ブログへようこそ

SaaSのCTO15人に、クラウドとコード・セキュリティの課題と懸念について相談した。なぜ？

• SaaSのCTOは皆、製品のセキュリティ確保という課題に直面している。私たちは、そのような傾向を見つけ、彼らのニーズや悩みを発見したいと考えました。
• スタートアップ企業が成功するためには顧客調査が不可欠であり、Aikido 同様である！実際、私たちはお客様の声を聞くのが大好きです。
• 私たちは当初から、お客様にとって最も重要なことに基づいてセキュリティ・ツールを設計し、進化させることに注力してきました。

Aikido、オープンな知識の共有を信条としている。

クラウド・セキュリティ・コンサルテーションについて

当社がコンサルティングを行ったCTOは、従業員数51～500人のクラウドネイティブなソフトウェア新興企業のCTOである。私たちは、クラウドとコードセキュリティのトピックに焦点を当てました：

• 脅威を防ぐ優先順位
• 脅威を防ぐブロッカー
• 現在のソリューションに対する満足度
• 他のソリューションとその欠点
• 彼らが直面する課題
• 彼らの要求と望ましい結果
• 彼らが重視する機能
• 彼らが将来成し遂げたいこと

クラウドやコードのセキュリティ脅威を防ぐことは、あなたにとってどの程度重要ですか？

まず、CTOがセキュリティ脅威の防止にどの程度の優先順位を置いているかから見てみよう。その結果、CTO は脅威の防止に高い優先度を与えていることが分かった。平均評価は8.27（10点満点）です。CTOの93%は、脅威防御の重要度を7以上としている。8」が最も多く、「10」が2番目に多い。

クラウドやコード・セキュリティの脅威を効果的に防ぐには、何が邪魔になるのだろうか？

CTOがクラウドやコード・セキュリティの脅威を防ぎたいと思うのと同様に、いくつかの障害も成功を阻む要因となっている。阻害要因の上位3つは、競合する優先事項、予算、複雑さであった。

競合する優先事項

トップは「競合する優先課題」（40％）。セキュリティの課題に関して、これは何を意味するのだろうか。CTOはセキュリティの優先順位を高く見ているが、企業内にはそれと同等、あるいはそれ以上に重要な懸念事項が存在する可能性がある。例えば、新機能を提供する競争と、新機能にまつわるセキュリティ問題との間で、サイバーセキュリティのバランスを取ることが重要である。

セキュリティは多くの場合、長期的には良い投資だが、日常的には影響が少ないため、仕事の優先順位を下げてしまいがちだ』。

予算の制約

2番目の阻害要因は、予算の制約（33％）であった。主な課題は、セキュリティ対策がビジネスにもたらすROIを証明することにある。あるCTOに言わせれば、「クラウドセキュリティに投資するビジネスケースを作ること」である。これは、前述の日常的な優先順位の低下とも関連している。

複雑さ

複雑さ」がブロンズ（27％）を占めた。ここでの問題は、潜在的な脅威が非常に多いということだ。優先順位をつけるのは負担が大きく、難しい。その結果、最大の脅威を見失いがちになる。

コードやクラウドのセキュリティ脅威を防ぐための現在のソリューションにどの程度満足していますか？

平均評価は6.4で、CTOの3分の1が現在のソリューションへの満足度を5以下としている。8点または9点の高満足度はわずか20％で、10点満点は0％だった。ここで重要なのは、CTOが脅威対策に与える優先度の高さと比較することである。重要度と満足度の間には、顕著かつ憂慮すべきギャップがあることがわかる。

他にどのようなセキュリティ・ソリューションを使い、どのような欠点がありますか？

現在のセキュリティ・ソリューションには、市場で入手可能なものが幅広く含まれている。CTOは11の製品を挙げており、SonarQubeが最も広く使用されている（33％）。それ以外では、調査時点で同じ製品を使用しているCTOは13％に満たなかった。

価格設定と価格モデル

CTOの40％が、最大の欠点は高額な価格設定と価格モデルにあると回答している。あるCTOは、天文学的に高い価格設定について報告している。別の1人は、行数による価格設定の長期的な実行可能性に疑問を呈している。『コード行数に従う価格設定モデルは、将来への懸念材料だ』。

偽陽性

33％が誤検知（脆弱性や悪意のある活動を誤って特定するアラート）にフラグを立てた。誤検知によるアラート疲れとリソースの浪費です。

現行ソリューションのさらなる欠陥

その他の欠点としては、リスク評価に関する課題、複雑なセットアップとメンテナンス、技術スタックの適合性、限定的な保護などがある。

あるCTOは、複数のセキュリティ・ソリューションを採用する必要性についての不満を指摘する：

つまり、CTOとして私が期待するのは、コードベースの自動セキュリティ・スキャンに現在使用しているSaaSが、クラウド・プロバイダーの1社とのコンプライアンスを保証するソリューションと同じであるはずがないということだ」。

セキュリティ・ソフトウェアの現在の欠陥についてCTOが何を考えているのか？

主な要点は以下の通りである。CTOは、クラウドとコード・セキュリティ・ソフトウェアのワンストップショップを求めている：

• 適正価格
• 偽陽性の少なさ
• 簡単なセットアップと
• 手間のかからないメンテナンス。

コードとクラウドの安全確保における最大の課題は何か？

SaaSのCTOが現在直面している最重要課題は、社内の対立、扱うべき情報が多すぎること、進化する脅威、完全なカバレッジを持つことの複雑さである。

内部の反対

40%が、主な課題は社内にあると回答している。つまり、認識不足や他の優先事項のためにリソースが限られているのだ。これは、先に述べた脅威防止を阻む要因の上位2つ（優先順位と予算）を裏付けている。

最大の課題は、組織の考え方を変え、セキュリティは機能であり、継続的に投資しなければならないことを理解してもらうことだ』。

チェンジ・マネジメントの難しさはよく知られている。また、態度や戦略に意味のある変化をもたらすための意識改革は、さらに困難な挑戦となる。

ノイズが多すぎる

情報過多は現実のものである。CTOの27%は、ノイズを選別することが次に大きな課題であると報告している。どの脅威を優先的に調査し、どのように対処すべきかを理解するのは容易ではない。また、偽陽性が混在している場合、行き詰まりや非効率、誤った労力が発生する可能性もある。

ログには無限のデータがあるようだが、それらが何を意味し、誰がどのように対処すべきかを管理する方法はない』。

脅威の進化、対象範囲、複雑さ

脅威の進化、カバレッジ、複雑性は、より低いレベルの課題としてランク付けされた。しかし、それでもなお、この調査で先に特定された障害や欠陥のいくつかが確認されている。

セキュリティの脅威は停滞しているわけではなく、進化し、セキュリティ・ソリューションの一歩先を行く傾向があります。これは、あなたの脆弱性も進化していることを意味し、時にはモグラたたきゲームのように感じるかもしれません。

攻撃者の手口はより巧妙になっており、新たな脆弱性が定期的に発見されている」。

CTOはさらに、現在のソリューションで確認された欠陥のいくつかを確認する上での課題を指摘した。彼らは、不完全なカバレッジを受けており、それが誤った安心感を生み出していると報告している。セキュリティ・ビジネスでは、これでは十分とは言えない！

彼らは安全感を提供しようとしているが、実際には大半の脅威から我々を守っていないのではないかと懸念している」。

カバー範囲が不完全であることは、さまざまな解決策のパッチワークの必要性、あるいは必要性の認識につながっている：

可動部分が多すぎる。実際の初期開発システムやソフトウェア、CICDプロセスからアプリケーションインフラやデータリポジトリに至るまで、......全体的なセキュリティポスチャソリューションアプローチに適合していない」。

CTOが望むビジネス成果とは？CTOにとって、クラウドとコードセキュリティの何が最も重要か？

この2つの質問で、彼らの戦略的目標と、それを達成するために何が最も重要かを探った。

望ましい成果

CTOは戦略的成果の上位3つをこのようにランク付けした：

1. ブランドの評判と顧客の信頼を守る（47）
2. 機密データが保護されており、データ漏洩がない（33）
3. コンプライアンス（20）

何が最も重要か？

そして、これらの望ましい成果を実現するために、CTOにとって最も重要なのは以下のものだった（この質問では複数選択可）：

1. 低メンテナンス (53%)
2. 信頼性／偽陽性がない(40%)
3. 明確で効果的な報告 (33%)

私たちが気づいたことに気づきましたか？これらは、現在のセキュリティ・ソリューションの欠陥についての質問から学んだことと同じようなものです。

しかし、価格についてはどうだろう？

しかし、明確で効果的なレポーティングは、欠陥の学習と比較すると、上記のリストでは妥当な価格設定に取って代わられている。つまり、価格や予算に関するコメントや選択肢は、この質問では7％しか優先されていないのである。これは何を意味するのだろうか？

価格設定の不可解さを紐解いてみよう。これは、セキュリティ・ソフトウェアが期待どおりの成果を上げられない場合、価格が課題となり、障害となることを意味する。しかし、セキュリティ・ソリューションが正確で、メンテナンスが簡単で、わかりやすいレポートによって複雑さを解消し、ブランドの評判を守り、顧客の信頼を築き、コンプライアンス基準を満たしながらデータを安全に保つという高い目標の達成に役立つものであれば、価格設定が障壁になることはなく、正当化することも容易になります。

クラウドおよびコード・セキュリティ・ソフトウェアを選択する際に最も重要な機能

また、SaaSのCTOに対して、どのような技術的特徴が最も重要かを尋ねた。彼らは5つのステートメントを以下のようにランク付けした（4点満点）：

1. クラウドの誤設定検出- 3.67 (33% がこれを1位とした)
2. オープンソースの脆弱性スキャン- 3.53 (33% が1位)
3. 秘密の検出（APIキー、パスワード、証明書など）-3.53（53％以上がこれを2位とした）
4. CI/CDプラットフォームによる静的コード解析- 2.93
5. オープンソース・ライセンス・スキャンニング - 1.33 (80% が最後にランクイン)

これらのセキュリティ機能のうち、あなたにとって最も重要なものはどれですか？また、セキュリティ・ソリューションに搭載してほしい機能はありますか？

クラウドとコードセキュリティの課題を解決する製品をお探しですか？

とりわけ、今後成し遂げたいことを尋ねたところ、CTOは次のような声明を最も高く評価した：

クラウドやコードのセキュリティの脅威から完全に安全を感じたい』。

これは私たちの耳に心地よい。私たちのCTOであるウィレムは、以前勤めていた会社でまさにこの問題に苦しんでいた。その苦悩から、彼は正しい解決策を生み出す使命を負ったのです。それこそが、私たちがAikido作り上げようとしているものなのです。

当社のソリューションは、オープンソースのソフトウェア・セキュリティ・ツールのベスト・オブ・ブリードを結集しています。これにより、関連するすべての分野をカバーすることができます。また、Aikido 、どの問題や脆弱性が本当に重要で、実際に解決すべきかを示します。誤検知はありません！

Aikido CTOのクラウドとコードセキュリティの課題をどのように解決できるのか、ご自身の目でお確かめください。Aikido 無料テストドライブをお試しいただくか、弊社までお問い合わせください。

急速に変化するデジタル環境の中で、アプリケーションのセキュリティは必要不可欠です。アプリケーションのセキュリティを強化する最も効果的な方法の1つは、OWASPトップ10で評価することです。しかし、OWASPトップ10とは一体何なのでしょうか？

OWASPトップ10：ウェブセキュリティのためのフレームワーク

オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト（OWASP）は、ウェブ上のソフトウェアをよりセキュアにするために努力している非営利財団である。OWASP の Top10 は、最も重大な 10 のウェブ・アプリケーション・セキュリティ・リスクの概要を示す、広く知られたレポートです。基本的には、あなたのアプリケーションをサイバー脅威の標的にする可能性のある、最も一般的な弱点のチェックリストです。

なぜOWASPトップ10を気にする必要があるのか？

OWASP Top 10 は、リスク管理のすべてです。OWASP Top 10 で強調された脆弱性に対処することは、セキュリティ侵害のリスクを軽減し、より安全なコードを開発し、 より安全なアプリケーションを作成するのに役立ちます。

OWASPのトップ10に従うことは、規制基準を遵守し、セキュリティのベストプラクティスへのコミットメントをユーザーに信頼させるための賢い行動でもあります。アプリケーションが機密データを扱う場合、ユーザーはその安全性を知りたがる。

OWASPのチェックリストは約3〜4年ごとに更新され、最後の更新は2021年だった。脆弱性や脅威の深刻度が上がったり下がったりするため、その都度、いくつかの統合、名前の変更、並べ替えが行われる。現在の危険性を認識することで、どこから手をつけるべきか、早急な対応が必要な重大リスクは何かを知ることができる。

最新のチェックリストを見てみよう。

OWASP ウェブアプリケーション・セキュリティ・リスク トップ10

1.壊れたアクセス制御

認証されたユーザーが何をすることが許されるかについての制限は、しばしば強制されない。ハッカーはこれらの欠陥を悪用し、未承認の機能やデータにアクセスすることができる。他のユーザーアカウントへのアクセス、機密ファイルの閲覧、データの修正・破壊、アクセス権の変更などが可能になるかもしれない。さらには、システム全体の管理者権限を持つことになる可能性さえある。OWASPのトップ10は、ここで一つの重要なルールを強調している。

2.暗号の失敗

多くのウェブアプリケーションは、クレジットカード、認証情報、健康記録、その他の個人データなどの機密データを適切に保護していません。攻撃者は、保護が弱いデータを盗んだり変更したりして、クレジットカード詐欺やなりすまし、その他の犯罪を行う可能性があります。企業にとっては、知的財産やその他の企業秘密を守る必要があります。転送中および静止中のデータの保護ニーズを評価するようにしてください。また、すべてのプロトコルやアルゴリズムに弱点がないか定期的に評価すること。

3.インジェクション

インジェクションの欠陥は、アプリケーションが信頼されていないデータをコマンドやクエリの一部として送信する際に発生します。攻撃者は、インタプリタを騙して、意図しないコマンドを実行させたり、不正なデータにアクセスさせたりすることができ、 データの損失、破損、不正アクセスにつながります。ソースコードレビューは、本番環境へデプロイする前に、アプリケーションセキュリティテストツールを厳密に使用するのと同様に、ここでも役に立ちます。

4.安全でない設計

OWASPは、セキュリティはコーディングが行われる前に始める必要があることを強く推奨します。設計やアーキテクチャの欠陥は、たとえそれが安全に実装されていたとしても、アプリケーションを破滅させる可能性があります。このコーディング前の段階には、より多くの脅威モデリング、安全な設計パターンと原則、参照アーキテ クチャを含める必要があります。また、ビジネスリスクプロファイリングに冷徹に取り組むとともに、ビジネス要件と技術要 件のバランスを取る必要がある。

5.セキュリティの誤設定

誤設定リスクとは、セキュリティ設定、ソフトウェア更新、サーバ設定ファイル、アプリケーションの機能やページにおける エラーなど、アプリケーションデータを安全に保つためのコントロールが不適切に実施されることを指します。最小限のプラットフォームという形で厳重に管理することで、このようなリスクを軽減することができます。不必要な機能、フレームワーク、コンポーネントを含めないこと。OWASPのトップ10によると、一番重要なのは、デフォルトのアカウントとパスワードを無効にすること、エラー処理で多くの情報が漏れないようにすること、そしてすべてのパッチを適用し、アップデートしておくことです。

6.脆弱で老朽化したコンポーネント

ライブラリ、フレームワーク、その他のソフトウェアモジュールなどのコンポーネントは、アプリケーションと同じ権限で実行されます。脆弱なコンポーネントが悪用された場合、攻撃は深刻なデータ損失や、サーバの完全な乗っ取りを意味することさえあります。クライアント側とサーバー側の両方で使用しているバージョンを把握し、脆弱性がないか定期的にスキャンし、セキュリティ勧告を把握しておく必要がある。OWASPによれば、最も重要なことは、毎月や四半期ごとにパッチを当てるだけではいけないということです。

7.識別と認証の失敗

アプリケーションの認証とセッション管理機能が正しく実装されていない場合、攻撃者はパスワード、鍵、セッショントークンを漏洩 させたり、他の実装の欠陥を悪用して他のアイデンティティになりすますことができます。OWASP Top 10 は、脆弱なパスワード、セッション識別子の再利用、脆弱な回復プロセス、自動化された攻撃の許可に警 告しています。可能であれば、多要素認証は、さまざまな簡単で常識的な認証手段とともに、ここで取るべき方法である。

8.ソフトウェアとデータの整合性の失敗

アプリケーションがプラグインやライブラリのような信頼できないソースに依存している場合、ソフトウェアやデータの整合性に障害が発生する可能性がある。また、安全でないCI/CDパイプラインは、不正アクセスやシステム侵害につながる可能性がある。もう1つのリスクは、完全性を検証するのに十分でない自動更新機能や、安全でないデータ構造の整理方法から生じる。これらのリスクを防ぐために、チームはデジタル署名を使用すべきである。これらはソフトウェアやデータの安全性を確認することができる。ライブラリや依存関係には、信頼できるリポジトリのみを使用するようにしてください。また、既知の脆弱性をチェックするために、ソフトウェアのサプライチェーンセキュリティツールを導入すべきである。OWASPは、コードと設定の変更に対するレビュープロセスを維持し、CI/CDパイプラインに適切なアクセス制御を設定することを提案している。最後に、完全性をチェックしたり、デジタル署名を加えたりしない限り、署名されていない、あるいは暗号化されていないシリアライズデータをクライアントに送らないこと。

9.セキュリティログと監視の失敗

不十分なロギングと監視は、インシデントレスポンスとの統合が欠けていたり、非効果的であったりすることと相まって、攻撃者がシステムを攻撃し、永続性を維持し、より多くのシステムにピボットし、データを改ざん、抽出、破壊することを可能にしている。OWASPのトップ10では、ログインやログイン失敗のようなすべてのイベントをログに記録すること、警告やエラーは明確なログメッセージを生成すること、ログは決してローカルにのみ保存しないことを提案しています。ロギングやアラート・イベントをユーザーから見えるようにすることも、リスクの原因となる。

10.サーバーサイドリクエストフォージェリ

サーバーサイドリクエストフォージェリ（SSRF）の問題は、ウェブアプリがユーザーから与えられたURLを確認せずにリモートソースからデータを取得する際に発生する。これにより、攻撃者はアプリを騙して、ネットワーク・セキュリティ対策を突破してでも、不要な場所にリクエストを行うように仕向けることができる。OWASPは、最近のウェブアプリはURLをフェッチする必要があることが多いため、このような問題はより一般的になってきていると考えている。クラウドサービスや複雑なシステムの利用により、リスクはより深刻になっている。ここでも、ネットワークアクセスレベルでのデフォルト拒否アプローチが有効だ。また、アプリケーションレイヤーにも様々な対策がある。

実際の使用例をブログに書きましたので、ご自由にご覧ください。

なぜOWASP Top 10を使うのか？

OWASP Top 10は、単なる問題のリストではなく、解決策へのガイドです。チェックリストの各項目には、脆弱性をどのように防ぐかについてのセクションと、攻撃シナリオの例が含まれており、開発者 にアプリケーションのセキュリティを改善するための実践的なステップを提供しています。アプリケーションのセキュリティ確保は継続的なプロセスであり、常に新しい脅威が出現します。警戒を怠らず、セキュリティを優先することで、アプリケーションを安全に保ち、ユーザーを安全に保つことができます。

企業にとって、OWASP Top 10 は単なるチェックリストではない。これは、セキュリティを開発プロセスの最前線に持ってくるツールであり、組織内のセキュリティ意識の文化を育成するものです。OWASP Top 10 を重視することで、アプリケーションのセキュリティを強化するだけでなく、セキュリティを開発プロセスの中核に据えることができます。

クラウドネイティブ企業であれば、Aikido 利用することで、OWASP Top 10の適用範囲について開発環境を簡単にスキャンすることができます。Aikidoのテストツールとセキュリティレポートは、OWASP Top 10のスコアと、各脆弱性を防ぐために取られた対策の分析を明確に提供します。関係者とレポートを共有し、どのようなセキュリティ対策に重点を置く必要があるかを素早く把握するために使用することができます。

今すぐ Aikidoあなたの環境をスキャンし、OWASPトップ10スコアを取得しましょう。

SaaSの管理画面を構築する際、よくあるミスを避けるにはどうすればいいのでしょうか？SaaSの管理画面を構築する際に陥りがちな落とし穴と解決策をご紹介します！

数人以上の顧客を持つSaaSアプリを開発していると、何が起こるでしょうか？ある時点で、避けられないことが起こります！営業やカスタマーサクセスの担当者が、開発チームに次のような要求をしてくるのです：

• アクティブに使用されているアカウントを表示する
• テクニカルサポート用の顧客アカウントを入力できるようにする
• あるアカウントの特定の機能フラグを有効または無効にする
• ログインできないユーザーがいますが、どのような方法で認証しているのか教えてください。
• リセラーがいるのですが、サブアカウントにアクセスする必要があります。
• アカウントの無料トライアルを延長したいのですが。
• アカウントは、カスタマーサクセスエージェントのみが設定できる特定の設定が必要です。
• 特定の顧客グループの総MRRを教えてください。

様々なツールがこれらのユースケースのいくつかをカバーすることができる。Segmentや journy.ioのようなPLGツールは、アクティビティを追跡することができる。LaunchDarklyのようなフィーチャー・フラグ・サービスを使うこともできるだろう。StripeやChargebeeは、課金関連の一部を管理するかもしれない。一方、認証に関する問題は、Auth0アカウントで確認できるかもしれない。しかし、これらすべてのプラットフォームを使っている可能性は低い。使っていたとしても、おそらくいくつかのユースケースをカバーできないだろう。

解決策は、カスタム管理パネルを構築することだ。すぐに始められるフレームワークや商用サービスがいくつかあるようだ。 しかし、一から自分で構築するのと比較して、どのように選べばいいのでしょうか？

アプリに組み込まれた管理パネルを避ける

第一の原則としては、ActiveAdminのように、メインアプリのコードに管理パネルをインジェクションすることは避けたい。これには多くのデメリットがある：

• 新しい管理APIルートは、アプリのクライアントコードで検出される可能性が高く、攻撃者はこの脆弱性を調査したり攻撃したりすることができる。
• 1つのコードベース内に複数のタイプのユーザーが存在することになり、アクセス・コントロールのレビューが複雑になる。
• 単一のIPアドレスからのアクセスを制限するなどの保護機能を追加することは、かなり難しくなります。
• 管理画面のコードに重大な問題が検出された場合、アプリをオフラインにすることなくオフラインにするのは難しい。

この原則に従わないアプリは、スラッシュドットの記事で終わる確率が高くなる。https://yro.slashdot.org/story/23/01/09/221207/researchers-track-gps-location-of-all-of-californias-new-digital-license-plates。特筆すべきは、このストーリーは、ユーザーアカウントを他のユーザーのデータを閲覧できるスーパー管理者アカウントにアップグレードすることが可能であることを示している。

ユーザーアクションの監査ログがある管理パネルを選ぶ

念のため言っておくと、管理者は別々のユーザーアカウントで認証する必要があるということです。(support@app.io を使って共有パスワードでログインすることはできません！）。この利点は何でしょうか？センシティブなアカウント設定が更新された場合、誰が変更したかを後で知ることができます。

管理者ユーザーを認証するために、少なくとも2FA（または3FA）を強制する。

IP制限や他のゼロ・トラスト・ソリューション経由のアクセスなど、2FAの上に追加要素を追加できる管理パネル・ソリューションを選択する。

おまけ：コンテンツ・セキュリティ・ポリシー（CSP）ヘッダーを使用して、未知のjavascriptをブロックする

未知のjavascriptをブロックすることは、特に内部管理ポータルにおいて非常に重要である。以下は、アップルがメール・インジェクションの脆弱性を抱えていた例だが、これは単純なCSPヘッダーで解決できたはずだ。

このツイートを見て、アップルのバグ報奨金プログラムでハッキングしていたときのことを思い出した。iCloudアカウントのデバッグと管理の内部ページで、よりによってbase64エンコードされたハリー・ポッターの引用を見つけたのだ。90日以上経過しているので、これを共有するのは初めてです... https://t.co/CBc8QC5y3i pic.twitter.com/BNauDq7w01

- サム・カレー (@samwcyo)2023年12月24日

安全な管理パネル構築のまとめ

はい、アプリ用に安全な管理画面を構築することは可能です。フレームワークを利用するか、既存のSaaSやローコード・ソリューションを利用する必要があります。メインのアプリから分離し、プライベートAPIを介してメインのアプリと通信するようにすれば、問題ないでしょう。

Aikido オールインワンのアプリケーションセキュリティツールです。あなたのアプリが安全かどうかを確認したいですか？無料でスキャンを始めましょう。

ベンダーのセキュリティレビューを乗り切る

セキュリティにおいては、あらゆるものが常に進化しており、規格も例外ではない。ISO 27001:2022は、間もなくISO 27001:2013に取って代わる。2022年版では、2013年版からの重要な要求事項は削除されませんでした。しかし、主に2つのカテゴリーで、多くの変更があります：

• 新しいセキュリティ・コントロールの数々
• 2013年の古いチェックの多くを統合した。

このブログでは、セキュリティに重点を置いた新しいものだけに焦点を絞ろう。

ISO 27001:2022の改訂では、11の新しい管理が導入された

A.5.7 脅威インテリジェンス

この重要なISO 27001:2022の管理は、脅威に関する情報を収集し、それらを分析して適切な保護措置を講じることにあります。これは、特定の攻撃や、攻撃者が使用している卑劣な手法や技術についてスクープを得ることを意味する。さらに、最新の攻撃傾向を監視することも必要だ。このような情報は、組織内部だけでなく、政府機関からの発表やベンダーのレポートなど外部の情報源からも収集する必要がある。何が起きているかを常に把握することで、A.5.7に準拠することができる。

Aikido このために作られたかのようだ。Aikido 文字通り、このためにあるのです。

A.5.23 クラウドサービス利用のための情報セキュリティ

このISO 27001:2022の要件に準拠するためには、クラウド上の情報をより適切に保護するために、クラウドサービスに対するセキュリティ要件を設定する必要があります。これには、クラウドサービスの購入、使用、管理、使用終了が含まれます。

Aikido には、クラウド・セキュリティ・ポスチャ管理（CSPM）ツールが組み込まれています。

A.5.30 事業継続のためのICTレディネス

このコントロールには、情報通信技術を潜在的な混乱に備えておく必要がある。なぜか？必要なときに必要な情報や資産を利用できるようにするためです。これには、準備の計画、実施、メンテナンス、テストが含まれます。

このISO 27001:2022の要件に準拠できるよう、Aikido リージョンをまたいだバックアップ能力など、大規模なクラウドの混乱への備えをチェックします。この機能はAWSでもデフォルト設定ではありません。

A.7.4 物理的セキュリティ監視

このISO 27001:2022の管理は、他の管理とは少し異なり、物理的なワークスペースに焦点を当てています。許可された人だけがアクセスできるようにするため、機密性の高いエリアを監視する必要があります。オフィス、生産施設、倉庫、その他物理的に使用するあらゆるスペースが対象となります。

᥋ ヒント：地元の道場に行く時です！これには本物のAikido必要だ！(武道）😂。

A.8.9 コンフィギュレーション管理

この管理では、技術のセキュリティ設定の全サイクルを管理する必要がある。その目的は、適切なセキュリティレベルを確保し、不正な変更を回避することである。これには、構成の定義、実装、監視、レビューが含まれる。

🎯 ここで重要なことの1つは、各ブランチのgit（GitHub）で正しいセキュリティが設定されていることを確認することです。
Aikido 、あなたのクラウドにおける多くの設定問題を検証します。また、IACを使用してクラウドを定義していることを確認し、クラウド内の設定のドリフトを防ぎます。

A.8.10 情報の削除

この管理に従う必要がなくなったら、データを削除しなければなりません。なぜか？機密情報の漏洩を防ぎ、プライバシーやその他の要件に準拠できるようにするため。これには、ITシステム、リムーバブルメディア、クラウドサービスでの削除が含まれます。

⚠️ この種のコントロールはAikido カバーできない。

A.8.11 データマスキング

ISO 27001:2022では、機密情報の露出を制限するために、アクセス制御とともにデータマスキング（別名、データ難読化）を使用することを求めています。これは主に個人を特定できる情報（PII）を意味し、すでに強固なプライバシー規制があるからです。さらに、他のカテゴリーの機密データも含まれる可能性があります。

⚠️ このコントロールは、ロギングシステムなどに間違ったPIIを記録しないようにすることです。幸運なことに、ほとんどの最新のシステム（例えばSentry）には、この要求に対する何らかの組み込みフィルターがあります。しかし、Aikido この制御をチェックするようには作られていません。

A.8.12 データ漏洩防止

このコントロールのためには、機密情報の不正な漏洩を避けるために、様々なデータ漏洩対策を施す必要がある。また、そのようなインシデントが発生した場合は、タイムリーに検知する必要があります。これには、ITシステム、ネットワーク、あらゆるデバイス内の情報が含まれる。

Aikido ἿAikido 、お客様のクラウドに、不要なデータ漏洩を引き起こす可能性のあるセキュリティの誤設定がないことを確認します。

A.8.16 モニタリング活動

この統制では、異常な活動を認識し、必要に応じて適切なインシデント対応を発動するために、システムを監視することが要求されます。これには、ITシステム、ネットワーク、アプリケーションの監視が含まれます。

🎯 一度アプリをセットアップしたら、メールを受信トレイのアーカイブに溜めておくだけでは不十分です。Slackにアラートを送るようにするのがベストだ。そして、何だと思う？Aikido こうしている。

A.8.23 ウェブフィルタリング

ITシステムを保護するために、ウェブフィルタリングコントロールは、ユーザーがアクセスするウェブサイトを管理する必要があります。こうすることで、システムが悪意のあるコードによって侵害されるのを防ぐことができます。また、ユーザーがインターネット上の違法な素材を利用することも防げます。

実際には、AWS WAFやCloudflareのようなあらゆる種類のWAFを使用することを意味します。Aikidoこれらの存在を監視しています。

A.8.28 セキュアコーディング

ISO 27001:2022は、セキュアコーディングにも関係している。この管理では、セキュアコーディングの原則を確立し、ソフトウェア開発に適用することが求められます。なぜか？ソフトウェアのセキュリティ脆弱性を減らすためです。いつ？コーディング前、コーディング中、コーディング後の活動が含まれます。

これは、Aikido静的アプリケーション・セキュリティ・テスト（SAST）であり、クラス最高のオープンソース・ソフトウェア上に構築されています。さらに、Trivy上に構築された、私たちのソフトウェア構成分析（SCA）を使うことができます。

AikidoISO27001:2022への対応

まだISO 27001:2013の段階であれば、やるべきことがあるでしょう。しかしご心配なく。短期間でISO 27001:2022に対応することは可能です。

アプリケーションを素早くセキュアにしたい場合、Aikido コードとクラウド・コントロールに関する状況を完全に把握することができる。

自分の実力を知りたい？今すぐAikidoあなたのコンプライアンスをチェックしましょう！ほんの数分でできます。https://app.aikido.dev/reports/iso

ISO認証取得経験者とのチャットにご興味がおありですか？下記のフォームにご記入ください。

認証情報漏洩後のクラウド乗っ取りを防ぐ

継続的インテグレーションと継続的デリバリー／デプロイメント（CI/CD）ツールは、もはやどんなスタートアップにとっても贅沢品ではない。最も勢いのあるスタートアップは、大きな、野心的なアイデアを出荷するためには、小さな、漸進的でレビューしやすい変更を出荷することが最も効果的であることを学んだ。最も生産性の高いスタートアップは、1日に40回出荷している。なかには、1日に80回も出荷する企業もある。これは、CircleCI、GitHub Actions、GitLabのパイプラインのようなCI/CDツールを活用することで、安全に行うことができる。

CI/CDはハッカーを惹きつける

最近では、多くの新興企業や大企業がこうしたツールを利用している。クラウドにコードをデプロイさせるためには、特別なAPIシークレットをツールの中に保存しなければならない。そのため、CI/CDツールはハッカーにとって価値の高いターゲットとなる。実際、これらのツールは常にハッキングされてきた歴史がある。

これらのインシデントは、最近公表された情報漏えいのほんの一部である：

• コードシップ"重大なセキュリティ通知：GitHub breach" (2020)
• GitHub「オープンソースプロジェクトにおけるGitHubアクションの悪用」（2022年）
• GitLab：「Oktaの情報漏えいの可能性に対応するために取った措置」（2022年）
• Jenkins：「Jenkinsの重大なバグが発見された」（2020年）

お分かりのように、それはかなり定期的に起きていることだ。あなたはどのように守っていますか？

このような侵害からクラウドインフラを守るにはどうすればいいのか？

これらのCI/CDプラットフォームがハッキングされた場合、通常は侵害を公表する。それは、侵害に気づいてから1日以内に起こる傾向がある。しかし、情報漏洩が発覚するまでに数週間活動することもある。残念なことに、その時間はプラットフォームのすべての顧客へのアクセスをエスカレートさせるために使われる可能性がある。

Aikido CI/CDの守備範囲を特定するのに役立つ

幸いなことに、選択したプラットフォームがハッキングされても安全でいられるようにする方法がいくつかある。Aikido SecurityのAWSとの新しい統合は、あなたのクラウドが以下の対策のいずれかを積極的に講じていない場合に警告を発します。Aikidoの無料トライアルアカウントを使って、お使いのクラウドにこれらのスレッドに対する防御策がすでにあるかどうかを確認してください。

CI/CDを守るために取るべきステップ：

1. CI/CDプラットフォームにIAMロールを割り当てるときは、IPで制限されていることを確認する。ほとんどのCI/CDツールには、特定のIPアドレスからのトラフィックのみを送信するオプションがある。このオプションにより、盗まれたAPIトークンはCI/CDインフラストラクチャの外では使えなくなる。ハッカーは自分のサーバーでAPIトークンを使うことができないので、サーバーの動作が大幅に遅くなり、完全にブロックされる可能性もある。
2. CI/CDプラットフォーム用の認証情報を作成する際は、最小限のアクセスになるように時間をかけること。管理者権限を与えないこと。
3. クラウドを複数のアカウントに分割しましょう。こうすることで、情報漏えいの影響を最小限に抑えることができます。例えば、ステージング環境の認証情報が侵害されても、本番環境が侵害されることはありません。
4. シングルサインオン（SSO）または多要素認証（MFA）を使用する。当然のことです。

悲しいことに（しかし現実的に）、CI/CDはいつかハッキングされると考えるべきだ。だから、その時が来たら、すべてのデプロイトメントトークンを早急にローテーションするようにしてほしい。

競争の激しい今日のビジネス界において、新興企業は取引を成立させるために多くの課題に直面している。最も重要なことの一つは、潜在的なリードとの信頼関係を築くことだ。特にセキュリティーに関することだ。潜在的な顧客との信頼関係を確立することは、新興企業の成功にとって非常に重要である。

そこで、この問題を解決するための新機能を発表します：セキュリティ評価レポート

新興企業が包括的なセキュリティ評価レポートを共有すれば、セキュリティに関して本気であることを示すことができる。信頼関係を素早く築き、取引を成立させるスピードを速めることができる。

このブログポストでは、レポート機能がどのように機能するのかをご紹介します。また、スタートアップ企業が最初から信頼を伝える必要がある理由と、それがどのようにしてより多くのビジネスを獲得することにつながるかについても見ていきます。

セキュリティ評価報告書の内容

信頼とは、オープンで正直であることだ。Aikidoセキュリティ評価レポートでは、そのような情報が公開されている！顧客は、スタートアップのセキュリティ対策、OWASPトップ10スコア、脆弱性に関する情報を得ることができる。さらに、そのスタートアップがどの程度のスピードでリスクに対処しているかも知ることができる。このような情報を積極的に共有することで、スタートアップ企業は、すべての人のデータを安全かつ健全に保つことに真剣に取り組んでいることを証明することができる。

オーダーメイドの承認フロー

すべてをオープンにする必要はありません。そのため、当社のセキュリティ評価レポートでは、新興企業が共有したい情報を正確にカスタマイズできるようにしています。こうすることで、本当に必要な情報のみを共有することができます。これは、すべてを公開することなく、内緒の情報を提供するようなものです。スタートアップ企業は、機密情報を管理し続けることができる。その一方で、リードには前進するために必要な安心感を与えることができる。

公平な基準とベストプラクティス

当社のセキュリティ評価レポートは、一流の基準とベストプラクティスに従っています。その結果、新興企業の信頼性と専門性が高まります。

ISO 27001:2022

ISO/IEC 27001は、情報セキュリティマネジメントシステムの国際規格である。ISO/IEC 27001は、情報セキュリティマネジメントシステムの国際規格であり、組織や専門家が認証されるためのコンプライアンス要求事項のリストを提供している。また、組織が情報セキュリティマネジメントシステム（ISMS）を確立、実装、維持、改善するのに役立ちます。Aikido 、コードとクラウドセキュリティに関連するすべての項目を分析し、監視を自動化します。

SOC 2

SOC 2（別名Service Organization Control Type 2）は、米国公認会計士協会（AICPA）が開発したサイバーセキュリティ・コンプライアンスのフレームワークである。SOC 2の 主な目的は、第三者サービスプロバイダーが顧客データを安全な方法で保存・処理することを保証することです。ISO27001のように、Aikido コードとクラウドセキュリティに関連するすべての項目を分析し、お客様のために監視を自動化します。

OWASPトップ10

OWASP Top 10 は、より安全なコーディングへの第一歩として、開発者に世界的に認知されています。これは、ウェブアプリケーションが直面する最も重要なセキュリティリスクのリストです。OWASPトップ10のリストにあるセキュリティ問題を修正すれば、アプリケーションのセキュリティを劇的に改善したことを確信できます。さらに、Aikido は、どの OWASP トップ 10 のセキュリティ問題を解決する必要があるのかを、すぐに見ることができます。

アイキドセック・ベンチマーク

Aikido 、独自のAikidosecベンチマークを構築し、他のAikido ユーザーと比較してあなたの環境をスコアリングします。セキュリティ評価レポートでは、このベンチマークを顧客と自由に共有することができ、セキュリティパフォーマンスの高いスタートアップの上位X%にランクインしていることを示すことができます。

"Aikido安心" 信頼の証

エキサイティングなボーナス機能を追加しました。ユーザーがセキュリティへのコミットメントを示すことができるよう、あなたのウェブサイトに特別なバッジを作成しました。このバッジを使用すると、顧客が数回クリックするだけで簡単にセキュリティ評価レポートをリクエストできるようになります。このバッジは、外部からの公平な検証として機能し、貴社がセキュリティ対策を実施していることを顧客に保証します。

競争に先んじる

混雑した市場では、群衆から目立つことが不可欠です。セキュリティ評価レポートは、新興企業のセキュリティへの取り組みをアピールすることで、競争力を高めることができると考えています。新興企業が信頼できるパートナーとして選ばれるにはどうすればよいでしょうか？私たちのアドバイスは、データ保護に対する強固で積極的かつ透明性の高いアプローチを通じて、懸念事項に事前に対処することです。

案件の早期成約と収益の拡大

本題に入ろう。新興企業は早急に取引を成立させたい。さらに、収益を伸ばしたいと考えている。セキュリティ評価レポートは信頼と信用を築くのに役立ち、新興企業は販売サイクルを早めることができます。つまり、無駄な時間を減らし、リソースを削減し、より多くの契約を締結することができるのです。

Aikido独自のセキュリティ評価レポートを請求して、今すぐお試しください。

アプリに入り、独自のレポートを作成してください。