラストラクチャの更新に不備があったことが原因で、サービスの中断に追い込まれるケースが少なくありません。
  • レイヤ7攻撃の防止のために、WAFもしくはDDoS防御アプライアンスを利用しましょう。

2. 完全性 – アプリケーションが想定どおりの動作をするように

デジタルの扉を常に開いておくこと。次に重要なのが、攻撃者を遠ざけることです。開発チームと運用チームは、AAAに関する記述で述べたように、すべてのアプリケーションとデータにアクセスするための、セキュアな基盤を構築しなくてはなりません。また、意図せぬ変化によって、アプリケーションがデータの完全性に影響を与えるような動作をすることがないよう、変更を管理することも必要です。

推奨事項:

  • WebSafeやWAFなどのツールを導入することで、アプリケーションへの不正データの挿入を阻止します。これによって、あらゆる脅威からアプリケーションを保護し、損失と暴露のリスクの軽減につながります。
  • データの完全性をチェックするアプリケーション管理も、アップストリーム制御の不備を監視する有効な方法の1つです。
  • アプリケーション設定の自動テストにより、問題のある変更が行われた場合に、ただちに注意を喚起することが可能です。

3. 機密性 – クラウドでの機密保持

データを収集、転送、保管する際には、機密性に留意する必要があり、これはクラウド内であれ、自社データセンターにおけるオンプレミスでの作業であれ、同様です。WAFをはじめとする脆弱性管理は、アプリケーションとそこに含まれるデータの機密性が侵害されないようにするために導入する必要のある一次制御です。近年では、TLS技術を用いてユーザとWebアプリケーション・サーバ間の通信を暗号化することが推奨されています。クラウド内やオンプレミスで保管されるデータについても、完全に暗号化することで、未承認のアクセスを防止する必要があります。

推奨事項:

  • TLS/SSLをデフォルトで有効にし、常にHTTPSを使用するようにします。
  • 重要な保存データ(特にバックエンドのクレデンシャルストア)については、強力な暗号化を適用するようにします。シンプルなパスワードハッシュ化だけではもはや十分とはいえません。最低でも、ハッシュとソルトを組み合わせるか、もしくはより強力な暗号化方式を用いる必要があります。
  • 欠陥を見つけ、深刻度を判定するための、高度な脆弱性管理プログラムを導入するようにします。新しいパッチが導入されるまでの脆弱性をカバーするために、WAFの仮想パッチング機能の利用が推奨されます。

クラウド・アプリケーションとクラウド・インフラストラクチャの保護は複雑で手間がかかります。しかし、AAAとCIAの観点からそれらを見ることで、総合的に物事を捉え、セキュリティ戦略全体をサポートする対策を講じることが可能になります。

You Might Also Like

クラウド · 5分で読める

ビジネスニーズに応えるクラウドアーキテクチャの構築方法

プライベートクラウドにより業務の加速化を図りたいのであれば、人が関与することによる遅延を可能なかぎりプロセスから取り除くことが不可欠です。テスラ社CEO イーロン・マスク氏は次のように言っています。「生産ラインに人を配置すべきではありません。人がそのスピードを落としてしまうからです」 インフラを再利用可能なリソースプールとして取り扱い、セルフサービスやインテリジェントな自動化のメリットを、最大限活用することが重要です。

事業戦略 · 5分で読める

クラウド移行の費用対効果:収支はバランスとれているか

パブリッククラウドでのSasSの導入率はすでに90%と高い値となっています。一方、77%近くの企業がプライベートクラウド・プラットフォームを、またハイブリッドクラウドを利用している企業も71%あります。オンプレミス機器を使用した場合と比べて、業務の効率化、コスト削減、リーチの拡大といった効果が得られていることを示す証拠を、どの企業もまだつかんではいないのです。この記事では、指標の構築、比較モデルの作成、ステイクホルダーが理解できるようにデータを分析する方法を考察します。