ブログへようこそ

私たちは、Aikido ユーザが直面する、重大なウェブアプリケーションのセキュリティ脆弱性のトップ 3 を特定しました。このガイドでは、これらの脆弱性が何であるか、なぜ一般的であるか、そしてどのように修正するかについて概説します。

早期に効果的に対処することで、ウェブアプリケーションをサイバー犯罪に対して安全に保つための戦いにおいて、すでに先手を打つことができるだろう。

1.最も一般的で重大なコードの脆弱性（SAST）

静的アプリケーション・セキュリティテスト（SAST）は、開発サイクルの早い段階で、ソースコードに脆弱性がない かスキャンするテスト手法です。アプリケーションの動作がテスト者に知られているため、ホワイトボックス手法と呼ばれています。

NoSQLインジェクション攻撃（コードの脆弱性：SAST）

NoSQL インジェクションは、データの漏えい、データベースの破損、さらにはシステムの完全な侵害につながる可能性があります。悲しいことに、これは重大なウェブ・アプリケーション・セキュリティの脆弱性であり、私たちは多くのAikido ユーザー・アカウントがこの脆弱性にさらされているのを見てきました。

NoSQLインジェクションとは？

NoSQLインジェクションは、ハッカーが悪意のあるコードを使用してNoSQLデータベースを操作したり、不正にアクセスしたりする攻撃の一種です。SQLデータベースを標的とするSQLインジェクションとは異なり、NoSQLインジェクションはMongoDBのようなNoSQLデータベースの脆弱性を悪用します。データ漏洩、破損、あるいはデータベースの完全な制御を引き起こす可能性がある。

なぜこのような脆弱性が多発するのか？

NoSQLデータベース、特にMongoDBの人気が高まっていることもあり、NoSQLインジェクションが一般的になっている。これらのデータベースはパフォーマンス上の利点がありますが、セキュリティ上のユニークな課題があります。

その上、NoSQLデータベースはXMLやJSONのような様々なフォーマットを受け入れるという点で柔軟性がある。この柔軟性は素晴らしいものですが、標準的なセキュリティチェックではこれらの形式に合わせた悪意のある入力を検出できない可能性があるため、ウェブアプリケーションのセキュリティ脆弱性につながる可能性があります。

また、膨大な数のNoSQLデータベースがあり、それぞれが独自の構文と構造を持つため、普遍的な安全策を作ることも難しくなっている。セキュリティ専門家は、各データベースの具体的な詳細を理解する必要があり、それが防止プロセスに複雑さを加えている。

さらに悪いことに、従来のSQLインジェクションとは異なり、NoSQLインジェクションはアプリケーションのさまざまな部分で発生する可能性があります。そのため、検出はさらに難しくなります。

どうすればこの脆弱性を簡単に修正できるのか？

入力検証とパラメータ化されたクエリを使用する。入力バリデーションは、ユーザの入力が期待される型やフォーマットと一致することを保証し、安全でない値を拒否します。パラメータ化されたクエリは、検証されていない入力の埋め込みを防ぎます。

一般的に、認証や暗号化などのデータベース・セキュリティ機能を常に実装すること。常に最新のパッチを適用すること。そして、コードや設定の定期的な監査を実施し、この脆弱性やその他の脆弱性を特定して修正するようにしてください。

次点コード内に危険なデバッグ関数を残す（コードの脆弱性：SAST）

公開されたデバッグ関数は、攻撃者がシステムを悪用するための偵察を可能にする。

危険なデバッグ関数とは？

phpinfo() のようなデバッグ関数は、サーバーや環境に関する機密情報を公開する可能性があります。これには、PHP のバージョンや OS の詳細、サーバーの情報、 そして秘密鍵を含む環境変数までが含まれます (そもそも、秘密鍵をそこに置くことはお勧めしませんが!)。

その結果、これらのデバッグ関数を使用してファイルシステムの構造を検出すると、 サイトが脆弱な場合にハッカーがディレクトリトラバーサル攻撃を行う可能性があります。phpinfo() を単独で公開することは、必ずしもリスクが高いわけではありませんが、 攻撃者にとっては若干容易になります。原則は明確で、ハッカーがあなたのシステムに関する具体的な情報を持っていないほうがよいということです。

なぜこのような脆弱性が多発するのか？

このウェブ・アプリケーション・セキュリティの脆弱性は、開発者がこれらの関数をデバッグのために使い、時には、トラブル シューティングのために、本番環境にも適用してしまうために、しばしば発生します。急ぎのリリース、コードレビューの不足、リスクの過小評価、これらすべてが、これらの関数を露出したままにする一因です。

どうすればこの脆弱性を簡単に修正できるのか？

• コードレビュー：本番環境にデプロイする前に、定期的にコードをチェックし、デバッグ関数を特定して削除する。
• 自動脆弱性スキャンツール：危険なデバッグ関数を検出できるAikidoようなツールを使う。
• 環境固有の設定：本番環境ではデバッグ機能を無効にしてください。

2.最も一般的で重要な DAST の脆弱性

動的アプリケーション・セキュリティテスト（DAST）は、実行中のアプリケーションの脆弱性を特定するテスト技 術です。観察可能な動作だけに焦点を当てるので、ブラックボックス手法と呼ばれます。DAST は、攻撃者にとって、システムがどのように見えるかを示します。

主要なセキュリティヘッダを忘れる：HSTSとCSP（クラウドの脆弱性：DAST）

HSTSとCSPが適切に実装されていないため、ウェブアプリケーションはXSSや情報漏えいといった主要な攻撃に対して脆弱なままとなる。

CSPとは？

コンテンツ・セキュリティ・ポリシー（CSP）は、クロスサイト・スクリプティングやクリックジャッキングのような、様々なブラウザベースの攻撃を打ち負かすのに役立つセキュリティ・メカニズムである。インラインJavaScriptや安全でないeval()関数など、ウェブページにおける危険な動作を制限することでこれを実現します。CSPは、コンテンツの完全性と機密性を維持するために、より安全なデフォルトを強制します。主な利点は、スクリプトの悪意のあるインジェクションから保護することです。

このDASTの脆弱性はなぜ一般的なのか？

HSTSとCSP、特にCSPを軽視することはよくあることで、開発者はこれらのヘッダーよりも機能を優先することが多い。

CSPは開発の早い段階で計画すべきだが、見過ごされることが多い。そして、開発者が後からCSPを実装したり、後付けしようとすると、コンフリクトを引き起こすため、CSPを完全にスキップして他の作業に取り掛かる。このため、アプリは無防備なまま放置され、さまざまなウェブ・アプリケーション・セキュリティの脆弱性にさらされることになる。

DASTの脆弱性を簡単に修正するには？

• HSTSを導入してHTTPSのみの接続を強制する。設定ファイルまたはWAFを使用してサーバー上で有効にする。
• インライン・スクリプトのような安全でないプラクティスを制限することで、アプリに合わせた厳格なCSPを定義し、適用する。互換性を慎重にテストする。
• アプリの進化に合わせてヘッダーを継続的に監視・更新し、保護を維持する。

3.最も一般的で重要なクラウドの脆弱性（CSPM）

クラウド・セキュリティ・ポスチャ管理（CSPM）ツールは、クラウド・ベースの環境を継続的に監視し、セキュリティ標準とベスト・プラクティスへの準拠を保証する。CSPMツールは、セキュリティの設定ミスを探し、リスクを軽減することを目的としている。

EC2のIAMロールがSSRF攻撃に脆弱なままになっている（クラウド：CSPM）

オープンなEC2のIAMロールは、攻撃者がクラウド環境を横方向に移動し、不正にアクセスすることを頻繁に可能にする。この種の攻撃の潜在的な影響は壊滅的なものになる可能性がある。

EC2 IAMロールとは？

Amazon Web Services（AWS）のEC2 IAM（Identity and Access Management）ロールは、特定のリソースに対して許可されるアクションを決定する権限を委譲する。これにより、EC2インスタンスは、インスタンス自体に認証情報を直接保存することなく、他のAWSサービスと安全にやり取りできるようになる。

SSRF攻撃とは？

サーバー・サイド・リクエスト・フォージェリ（SSRF）攻撃とは、攻撃者がサーバーに、あたかもサーバー自身が要求しているかのように、内部リソースへのリクエストを行わせるものです。攻撃者は、この方法で権限のないシステムにアクセスしたり、制御をバイパスしたり、コマンドを実行したりする可能性があります。単純なメール送信フォームからSSRF攻撃がスタートアップのクラウドを乗っ取った恐ろしい例をご覧ください。

なぜこのCSPMの脆弱性が一般的なのか？

EC2 IAMロールは通常、セキュリティの設定ミスや過度に寛容なロールのために、SSRF攻撃に対して脆弱なままになっている。複雑なクラウドのパーミッションを調整するのは難しく、開発者の中にはリスクを十分に理解していない人もいるだろう。その上、サービスを円滑に連携させたいがために、本当に必要なアクセス権よりも多くのアクセス権を付与してしまうこともある。

どうすればこのCSPMの脆弱性を簡単に修正できるのか？

EC2のロールに取り組み、SSRFのウェブ・アプリケーション・セキュリティの脆弱性を軽減するための確実な方法がいくつかある。まず第一に、最小特権の原則に忠実であること - 絶対に必要なアクセスだけを許可し、それ以上は許可しないこと。過度に寛容なロールはトラブルの元だ。

次に、セキュリティグループやネットワークACLのようなAWSのビルトインツールを利用して、トラフィックをロックダウンし、SSRF攻撃の潜在的な隙を減らす。アクセスを制限できればできるほど良い。

また、定期的にロールを見直し、監査することで、時間の経過とともに変化する不要なアクセスを発見することも重要です。常に把握しておくこと。

そして最後に、SSRF 攻撃が被害をもたらす前に検知し防止することに特化した AWS セキュリティツールを導入する。保護のレイヤーが多ければ多いほど、安全性は高まります。

次点：時代遅れのクラウド・ラムダ・ランタイム（クラウド：CSPM）

これらの実行環境が古くなると、ラムダ関数が攻撃者にさらされる可能性がある。

時代遅れのラムダ・ランタイムとは？

時代遅れのラムダ・ランタイムとは、サーバーレス関数（ラムダ）で古いバージョンのプログラミング言語や環境を使用することを指す。これらの古いランタイムは、最新のセキュリティパッチや機能アップデートが適用されていない可能性があり、アプリケーションを既知のWebアプリケーションセキュリティの脆弱性にさらす可能性があります。

なぜこのCSPMの脆弱性が一般的なのか？

この脆弱性は、しばしば「セット・アンド・フェザー（セットして忘れる）」という考え方から生じる。開発者は、特定のランタイムでラムダをデプロイし、新しいバージョンがリリースされたときにそれらをアップデートすることを怠るかもしれない。また、クラウド・プロバイダーがすべてのメンテナンスを行ってくれると思い込んでしまうこともある。AWSやGoogle Cloud Functionsは、OSのマイナーパッチでランタイムをメンテナンスしてくれるが、主要な言語のアップグレードはしてくれない。その上、複数のラムダを管理する複雑さから、古くなったランタイムが抜け落ちやすくなり、余計なリスクが発生する。

どうすればこのCSPMの脆弱性を簡単に修正できるのか？

3つのシンプルなルールに従うことで、リスクを軽減することができる：

• 使用されているランタイムを定期的に確認し、アップデートがないかチェックする。
• セキュリティパッチが適用された最新のサポートバージョンにアップグレードする。
• 可能であれば、自動化ツールを使用してランタイムを管理・更新する。

Webアプリケーション・セキュリティの脆弱性とベストプラクティス

これらのウェブ・アプリケーション・セキュリティの脆弱性を理解することは、システム・セキュリティのために不可欠ですが、ベスト・セキュリティ・プラクティスに従うことを忘れないでください。最新の状態を維持し、適切な修正プログラムを適用し、定期的な監視を行うことで、安全でセキュアな環境を維持しましょう。

今すぐAikido あなたの環境をスキャンして、これらの脆弱性にさらされていないか調べてみましょう。

Aikido「2024 SaaS CTOセキュリティ・チェックリスト」で、人材、プロセス、コード、インフラなど、セキュリティ向上のための40以上の方法について簡潔なアドバイスをご覧ください。

ここ数週間で、多くの新機能をリリースし、様々なツールスタックのサポートを拡大しました。特に多くのコンテナ・レジストリーのスキャン・サポートを追加した！それ以外にも

• 新しいAWSルールをたくさん追加しました。
• AutofixがPythonにも対応
• PNPMをサポートするために、エクスプロイトの到達可能性分析を改善した。

コンテナ・レジストリのサポート拡大

多くのコンテナでは、Apache、Nginx、Python、Node.js、その他のランタイムなど、Web向けのソフトウェアが実行されています。ドッカーコンテナスキャンでそれらを安全に保ちましょう！Docker Hub、Azure Container Registry、GCP Artifact Registry、AWS Elastic Container Registryに続き、以下のレジストリもサポートするようになりました：

GitLabコンテナレジストリ（クラウド＆自己管理）

GitLabのクラウド＆セルフマネージド向けコンテナレジストリをサポートしました。セキュリティのGitLabテクノロジーアライアンスパートナーとして、これらの機能を見逃すことはできませんでした！

ドキュメントを読んでセットアップしてください：

• Gitlabコンテナレジストリのコンテナスキャン
• Gitlabセルフマネージドコンテナレジストリのコンテナスキャン

デジタルオーシャンのコンテナ・レジストリ

DigitalOceanは堅実なクラウド・ソリューションで、私たちはサポートを待ち望んでいました。コンテナについてもサポートできるようになったことをうれしく思います！

セットアップ方法のドキュメントを読む

Scalewayコンテナレジストリ

数少ない本物のヨーロッパのクラウドであるScalewayのContainer Registryのエクスプロイト・スキャンも行っていることを誇りに思っている！

セットアップ方法のドキュメントを読む

エクスプロイトの到達可能性分析が改善

PNPMロックファイルの到達可能性解析を開始しました。私たちの品質基準でこれを達成するために、多くの典型的なエッジケース（エイリアシング、特別なバージョン表記など）をカバーするようにしました。つまり、私たちの自動トリアージエンジンは、他のエンジンにはない多くの偽陽性を取り除くことができるのです。

PNPMを使用し、Aikido使用しているなら、あなたは幸運です！このレベルのノイズリダクション機能を持つ業界唯一の製品を使用しているのですから！🎉

AWSルールの拡大

AWSルールセットをアップグレードし、より関連性の高いルールを追加しました。本当に重要な問題について通知されるようにしたいと思います。新しいルールは以下の通りです：

• 未使用の IAM クレデンシャルのチェック
• 自動更新されないSSL証明書
• 古い画像を自動削除しないECRリポジトリ。

AWSクラウドをAikido接続し、新たな発見があるかどうかを確認してください。

自動修正範囲を拡大するパイソン

AikidoAutofix機能を使えば、ワンクリックで脆弱性を修正するプルリクエストを作成できます。Pythonもサポートしました！(現在のところ、これはrequirements.txtを使用している環境にのみ適用され、poetry.lockファイルにはまだ適用されません)。余計な設定は何もありません。Pythonのissueをブラウズして、Autofixボタンを見つけるだけです！

Autofixの詳細はドキュメントをご覧ください。

今すぐ試してみよう

Aikido アカウントにログインして、新機能をお試しください。または、私たちのチームにデモを要求することができます。

ぜひご意見をお聞かせください。何かアイデアが浮かんだら、遠慮せずにお知らせください！アプリ内チャットでいつでも受け付けています。

SaaS企業は、セキュリティに関して大きな目標を背中に背負っており、それがCTOを夜も眠らせない原因となっている。クラウド・セキュリティ・アライアンスは「SaaSセキュリティの現状：2024年調査報告書」を発表し、「58％の組織が過去2年間にインシデントを経験したと報告している」ことを明らかにした。

‍

セキュリティの重要性は、Aikido SaaSのCTO15人を対象に行ったコンサルテーションで、「93％のCTOが脅威防止の重要性を7（10点満点）以上にランク付けした」という結果からも裏付けられる。

SaaSのCTOが安心して眠れるように、包括的なSaaS CTOセキュリティ・チェックリストを作成しました。このチェックリストに従い、何度も見直すことで、貴社とアプリケーションのセキュリティが10倍向上すると確信しています。

SaaS企業の真のリスク

GitHub ActionsやCircleCIのようなCI/CDツールは、ハッカーの格好の標的だ。頻繁に発生する侵害は、クラウドへのアクセスを許可し、データの暴露につながる。2023年のCircleCIの侵害は顧客の秘密を漏洩し、2022年のGitHub Actionsの悪用はオープンソースプロジェクトを襲った。

ある新興企業のAWS環境全体が、そのサイトの基本的な問い合わせフォームを介して侵害された。どうやって？このフォームはSSRF攻撃を許可し、IAMキーへのアクセスを許可した。攻撃者はS3バケットと環境変数のコントロールを得た。

これらのセキュリティ侵害は実在する企業で起こり、実際に影響を及ぼした。しかし、セキュリティ慣行の改善にもっと時間と労力を費やしていれば、防ぐことができたかもしれない。

SaaS CTOセキュリティチェックリスト：40項目以上のチェックリスト

シンプルなチェックリストには、人材、プロセス、コード、インフラなど、セキュリティを強化するための40以上の方法が網羅されています。ビジネスの成長段階（ブートストラップ、スタートアップ、スケールアップ）ごとに整理されているため、現在の段階に関連するセキュリティのベストプラクティスを見つけることができます。このチェックリストは、SaaS 企業のセキュリティ・ベスト・プラクティスへの旅において、あなたの信頼できるガイドとなり、常にあなたの伴侶となるでしょう。

リストの各項目は、そもそもセキュリティについてあなたやあなたのチームに考えさせるように設計されており、その後、脆弱性に対処するために何ができるかについて、明確で簡潔な指示を与えます。また、各項目にはタグが付けられているため、あなたの会社の現在の段階に当てはまることを確認することができる。

また、このチェックリストはセクションに分かれているため、会社のさまざまな部分のニーズを考慮することができる。従業員は、コードやインフラとは異なる脅威に対して脆弱であるため、それらを個別に検討することは理にかなっている。

リストを見ていくうちに、まだ自分に当てはまらない項目があることに気づくのは間違いない。しかし、厄介なサプライズに遭遇しないよう、定期的にチェックリストを見直すことをお勧めする。何か悪いことが起こる前に、より安全になるために行動する限り、セキュリティは怖いものではありません。

チェックリストの一部をご紹介します。最終的なチェックリストには40以上の項目が含まれていますので、ぜひダウンロードして、今日からセキュリティの向上に取り組んでください。

バックアップ、そしてまたバックアップ

1つ目は、企業の成長段階すべてに当てはまるもので、絶対に欠かせないものです。とはいえ、すでに定期的にバックアップを取っているはずですよね？そうですよね？

外部の侵入テストチームを雇う

次の項目は、規模を拡大し始めた企業にとって極めて重要です。成長は順調で、拡大する過程でリスクとなる問題にはすべて対処しているが、インフラがすべてのレベルで安全であることを確信しているだろうか？そんな時こそ、ペネトレーション・テスト・チームを雇う時です！

OSとDockerコンテナをアップデートする

これは簡単なことだが、多くの開発者はここで手を抜く。アップデートは、他のタスクの方が緊急に思えるのに、スプリントの時間を食ってしまう。しかし、アップデートをさぼると、重要なシステムが脆弱性にさらされることになる。大きな頭痛の種を避けるためにも、パッチ適用とアップデートは真面目に行いましょう。

基本的なセキュリティ対策に全員が慣れる

最後の項目は、どの段階にも関係するものであり、私たちのチェックリストの一部である。人間は間違いを犯す。それは避けられない。しかし、全員がセキュリティについて考えるようになれば、こうしたミスを軽減することができる。

SaaSのCTOセキュリティチェックリストを無料でダウンロードする

これは、チェックリストで取り上げている重要なヒントのほんの一握りです。さらに、コードレビュー、オンボーディングとオフボーディング、DDoS攻撃、データベース復旧計画など、多くのガイダンスを提供する。

今すぐAikido2025 SaaS CTOセキュリティチェックリストをダウンロードして、アプリの堅牢化とチームのセキュリティに対する真剣な取り組みを始めましょう。あなたの会社がどの段階にあろうと、遅すぎることも早すぎることもありません。

SaaSセキュリティチェックリストをダウンロードする：

SaaS企業は、セキュリティに関して大きな目標を背中に背負っており、CTOが夜も眠れないほど悩まされている。クラウド・セキュリティ・アライアンス（Cloud Security Alliance）は今年初め、「SaaSセキュリティの現状：2023年調査報告書」を発表し、「組織の55％が過去2年間にインシデントを経験したと報告している」ことを明らかにした。

セキュリティの重要性は、Aikido最近SaaSのCTO15人を対象に行ったコンサルテーションで、"93％のCTOが脅威防止の重要性を7（10点満点）以上にランク付けした "という結果からも裏付けられる。

SaaSのCTOが安心して眠れるように、包括的なSaaS CTOセキュリティ・チェックリストを作成しました。このチェックリストに従い、何度も見直すことで、貴社とアプリケーションのセキュリティが10倍向上すると確信しています。

SaaS企業の真のリスク

GitHub ActionsやCircleCIのようなCI/CDツールは、ハッカーの格好の標的だ。頻繁に発生する侵害は、クラウドへのアクセスを許可し、データの暴露につながる。2023年のCircleCIの侵害は顧客の秘密を漏洩し、2022年のGitHub Actionsの悪用はオープンソースプロジェクトを襲った。

ある新興企業のAWS環境全体が、そのサイトの基本的な問い合わせフォームを介して侵害された。どうやって？このフォームはSSRF攻撃を許可し、IAMキーへのアクセスを許可した。攻撃者はS3バケットと環境変数のコントロールを得た。

これらのセキュリティ侵害は実在する企業で起こり、実際に影響を及ぼした。しかし、セキュリティ慣行の改善にもっと時間と労力を費やしていれば、防ぐことができたかもしれない。

SaaS CTOセキュリティチェックリスト：40項目以上のチェックリスト

シンプルなチェックリストには、人材、プロセス、コード、インフラなど、セキュリティを強化するための40以上の方法が網羅されています。ビジネスの成長段階（ブートストラップ、スタートアップ、スケールアップ）ごとに整理されているため、現在の段階に関連するセキュリティのベストプラクティスを見つけることができます。このチェックリストは、SaaS 企業のセキュリティ・ベスト・プラクティスへの旅において、あなたの信頼できるガイドとなり、常にあなたの伴侶となるでしょう。

リストの各項目は、そもそもセキュリティについてあなたやあなたのチームに考えさせるように設計されており、その後、脆弱性に対処するために何ができるかについて、明確で簡潔な指示を与えます。また、各項目にはタグが付けられているため、あなたの会社の現在の段階に当てはまることを確認することができる。

また、このチェックリストはセクションに分かれているため、会社のさまざまな部分のニーズを考慮することができる。従業員は、コードやインフラとは異なる脅威に対して脆弱であるため、それらを個別に検討することは理にかなっている。

リストを見ていくうちに、まだ自分に当てはまらない項目があることに気づくのは間違いない。しかし、厄介なサプライズに遭遇しないよう、定期的にチェックリストを見直すことをお勧めする。何か悪いことが起こる前に、より安全になるために行動する限り、セキュリティは怖いものではありません。

チェックリストの一部をご紹介します。最終的なチェックリストには40以上の項目が含まれていますので、ぜひダウンロードして、今日からセキュリティの向上に取り組んでください。

バックアップ、そしてまたバックアップ

1つ目は、企業の成長段階すべてに当てはまるもので、絶対に欠かせないものです。とはいえ、すでに定期的にバックアップを取っているはずですよね？そうですよね？

外部の侵入テストチームを雇う

次の項目は、規模を拡大し始めた企業にとって極めて重要です。成長は順調で、拡大する過程でリスクとなる問題にはすべて対処しているが、インフラがすべてのレベルで安全であることを確信しているだろうか？そんな時こそ、ペネトレーション・テスト・チームを雇う時です！

OSとDockerコンテナをアップデートする

これは簡単なことだが、多くの開発者はここで手を抜く。アップデートは、他のタスクの方が緊急に思えるのに、スプリントの時間を食ってしまう。しかし、アップデートをさぼると、重要なシステムが脆弱性にさらされることになる。大きな頭痛の種を避けるためにも、パッチ適用とアップデートは真面目に行いましょう。

基本的なセキュリティ対策に全員が慣れる

最後の項目は、どの段階にも関係するものであり、私たちのチェックリストの一部である。人間は間違いを犯す。それは避けられない。しかし、全員がセキュリティについて考えるようになれば、こうしたミスを軽減することができる。

SaaSのCTOセキュリティチェックリストを無料でダウンロードする

これは、チェックリストで取り上げている重要なヒントのほんの一握りです。さらに、コードレビュー、オンボーディングとオフボーディング、DDoS攻撃、データベース復旧計画など、多くのガイダンスを提供する。

今すぐAikido2024 SaaS CTOセキュリティチェックリストをダウンロードして、アプリの堅牢化とチームのセキュリティに対する真剣な取り組みを始めましょう。あなたの会社がどの段階にいても、遅すぎることも早すぎることもありません。

SaaSセキュリティ・チェックリストのダウンロード

SaaSのCTO15人に、クラウドとコード・セキュリティの課題と懸念について相談した。なぜ？

• SaaSのCTOは皆、製品のセキュリティ確保という課題に直面している。私たちは、そのような傾向を見つけ、彼らのニーズや悩みを発見したいと考えました。
• 顧客調査は、どんな新興企業にとっても成功のために不可欠であり、Aikido 同じである！実際、私たちはお客様の声を聞くのが大好きです。
• 私たちは当初から、お客様にとって最も重要なことに基づいてセキュリティ・ツールを設計し、進化させることに注力してきました。

Aikido、オープンな知識の共有を信条としている。

クラウド・セキュリティ・コンサルテーションについて

当社がコンサルティングを行ったCTOは、従業員数51～500人のクラウドネイティブなソフトウェア新興企業のCTOである。私たちは、クラウドとコードセキュリティのトピックに焦点を当てました：

• 脅威を防ぐ優先順位
• 脅威を防ぐブロッカー
• 現在のソリューションに対する満足度
• 他のソリューションとその欠点
• 彼らが直面する課題
• 彼らの要求と望ましい結果
• 彼らが重視する機能
• 彼らが将来成し遂げたいこと

クラウドやコードのセキュリティ脅威を防ぐことは、あなたにとってどの程度重要ですか？

まず、CTOがセキュリティ脅威の防止にどの程度の優先順位を置いているかから見てみよう。その結果、CTO は脅威の防止に高い優先度を与えていることが分かった。平均評価は8.27（10点満点）です。CTOの93%は、脅威防御の重要度を7以上としている。8」が最も多く、「10」が2番目に多い。

クラウドやコード・セキュリティの脅威を効果的に防ぐには、何が邪魔になるのだろうか？

CTOがクラウドやコード・セキュリティの脅威を防ぎたいと思うのと同様に、いくつかの障害も成功を阻む要因となっている。阻害要因の上位3つは、競合する優先事項、予算、複雑さであった。

競合する優先事項

トップは「競合する優先課題」（40％）。セキュリティの課題に関して、これは何を意味するのだろうか。CTOはセキュリティの優先順位を高く見ているが、企業内にはそれと同等、あるいはそれ以上に重要な懸念事項が存在する可能性がある。例えば、新機能を提供する競争と、新機能にまつわるセキュリティ問題との間で、サイバーセキュリティのバランスを取ることが重要である。

セキュリティは多くの場合、長期的には良い投資だが、日常的には影響が少ないため、仕事の優先順位を下げてしまいがちだ』。

予算の制約

2番目の阻害要因は、予算の制約（33％）であった。主な課題は、セキュリティ対策がビジネスにもたらすROIを証明することにある。あるCTOに言わせれば、「クラウドセキュリティに投資するビジネスケースを作ること」である。これは、前述の日常的な優先順位の低下とも関連している。

複雑さ

複雑さ」がブロンズ（27％）を占めた。ここでの問題は、潜在的な脅威が非常に多いということだ。優先順位をつけるのは負担が大きく、難しい。その結果、最大の脅威を見失いがちになる。

コードやクラウドのセキュリティ脅威を防ぐための現在のソリューションにどの程度満足していますか？

平均評価は6.4で、CTOの3分の1が現在のソリューションへの満足度を5以下としている。8点または9点の高満足度はわずか20％で、10点満点は0％だった。ここで重要なのは、CTOが脅威対策に与える優先度の高さと比較することである。重要度と満足度の間には、顕著かつ憂慮すべきギャップがあることがわかる。

他にどのようなセキュリティ・ソリューションを使い、どのような欠点がありますか？

現在のセキュリティ・ソリューションには、市場で入手可能なものが幅広く含まれている。CTOは11の製品を挙げており、SonarQubeが最も広く使用されている（33％）。それ以外では、調査時点で同じ製品を使用しているCTOは13％に満たなかった。

価格設定と価格モデル

CTOの40％が、最大の欠点は高額な価格設定と価格モデルにあると回答している。あるCTOは、天文学的に高い価格設定について報告している。別の1人は、行数による価格設定の長期的な実行可能性に疑問を呈している。『コード行数に従う価格設定モデルは、将来への懸念材料だ』。

偽陽性

33％が誤検知（脆弱性や悪意のある活動を誤って特定するアラート）にフラグを立てた。誤検知によるアラート疲れとリソースの浪費です。

現行ソリューションのさらなる欠陥

その他の欠点としては、リスク評価に関する課題、複雑なセットアップとメンテナンス、技術スタックの適合性、限定的な保護などがある。

あるCTOは、複数のセキュリティ・ソリューションを採用する必要性についての不満を指摘する：

つまり、CTOとして私が期待するのは、コードベースの自動セキュリティ・スキャンに現在使用しているSaaSが、クラウド・プロバイダーの1社とのコンプライアンスを保証するソリューションと同じであるはずがないということだ」。

セキュリティ・ソフトウェアの現在の欠陥についてCTOが何を考えているのか？

主な要点は以下の通りである。CTOは、クラウドとコード・セキュリティ・ソフトウェアのワンストップショップを求めている：

• 適正価格
• 偽陽性の少なさ
• 簡単なセットアップと
• 手間のかからないメンテナンス。

コードとクラウドの安全確保における最大の課題は何か？

SaaSのCTOが現在直面している最重要課題は、社内の対立、扱うべき情報が多すぎること、進化する脅威、完全なカバレッジを持つことの複雑さである。

内部の反対

40%が、主な課題は社内にあると回答している。つまり、認識不足や他の優先事項のためにリソースが限られているのだ。これは、先に述べた脅威防止を阻む要因の上位2つ（優先順位と予算）を裏付けている。

最大の課題は、組織の考え方を変え、セキュリティは機能であり、継続的に投資しなければならないことを理解してもらうことだ』。

チェンジ・マネジメントの難しさはよく知られている。また、態度や戦略に意味のある変化をもたらすための意識改革は、さらに困難な挑戦となる。

ノイズが多すぎる

情報過多は現実のものである。CTOの27%は、ノイズを選別することが次に大きな課題であると報告している。どの脅威を優先的に調査し、どのように対処すべきかを理解するのは容易ではない。また、偽陽性が混在している場合、行き詰まりや非効率、誤った労力が発生する可能性もある。

ログには無限のデータがあるようだが、それらが何を意味し、誰がどのように対処すべきかを管理する方法はない』。

脅威の進化、対象範囲、複雑さ

脅威の進化、カバレッジ、複雑性は、より低いレベルの課題としてランク付けされた。しかし、それでもなお、この調査で先に特定された障害や欠陥のいくつかが確認されている。

セキュリティの脅威は停滞しているわけではなく、進化し、セキュリティ・ソリューションの一歩先を行く傾向があります。これは、あなたの脆弱性も進化していることを意味し、時にはモグラたたきゲームのように感じるかもしれません。

攻撃者の手口はより巧妙になっており、新たな脆弱性が定期的に発見されている」。

CTOはさらに、現在のソリューションで確認された欠陥のいくつかを確認する上での課題を指摘した。彼らは、不完全なカバレッジを受けており、それが誤った安心感を生み出していると報告している。セキュリティ・ビジネスでは、これでは十分とは言えない！

彼らは安全感を提供しようとしているが、実際には大半の脅威から我々を守っていないのではないかと懸念している」。

カバー範囲が不完全であることは、さまざまな解決策のパッチワークの必要性、あるいは必要性の認識につながっている：

可動部分が多すぎる。実際の初期開発システムやソフトウェア、CICDプロセスからアプリケーションインフラやデータリポジトリに至るまで、......全体的なセキュリティポスチャソリューションアプローチに適合していない」。

CTOが望むビジネス成果とは？CTOにとって、クラウドとコードセキュリティの何が最も重要か？

この2つの質問で、彼らの戦略的目標と、それを達成するために何が最も重要かを探った。

望ましい成果

CTOは戦略的成果の上位3つをこのようにランク付けした：

1. ブランドの評判と顧客の信頼を守る（47）
2. 機密データが保護されており、データ漏洩がない（33）
3. コンプライアンス（20）

何が最も重要か？

そして、これらの望ましい成果を実現するために、CTOにとって最も重要なのは以下のものだった（この質問では複数選択可）：

1. 低メンテナンス (53%)
2. 信頼性／偽陽性がない(40%)
3. 明確で効果的な報告 (33%)

私たちが気づいたことに気づきましたか？これらは、現在のセキュリティ・ソリューションの欠陥についての質問から学んだことと同じようなものです。

しかし、価格についてはどうだろう？

しかし、明確で効果的なレポーティングは、欠陥の学習と比較すると、上記のリストでは妥当な価格設定に取って代わられている。つまり、価格や予算に関するコメントや選択肢は、この質問では7％しか優先されていないのである。これは何を意味するのだろうか？

価格設定の不可解さを紐解いてみよう。これは、セキュリティ・ソフトウェアが期待どおりの成果を上げられない場合、価格が課題となり、障害となることを意味する。しかし、セキュリティ・ソリューションが正確で、メンテナンスが簡単で、わかりやすいレポートによって複雑さを解消し、ブランドの評判を守り、顧客の信頼を築き、コンプライアンス基準を満たしながらデータを安全に保つという高い目標の達成に役立つものであれば、価格設定が障壁になることはなく、正当化することも容易になります。

クラウドおよびコード・セキュリティ・ソフトウェアを選択する際に最も重要な機能

また、SaaSのCTOに対して、どのような技術的特徴が最も重要かを尋ねた。彼らは5つのステートメントを以下のようにランク付けした（4点満点）：

1. クラウドの誤設定検出- 3.67 (33% がこれを1位とした)
2. オープンソースの脆弱性スキャン- 3.53 (33% が1位)
3. 秘密の検出（APIキー、パスワード、証明書など）-3.53（53％以上がこれを2位とした）
4. CI/CDプラットフォームによる静的コード解析- 2.93
5. オープンソース・ライセンス・スキャンニング - 1.33 (80% が最後にランクイン)

これらのセキュリティ機能のうち、あなたにとって最も重要なものはどれですか？また、セキュリティ・ソリューションに搭載してほしい機能はありますか？

クラウドとコードセキュリティの課題を解決する製品をお探しですか？

とりわけ、今後成し遂げたいことを尋ねたところ、CTOは次のような声明を最も高く評価した：

クラウドやコードのセキュリティの脅威から完全に安全を感じたい』。

これは私たちの耳に心地よい。私たちのCTOであるウィレムは、以前勤めていた会社でまさにこの問題に苦しんでいた。その苦悩から、彼は正しい解決策を生み出す使命を負ったのです。それこそが、私たちがAikido作り上げようとしているものなのです。

当社のソリューションは、オープンソースのソフトウェア・セキュリティ・ツールのベスト・オブ・ブリードを結集しています。これにより、関連するすべての分野をカバーすることができます。また、Aikido 、どの問題や脆弱性が本当に重要で、実際に解決すべきかを示します。誤検知はありません！

Aikido CTOのクラウドとコードセキュリティの課題をどのように解決できるのか、ご自身の目でお確かめください。Aikido 無料テストドライブをお試しいただくか、弊社までお問い合わせください。

急速に変化するデジタル環境の中で、アプリケーションのセキュリティは必要不可欠です。アプリケーションのセキュリティを強化する最も効果的な方法の1つは、OWASPトップ10で評価することです。しかし、OWASPトップ10とは一体何なのでしょうか？

OWASPトップ10：ウェブセキュリティのためのフレームワーク

オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト（OWASP）は、ウェブ上のソフトウェアをよりセキュアにするために努力している非営利財団である。OWASP の Top10 は、最も重大な 10 のウェブ・アプリケーション・セキュリティ・リスクの概要を示す、広く知られたレポートです。基本的には、あなたのアプリケーションをサイバー脅威の標的にする可能性のある、最も一般的な弱点のチェックリストです。

なぜOWASPトップ10を気にする必要があるのか？

OWASP Top 10 は、リスク管理のすべてです。OWASP Top 10 で強調された脆弱性に対処することは、セキュリティ侵害のリスクを軽減し、より安全なコードを開発し、 より安全なアプリケーションを作成するのに役立ちます。

OWASPのトップ10に従うことは、規制基準を遵守し、セキュリティのベストプラクティスへのコミットメントをユーザーに信頼させるための賢い行動でもあります。アプリケーションが機密データを扱う場合、ユーザーはその安全性を知りたがる。

OWASPのチェックリストは約3〜4年ごとに更新され、最後の更新は2021年だった。脆弱性や脅威の深刻度が上がったり下がったりするため、その都度、いくつかの統合、名前の変更、並べ替えが行われる。現在の危険性を認識することで、どこから手をつけるべきか、早急な対応が必要な重大リスクは何かを知ることができる。

最新のチェックリストを見てみよう。

OWASP ウェブアプリケーション・セキュリティ・リスク トップ10

1.壊れたアクセス制御

認証されたユーザーが何をすることが許されるかについての制限は、しばしば強制されない。ハッカーはこれらの欠陥を悪用し、未承認の機能やデータにアクセスすることができる。他のユーザーアカウントへのアクセス、機密ファイルの閲覧、データの修正・破壊、アクセス権の変更などが可能になるかもしれない。さらには、システム全体の管理者権限を持つことになる可能性さえある。OWASPのトップ10は、ここで一つの重要なルールを強調している。

2.暗号の失敗

多くのウェブアプリケーションは、クレジットカード、認証情報、健康記録、その他の個人データなどの機密データを適切に保護していません。攻撃者は、保護が弱いデータを盗んだり変更したりして、クレジットカード詐欺やなりすまし、その他の犯罪を行う可能性があります。企業にとっては、知的財産やその他の企業秘密を守る必要があります。転送中および静止中のデータの保護ニーズを評価するようにしてください。また、すべてのプロトコルやアルゴリズムに弱点がないか定期的に評価すること。

3.インジェクション

インジェクションの欠陥は、アプリケーションが信頼されていないデータをコマンドやクエリの一部として送信する際に発生します。攻撃者は、インタプリタを騙して、意図しないコマンドを実行させたり、不正なデータにアクセスさせたりすることができ、 データの損失、破損、不正アクセスにつながります。ソースコードレビューは、本番環境へデプロイする前に、アプリケーションセキュリティテストツールを厳密に使用するのと同様に、ここでも役に立ちます。

4.安全でない設計

OWASPは、セキュリティはコーディングが行われる前に始める必要があることを強く推奨します。設計やアーキテクチャの欠陥は、たとえそれが安全に実装されていたとしても、アプリケーションを破滅させる可能性があります。このコーディング前の段階には、より多くの脅威モデリング、安全な設計パターンと原則、参照アーキテ クチャを含める必要があります。また、ビジネスリスクプロファイリングに冷徹に取り組むとともに、ビジネス要件と技術要 件のバランスを取る必要がある。

5.セキュリティの誤設定

誤設定リスクとは、セキュリティ設定、ソフトウェア更新、サーバ設定ファイル、アプリケーションの機能やページにおける エラーなど、アプリケーションデータを安全に保つためのコントロールが不適切に実施されることを指します。最小限のプラットフォームという形で厳重に管理することで、このようなリスクを軽減することができます。不必要な機能、フレームワーク、コンポーネントを含めないこと。OWASPのトップ10によると、一番重要なのは、デフォルトのアカウントとパスワードを無効にすること、エラー処理で多くの情報が漏れないようにすること、そしてすべてのパッチを適用し、アップデートしておくことです。

6.脆弱で老朽化したコンポーネント

ライブラリ、フレームワーク、その他のソフトウェアモジュールなどのコンポーネントは、アプリケーションと同じ権限で実行されます。脆弱なコンポーネントが悪用された場合、攻撃は深刻なデータ損失や、サーバの完全な乗っ取りを意味することさえあります。クライアント側とサーバー側の両方で使用しているバージョンを把握し、脆弱性がないか定期的にスキャンし、セキュリティ勧告を把握しておく必要がある。OWASPによれば、最も重要なことは、毎月や四半期ごとにパッチを当てるだけではいけないということです。

7.識別と認証の失敗

アプリケーションの認証とセッション管理機能が正しく実装されていない場合、攻撃者はパスワード、鍵、セッショントークンを漏洩 させたり、他の実装の欠陥を悪用して他のアイデンティティになりすますことができます。OWASP Top 10 は、脆弱なパスワード、セッション識別子の再利用、脆弱な回復プロセス、自動化された攻撃の許可に警 告しています。可能であれば、多要素認証は、さまざまな簡単で常識的な認証手段とともに、ここで取るべき方法である。

8.ソフトウェアとデータの整合性の失敗

アプリケーションがプラグインやライブラリのような信頼できないソースに依存している場合、ソフトウェアやデータの整合性に障害が発生する可能性がある。また、安全でないCI/CDパイプラインは、不正アクセスやシステム侵害につながる可能性がある。もう1つのリスクは、完全性を検証するのに十分でない自動更新機能や、安全でないデータ構造の整理方法から生じる。これらのリスクを防ぐために、チームはデジタル署名を使用すべきである。これらはソフトウェアやデータの安全性を確認することができる。ライブラリや依存関係には、信頼できるリポジトリのみを使用するようにしてください。また、既知の脆弱性をチェックするために、ソフトウェアのサプライチェーンセキュリティツールを導入すべきである。OWASPは、コードと設定の変更に対するレビュープロセスを維持し、CI/CDパイプラインに適切なアクセス制御を設定することを提案している。最後に、完全性をチェックしたり、デジタル署名を加えたりしない限り、署名されていない、あるいは暗号化されていないシリアライズデータをクライアントに送らないこと。

9.セキュリティログと監視の失敗

不十分なロギングと監視は、インシデントレスポンスとの統合が欠けていたり、非効果的であったりすることと相まって、攻撃者がシステムを攻撃し、永続性を維持し、より多くのシステムにピボットし、データを改ざん、抽出、破壊することを可能にしている。OWASPのトップ10では、ログインやログイン失敗のようなすべてのイベントをログに記録すること、警告やエラーは明確なログメッセージを生成すること、ログは決してローカルにのみ保存しないことを提案しています。ロギングやアラート・イベントをユーザーから見えるようにすることも、リスクの原因となる。

10.サーバーサイドリクエストフォージェリ

サーバーサイドリクエストフォージェリ（SSRF）の問題は、ウェブアプリがユーザーから与えられたURLを確認せずにリモートソースからデータを取得する際に発生する。これにより、攻撃者はアプリを騙して、ネットワーク・セキュリティ対策を突破してでも、不要な場所にリクエストを行うように仕向けることができる。OWASPは、最近のウェブアプリはURLをフェッチする必要があることが多いため、このような問題はより一般的になってきていると考えている。クラウドサービスや複雑なシステムの利用により、リスクはより深刻になっている。ここでも、ネットワークアクセスレベルでのデフォルト拒否アプローチが有効だ。また、アプリケーションレイヤーにも様々な対策がある。

実際の使用例をブログに書きましたので、ご自由にご覧ください。

なぜOWASP Top 10を使うのか？

OWASP Top 10は、単なる問題のリストではなく、解決策へのガイドです。チェックリストの各項目には、脆弱性をどのように防ぐかについてのセクションと、攻撃シナリオの例が含まれており、開発者 にアプリケーションのセキュリティを改善するための実践的なステップを提供しています。アプリケーションのセキュリティ確保は継続的なプロセスであり、常に新しい脅威が出現します。警戒を怠らず、セキュリティを優先することで、アプリケーションを安全に保ち、ユーザーを安全に保つことができます。

企業にとって、OWASP Top 10 は単なるチェックリストではない。これは、セキュリティを開発プロセスの最前線に持ってくるツールであり、組織内のセキュリティ意識の文化を育成するものです。OWASP Top 10 を重視することで、アプリケーションのセキュリティを強化するだけでなく、セキュリティを開発プロセスの中核に据えることができます。

クラウドネイティブ企業であれば、Aikido 利用することで、OWASP Top 10の適用範囲について開発環境を簡単にスキャンすることができます。Aikidoのテストツールとセキュリティレポートは、OWASP Top 10のスコアと、各脆弱性を防ぐために取られた対策の分析を明確に提供します。関係者とレポートを共有し、どのようなセキュリティ対策に重点を置く必要があるかを素早く把握するために使用することができます。

今すぐ Aikidoあなたの環境をスキャンし、OWASPトップ10スコアを取得しましょう。