SQLインジェクションがアプリケーションセキュリティ界のゴキブリである理由(およびCISOがSQLインジェクションを完全に根絶する方法)
ゴキブリは基本的に何にでも生き残ることができるというよく知られた理論があります。核爆発でさえも。その理論はある程度までしか当てはまりませんが、その単純な体組成により、その大きさの割には非常に丈夫で、ほとんどの条件下で根絶が困難です。
ずっと考えていたのですが... デジタルの世界でゴキブリに匹敵するものがあるとしたら、それはコード内のSQLインジェクション(SQLi)の脆弱性に違いありません。これは20年以上前から知られている脆弱性ですが、組織は何度もその被害に遭っています。広範囲に及んでいるのは、 ターゲットへのコストのかかる攻撃 のインスタンスと同様に、SQL インジェクションの結果でした 選挙ハッキング イリノイ州では、20万件の有権者記録が公開されたため、FBIはすべてのIT管理者にセキュリティ対策の強化に迅速に取り組むよう勧告しました。
インパーバの ハッカー・インテリジェンス・イニシアチブレポート 2005年から2011年の間に、報告されたすべてのデータ侵害の83%でSQLi攻撃が使用されたことが明らかになりました。今日でも、インジェクションの脆弱性は依然として世界における最大の脅威です。 OWASP トップ10。それらは比較的単純ですが、死なないだけです。
これと同じ脆弱性がまだかなりの数のアプリケーションセキュリティスキャンで発生しているのはばかげているようです。私たちはその仕組みや阻止方法を知っています。どうしてそんなことが可能なのでしょう?実のところ、当社のソフトウェアセキュリティには改善の余地が大いにあります。
ベラコード ソフトウェアセキュリティ状況レポート -2017年の40万件のアプリケーションスキャンに基づく」という驚くべき統計が明らかになりました。OWASPのトップ10ポリシーに合格したアプリケーションはわずか30%でした。これは過去5年間一貫したテーマであり、新たにスキャンされたアプリケーションのほぼ3分の1にSQLインジェクションが使われています。これは蔓延している問題の証拠です。私たちは自分たちの過ちから学んでいるわけではなく、CISOは十分なセキュリティ人材を調達するうえで苦しい戦いに直面しているようです。通常、アプリケーション・セキュリティ・スペシャリストと開発者の比率は 1:100 では不十分です。
生命維持装置にソフトウェアセキュリティが採用されているのはなぜですか?
セキュリティの専門家が不足していることは周知の事実ですが、開発者は問題が発生しても修正しておらず、そもそも脆弱性を導入しないための設備が整っていないことは明らかです。同じVeracodeのレポートでは、すべての開発脆弱性のうち、緩和策が文書化されているのはわずか 14.4% であることが明らかになりました。つまり、ほとんどの脆弱性は開発緩和策なしで提出されたということです。最初の 90 日間にクローズされた脆弱性は 3 分の 1 未満で、開発期間内にクローズされなかった脆弱性は 42% でした。
私はいつもセキュリティ専門家、CISO、CEOと話をしていますが、逸話ですが、多くの企業が(誤検知と呼ばれる惨劇に加えて)発見された軽減できない脆弱性の数に不満を感じ、スキャンを完全にやめ、最善の結果を期待していることに気づきました。
なぜアプリケーション・セキュリティ・プロフェッショナルはこのような事態を招くのでしょうか。
間違いありません。AppSecの担当者は、コード内の問題を痛感しています。結局のところ、それが彼らのコアスキルの1つであり、それが彼らを非常に貴重なチームリソースにしているのです。しかし、彼らはしばしばいくつかの要因によって妨げられています。
たとえば、AppSecマネージャーが問題を見つけて、開発者に「コードを修正できますか?」と尋ねます。この重要な質問に対する答えは組織によって異なりますが、一般的に、開発者は厳密な機能提供スプリントへの対応に追われているため、問題を解決する時間も、支援する適切なツールもありません。アプリケーションセックの専門家自身は脆弱性を特定できるかもしれませんが、多くの場合、その場で修正するためのスキルやアクセス権がありません。
また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。ソフトウェアには700を超える脆弱性がありますが、1 人の人間がそれらすべてを防御することは不可能です。ほとんどの企業がOWASP Top 10のみに従うことに固執しているのはこのためです。その間ずっと、開発者は機能を構築し続け、ひいては自分が書いたコードに脆弱性を取り込み続けます。
解決策は何か?
単純な事実は、セキュアコーディングを成功させるためのツールやトレーニングを開発者に提供していないということです。開発者に十分なセキュリティスキルを身に付けるよう組織に強制する規制はありません。また、ほとんどの大学やインターンシップでは、ジュニア開発者が安全にコーディングできるように準備していないのも悲しい現実です。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実にするという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
開発者に安全なコードを書くための教育に時間を費やす必要があります。しかし、ソフトウェア開発のペースが速く、優秀な開発者やセキュリティ専門家が不足している今日の世界では、それが優先事項になることは決してないようです。今こそ会話を変える時です。
からの最近の見出し 世界経済フォーラム 「セキュリティなくしてデジタル経済はあり得ない」と叫び、付随するコンテンツでは、セキュリティがあらゆるデジタルトランスフォーメーション戦略の中核を成す必要があると主張しています。「セキュリティは企業を保護するものであり、企業がイノベーションを起こし、新しい製品やサービスを構築できるようにするものです。セキュリティは防御的な役割にとどまらず、戦略的な成長における優位性を企業にもたらします。」
安全なコーディングのスキルと成果を向上させることで、組織に強力なサイバー保護が加わり、より優れた、より高速なコードを作成できるようになります。開発者はセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する防御の最前線に立つためには、積極的かつ実践的な権限が必要です。開発者はセキュリティとイノベーションの次のヒーローになることができます。彼らは非常に賢い人々で、創造的な問題解決者であり、一般的にスキルの向上に熱心です。彼らにふさわしい専門的なトレーニングで彼らの強みを活かし、より高いソフトウェアセキュリティ基準に取り組むようにしてください。 ホワイトペーパーを読む もっと調べるために。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実にするという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。Matias はゲント大学で静的分析ソリューションを中心にアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手伝わずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesome の一員としてデスクにいないときは、RSA カンファレンス、BlackHat、DefCon などのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。Matias はゲント大学で静的分析ソリューションを中心にアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手伝わずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesome の一員としてデスクにいないときは、RSA カンファレンス、BlackHat、DefCon などのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Matiasは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れているときには、マティアスは上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
ゴキブリは基本的に何にでも生き残ることができるというよく知られた理論があります。核爆発でさえも。その理論はある程度までしか当てはまりませんが、その単純な体組成により、その大きさの割には非常に丈夫で、ほとんどの条件下で根絶が困難です。
ずっと考えていたのですが... デジタルの世界でゴキブリに匹敵するものがあるとしたら、それはコード内のSQLインジェクション(SQLi)の脆弱性に違いありません。これは20年以上前から知られている脆弱性ですが、組織は何度もその被害に遭っています。広範囲に及んでいるのは、 ターゲットへのコストのかかる攻撃 のインスタンスと同様に、SQL インジェクションの結果でした 選挙ハッキング イリノイ州では、20万件の有権者記録が公開されたため、FBIはすべてのIT管理者にセキュリティ対策の強化に迅速に取り組むよう勧告しました。
インパーバの ハッカー・インテリジェンス・イニシアチブレポート 2005年から2011年の間に、報告されたすべてのデータ侵害の83%でSQLi攻撃が使用されたことが明らかになりました。今日でも、インジェクションの脆弱性は依然として世界における最大の脅威です。 OWASP トップ10。それらは比較的単純ですが、死なないだけです。
これと同じ脆弱性がまだかなりの数のアプリケーションセキュリティスキャンで発生しているのはばかげているようです。私たちはその仕組みや阻止方法を知っています。どうしてそんなことが可能なのでしょう?実のところ、当社のソフトウェアセキュリティには改善の余地が大いにあります。
ベラコード ソフトウェアセキュリティ状況レポート -2017年の40万件のアプリケーションスキャンに基づく」という驚くべき統計が明らかになりました。OWASPのトップ10ポリシーに合格したアプリケーションはわずか30%でした。これは過去5年間一貫したテーマであり、新たにスキャンされたアプリケーションのほぼ3分の1にSQLインジェクションが使われています。これは蔓延している問題の証拠です。私たちは自分たちの過ちから学んでいるわけではなく、CISOは十分なセキュリティ人材を調達するうえで苦しい戦いに直面しているようです。通常、アプリケーション・セキュリティ・スペシャリストと開発者の比率は 1:100 では不十分です。
生命維持装置にソフトウェアセキュリティが採用されているのはなぜですか?
セキュリティの専門家が不足していることは周知の事実ですが、開発者は問題が発生しても修正しておらず、そもそも脆弱性を導入しないための設備が整っていないことは明らかです。同じVeracodeのレポートでは、すべての開発脆弱性のうち、緩和策が文書化されているのはわずか 14.4% であることが明らかになりました。つまり、ほとんどの脆弱性は開発緩和策なしで提出されたということです。最初の 90 日間にクローズされた脆弱性は 3 分の 1 未満で、開発期間内にクローズされなかった脆弱性は 42% でした。
私はいつもセキュリティ専門家、CISO、CEOと話をしていますが、逸話ですが、多くの企業が(誤検知と呼ばれる惨劇に加えて)発見された軽減できない脆弱性の数に不満を感じ、スキャンを完全にやめ、最善の結果を期待していることに気づきました。
なぜアプリケーション・セキュリティ・プロフェッショナルはこのような事態を招くのでしょうか。
間違いありません。AppSecの担当者は、コード内の問題を痛感しています。結局のところ、それが彼らのコアスキルの1つであり、それが彼らを非常に貴重なチームリソースにしているのです。しかし、彼らはしばしばいくつかの要因によって妨げられています。
たとえば、AppSecマネージャーが問題を見つけて、開発者に「コードを修正できますか?」と尋ねます。この重要な質問に対する答えは組織によって異なりますが、一般的に、開発者は厳密な機能提供スプリントへの対応に追われているため、問題を解決する時間も、支援する適切なツールもありません。アプリケーションセックの専門家自身は脆弱性を特定できるかもしれませんが、多くの場合、その場で修正するためのスキルやアクセス権がありません。
また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。ソフトウェアには700を超える脆弱性がありますが、1 人の人間がそれらすべてを防御することは不可能です。ほとんどの企業がOWASP Top 10のみに従うことに固執しているのはこのためです。その間ずっと、開発者は機能を構築し続け、ひいては自分が書いたコードに脆弱性を取り込み続けます。
解決策は何か?
単純な事実は、セキュアコーディングを成功させるためのツールやトレーニングを開発者に提供していないということです。開発者に十分なセキュリティスキルを身に付けるよう組織に強制する規制はありません。また、ほとんどの大学やインターンシップでは、ジュニア開発者が安全にコーディングできるように準備していないのも悲しい現実です。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実にするという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
開発者に安全なコードを書くための教育に時間を費やす必要があります。しかし、ソフトウェア開発のペースが速く、優秀な開発者やセキュリティ専門家が不足している今日の世界では、それが優先事項になることは決してないようです。今こそ会話を変える時です。
からの最近の見出し 世界経済フォーラム 「セキュリティなくしてデジタル経済はあり得ない」と叫び、付随するコンテンツでは、セキュリティがあらゆるデジタルトランスフォーメーション戦略の中核を成す必要があると主張しています。「セキュリティは企業を保護するものであり、企業がイノベーションを起こし、新しい製品やサービスを構築できるようにするものです。セキュリティは防御的な役割にとどまらず、戦略的な成長における優位性を企業にもたらします。」
安全なコーディングのスキルと成果を向上させることで、組織に強力なサイバー保護が加わり、より優れた、より高速なコードを作成できるようになります。開発者はセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する防御の最前線に立つためには、積極的かつ実践的な権限が必要です。開発者はセキュリティとイノベーションの次のヒーローになることができます。彼らは非常に賢い人々で、創造的な問題解決者であり、一般的にスキルの向上に熱心です。彼らにふさわしい専門的なトレーニングで彼らの強みを活かし、より高いソフトウェアセキュリティ基準に取り組むようにしてください。 ホワイトペーパーを読む もっと調べるために。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実にするという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
ゴキブリは基本的に何にでも生き残ることができるというよく知られた理論があります。核爆発でさえも。その理論はある程度までしか当てはまりませんが、その単純な体組成により、その大きさの割には非常に丈夫で、ほとんどの条件下で根絶が困難です。
ずっと考えていたのですが... デジタルの世界でゴキブリに匹敵するものがあるとしたら、それはコード内のSQLインジェクション(SQLi)の脆弱性に違いありません。これは20年以上前から知られている脆弱性ですが、組織は何度もその被害に遭っています。広範囲に及んでいるのは、 ターゲットへのコストのかかる攻撃 のインスタンスと同様に、SQL インジェクションの結果でした 選挙ハッキング イリノイ州では、20万件の有権者記録が公開されたため、FBIはすべてのIT管理者にセキュリティ対策の強化に迅速に取り組むよう勧告しました。
インパーバの ハッカー・インテリジェンス・イニシアチブレポート 2005年から2011年の間に、報告されたすべてのデータ侵害の83%でSQLi攻撃が使用されたことが明らかになりました。今日でも、インジェクションの脆弱性は依然として世界における最大の脅威です。 OWASP トップ10。それらは比較的単純ですが、死なないだけです。
これと同じ脆弱性がまだかなりの数のアプリケーションセキュリティスキャンで発生しているのはばかげているようです。私たちはその仕組みや阻止方法を知っています。どうしてそんなことが可能なのでしょう?実のところ、当社のソフトウェアセキュリティには改善の余地が大いにあります。
ベラコード ソフトウェアセキュリティ状況レポート -2017年の40万件のアプリケーションスキャンに基づく」という驚くべき統計が明らかになりました。OWASPのトップ10ポリシーに合格したアプリケーションはわずか30%でした。これは過去5年間一貫したテーマであり、新たにスキャンされたアプリケーションのほぼ3分の1にSQLインジェクションが使われています。これは蔓延している問題の証拠です。私たちは自分たちの過ちから学んでいるわけではなく、CISOは十分なセキュリティ人材を調達するうえで苦しい戦いに直面しているようです。通常、アプリケーション・セキュリティ・スペシャリストと開発者の比率は 1:100 では不十分です。
生命維持装置にソフトウェアセキュリティが採用されているのはなぜですか?
セキュリティの専門家が不足していることは周知の事実ですが、開発者は問題が発生しても修正しておらず、そもそも脆弱性を導入しないための設備が整っていないことは明らかです。同じVeracodeのレポートでは、すべての開発脆弱性のうち、緩和策が文書化されているのはわずか 14.4% であることが明らかになりました。つまり、ほとんどの脆弱性は開発緩和策なしで提出されたということです。最初の 90 日間にクローズされた脆弱性は 3 分の 1 未満で、開発期間内にクローズされなかった脆弱性は 42% でした。
私はいつもセキュリティ専門家、CISO、CEOと話をしていますが、逸話ですが、多くの企業が(誤検知と呼ばれる惨劇に加えて)発見された軽減できない脆弱性の数に不満を感じ、スキャンを完全にやめ、最善の結果を期待していることに気づきました。
なぜアプリケーション・セキュリティ・プロフェッショナルはこのような事態を招くのでしょうか。
間違いありません。AppSecの担当者は、コード内の問題を痛感しています。結局のところ、それが彼らのコアスキルの1つであり、それが彼らを非常に貴重なチームリソースにしているのです。しかし、彼らはしばしばいくつかの要因によって妨げられています。
たとえば、AppSecマネージャーが問題を見つけて、開発者に「コードを修正できますか?」と尋ねます。この重要な質問に対する答えは組織によって異なりますが、一般的に、開発者は厳密な機能提供スプリントへの対応に追われているため、問題を解決する時間も、支援する適切なツールもありません。アプリケーションセックの専門家自身は脆弱性を特定できるかもしれませんが、多くの場合、その場で修正するためのスキルやアクセス権がありません。
また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。ソフトウェアには700を超える脆弱性がありますが、1 人の人間がそれらすべてを防御することは不可能です。ほとんどの企業がOWASP Top 10のみに従うことに固執しているのはこのためです。その間ずっと、開発者は機能を構築し続け、ひいては自分が書いたコードに脆弱性を取り込み続けます。
解決策は何か?
単純な事実は、セキュアコーディングを成功させるためのツールやトレーニングを開発者に提供していないということです。開発者に十分なセキュリティスキルを身に付けるよう組織に強制する規制はありません。また、ほとんどの大学やインターンシップでは、ジュニア開発者が安全にコーディングできるように準備していないのも悲しい現実です。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実にするという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
開発者に安全なコードを書くための教育に時間を費やす必要があります。しかし、ソフトウェア開発のペースが速く、優秀な開発者やセキュリティ専門家が不足している今日の世界では、それが優先事項になることは決してないようです。今こそ会話を変える時です。
からの最近の見出し 世界経済フォーラム 「セキュリティなくしてデジタル経済はあり得ない」と叫び、付随するコンテンツでは、セキュリティがあらゆるデジタルトランスフォーメーション戦略の中核を成す必要があると主張しています。「セキュリティは企業を保護するものであり、企業がイノベーションを起こし、新しい製品やサービスを構築できるようにするものです。セキュリティは防御的な役割にとどまらず、戦略的な成長における優位性を企業にもたらします。」
安全なコーディングのスキルと成果を向上させることで、組織に強力なサイバー保護が加わり、より優れた、より高速なコードを作成できるようになります。開発者はセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する防御の最前線に立つためには、積極的かつ実践的な権限が必要です。開発者はセキュリティとイノベーションの次のヒーローになることができます。彼らは非常に賢い人々で、創造的な問題解決者であり、一般的にスキルの向上に熱心です。彼らにふさわしい専門的なトレーニングで彼らの強みを活かし、より高いソフトウェアセキュリティ基準に取り組むようにしてください。 ホワイトペーパーを読む もっと調べるために。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実にするという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。Matias はゲント大学で静的分析ソリューションを中心にアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手伝わずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesome の一員としてデスクにいないときは、RSA カンファレンス、BlackHat、DefCon などのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Matiasは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れているときには、マティアスは上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
ゴキブリは基本的に何にでも生き残ることができるというよく知られた理論があります。核爆発でさえも。その理論はある程度までしか当てはまりませんが、その単純な体組成により、その大きさの割には非常に丈夫で、ほとんどの条件下で根絶が困難です。
ずっと考えていたのですが... デジタルの世界でゴキブリに匹敵するものがあるとしたら、それはコード内のSQLインジェクション(SQLi)の脆弱性に違いありません。これは20年以上前から知られている脆弱性ですが、組織は何度もその被害に遭っています。広範囲に及んでいるのは、 ターゲットへのコストのかかる攻撃 のインスタンスと同様に、SQL インジェクションの結果でした 選挙ハッキング イリノイ州では、20万件の有権者記録が公開されたため、FBIはすべてのIT管理者にセキュリティ対策の強化に迅速に取り組むよう勧告しました。
インパーバの ハッカー・インテリジェンス・イニシアチブレポート 2005年から2011年の間に、報告されたすべてのデータ侵害の83%でSQLi攻撃が使用されたことが明らかになりました。今日でも、インジェクションの脆弱性は依然として世界における最大の脅威です。 OWASP トップ10。それらは比較的単純ですが、死なないだけです。
これと同じ脆弱性がまだかなりの数のアプリケーションセキュリティスキャンで発生しているのはばかげているようです。私たちはその仕組みや阻止方法を知っています。どうしてそんなことが可能なのでしょう?実のところ、当社のソフトウェアセキュリティには改善の余地が大いにあります。
ベラコード ソフトウェアセキュリティ状況レポート -2017年の40万件のアプリケーションスキャンに基づく」という驚くべき統計が明らかになりました。OWASPのトップ10ポリシーに合格したアプリケーションはわずか30%でした。これは過去5年間一貫したテーマであり、新たにスキャンされたアプリケーションのほぼ3分の1にSQLインジェクションが使われています。これは蔓延している問題の証拠です。私たちは自分たちの過ちから学んでいるわけではなく、CISOは十分なセキュリティ人材を調達するうえで苦しい戦いに直面しているようです。通常、アプリケーション・セキュリティ・スペシャリストと開発者の比率は 1:100 では不十分です。
生命維持装置にソフトウェアセキュリティが採用されているのはなぜですか?
セキュリティの専門家が不足していることは周知の事実ですが、開発者は問題が発生しても修正しておらず、そもそも脆弱性を導入しないための設備が整っていないことは明らかです。同じVeracodeのレポートでは、すべての開発脆弱性のうち、緩和策が文書化されているのはわずか 14.4% であることが明らかになりました。つまり、ほとんどの脆弱性は開発緩和策なしで提出されたということです。最初の 90 日間にクローズされた脆弱性は 3 分の 1 未満で、開発期間内にクローズされなかった脆弱性は 42% でした。
私はいつもセキュリティ専門家、CISO、CEOと話をしていますが、逸話ですが、多くの企業が(誤検知と呼ばれる惨劇に加えて)発見された軽減できない脆弱性の数に不満を感じ、スキャンを完全にやめ、最善の結果を期待していることに気づきました。
なぜアプリケーション・セキュリティ・プロフェッショナルはこのような事態を招くのでしょうか。
間違いありません。AppSecの担当者は、コード内の問題を痛感しています。結局のところ、それが彼らのコアスキルの1つであり、それが彼らを非常に貴重なチームリソースにしているのです。しかし、彼らはしばしばいくつかの要因によって妨げられています。
たとえば、AppSecマネージャーが問題を見つけて、開発者に「コードを修正できますか?」と尋ねます。この重要な質問に対する答えは組織によって異なりますが、一般的に、開発者は厳密な機能提供スプリントへの対応に追われているため、問題を解決する時間も、支援する適切なツールもありません。アプリケーションセックの専門家自身は脆弱性を特定できるかもしれませんが、多くの場合、その場で修正するためのスキルやアクセス権がありません。
また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。ソフトウェアには700を超える脆弱性がありますが、1 人の人間がそれらすべてを防御することは不可能です。ほとんどの企業がOWASP Top 10のみに従うことに固執しているのはこのためです。その間ずっと、開発者は機能を構築し続け、ひいては自分が書いたコードに脆弱性を取り込み続けます。
解決策は何か?
単純な事実は、セキュアコーディングを成功させるためのツールやトレーニングを開発者に提供していないということです。開発者に十分なセキュリティスキルを身に付けるよう組織に強制する規制はありません。また、ほとんどの大学やインターンシップでは、ジュニア開発者が安全にコーディングできるように準備していないのも悲しい現実です。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実にするという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
開発者に安全なコードを書くための教育に時間を費やす必要があります。しかし、ソフトウェア開発のペースが速く、優秀な開発者やセキュリティ専門家が不足している今日の世界では、それが優先事項になることは決してないようです。今こそ会話を変える時です。
からの最近の見出し 世界経済フォーラム 「セキュリティなくしてデジタル経済はあり得ない」と叫び、付随するコンテンツでは、セキュリティがあらゆるデジタルトランスフォーメーション戦略の中核を成す必要があると主張しています。「セキュリティは企業を保護するものであり、企業がイノベーションを起こし、新しい製品やサービスを構築できるようにするものです。セキュリティは防御的な役割にとどまらず、戦略的な成長における優位性を企業にもたらします。」
安全なコーディングのスキルと成果を向上させることで、組織に強力なサイバー保護が加わり、より優れた、より高速なコードを作成できるようになります。開発者はセキュリティの専門家になる必要はありませんが、サイバー攻撃に対する防御の最前線に立つためには、積極的かつ実践的な権限が必要です。開発者はセキュリティとイノベーションの次のヒーローになることができます。彼らは非常に賢い人々で、創造的な問題解決者であり、一般的にスキルの向上に熱心です。彼らにふさわしい専門的なトレーニングで彼らの強みを活かし、より高いソフトウェアセキュリティ基準に取り組むようにしてください。 ホワイトペーパーを読む もっと調べるために。
誰かが飛行機を操縦したい場合、飛行前に訓練、実務経験、健康診断、安全知識、試験を確実にするという非常に厳しいプロセスがあります。このような綿密な準備とスキルの検証なしに、空に放り出されるとは誰も想像しませんが、コード作成では日常的にこのようなことが行われています。
目次
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。Matias はゲント大学で静的分析ソリューションを中心にアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手伝わずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesome の一員としてデスクにいないときは、RSA カンファレンス、BlackHat、DefCon などのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
