ブログへようこそ

ここ数週間で、多くの新機能をリリースし、様々なツールスタックのサポートを拡大しました。特に多くのコンテナ・レジストリーのスキャン・サポートを追加した！それ以外にも

• 新しいAWSルールをたくさん追加しました。
• AutofixがPythonにも対応
• PNPMをサポートするために、エクスプロイトの到達可能性分析を改善した。

コンテナ・レジストリのサポート拡大

多くのコンテナでは、Apache、Nginx、Python、Node.js、その他のランタイムなど、Web向けのソフトウェアが実行されています。ドッカーコンテナスキャンでそれらを安全に保ちましょう！Docker Hub、Azure Container Registry、GCP Artifact Registry、AWS Elastic Container Registryに続き、以下のレジストリもサポートするようになりました：

GitLabコンテナレジストリ（クラウド＆自己管理）

GitLabのクラウド＆セルフマネージド向けコンテナレジストリをサポートしました。セキュリティのGitLabテクノロジーアライアンスパートナーとして、これらの機能を見逃すことはできませんでした！

ドキュメントを読んでセットアップしてください：

• Gitlabコンテナレジストリのコンテナスキャン
• Gitlabセルフマネージドコンテナレジストリのコンテナスキャン

デジタルオーシャンのコンテナ・レジストリ

DigitalOceanは堅実なクラウド・ソリューションで、私たちはサポートを待ち望んでいました。コンテナについてもサポートできるようになったことをうれしく思います！

セットアップ方法のドキュメントを読む

Scalewayコンテナレジストリ

数少ない本物のヨーロッパのクラウドであるScalewayのContainer Registryのエクスプロイト・スキャンも行っていることを誇りに思っている！

セットアップ方法のドキュメントを読む

エクスプロイトの到達可能性分析が改善

PNPMロックファイルの到達可能性解析を開始しました。私たちの品質基準でこれを達成するために、多くの典型的なエッジケース（エイリアシング、特別なバージョン表記など）をカバーするようにしました。つまり、私たちの自動トリアージエンジンは、他のエンジンにはない多くの偽陽性を取り除くことができるのです。

PNPMを使用し、Aikido使用しているなら、あなたは幸運です！このレベルのノイズリダクション機能を持つ業界唯一の製品を使用しているのですから！🎉

AWSルールの拡大

AWSルールセットをアップグレードし、より関連性の高いルールを追加しました。本当に重要な問題について通知されるようにしたいと思います。新しいルールは以下の通りです：

• 未使用の IAM クレデンシャルのチェック
• 自動更新されないSSL証明書
• 古い画像を自動削除しないECRリポジトリ。

AWSクラウドをAikido接続し、新たな発見があるかどうかを確認してください。

自動修正範囲を拡大するパイソン

AikidoAutofix機能を使えば、ワンクリックで脆弱性を修正するプルリクエストを作成できます。Pythonもサポートしました！(現在のところ、これはrequirements.txtを使用している環境にのみ適用され、poetry.lockファイルにはまだ適用されません)。余計な設定は何もありません。Pythonのissueをブラウズして、Autofixボタンを見つけるだけです！

Autofixの詳細はドキュメントをご覧ください。

今すぐ試してみよう

Aikido アカウントにログインして、新機能をお試しください。または、私たちのチームにデモを要求することができます。

ぜひご意見をお聞かせください。何かアイデアが浮かんだら、遠慮せずにお知らせください！アプリ内チャットでいつでも受け付けています。

SaaS企業は、セキュリティに関して大きな目標を背中に背負っており、それがCTOを夜も眠らせない原因となっている。クラウド・セキュリティ・アライアンスは「SaaSセキュリティの現状：2024年調査報告書」を発表し、「58％の組織が過去2年間にインシデントを経験したと報告している」ことを明らかにした。

‍

セキュリティの重要性は、Aikido SaaSのCTO15人を対象に行ったコンサルテーションで、「93％のCTOが脅威防止の重要性を7（10点満点）以上にランク付けした」という結果からも裏付けられる。

SaaSのCTOが安心して眠れるように、包括的なSaaS CTOセキュリティ・チェックリストを作成しました。このチェックリストに従い、何度も見直すことで、貴社とアプリケーションのセキュリティが10倍向上すると確信しています。

SaaS企業の真のリスク

GitHub ActionsやCircleCIのようなCI/CDツールは、ハッカーの格好の標的だ。頻繁に発生する侵害は、クラウドへのアクセスを許可し、データの暴露につながる。2023年のCircleCIの侵害は顧客の秘密を漏洩し、2022年のGitHub Actionsの悪用はオープンソースプロジェクトを襲った。

ある新興企業のAWS環境全体が、そのサイトの基本的な問い合わせフォームを介して侵害された。どうやって？このフォームはSSRF攻撃を許可し、IAMキーへのアクセスを許可した。攻撃者はS3バケットと環境変数のコントロールを得た。

これらのセキュリティ侵害は実在する企業で起こり、実際に影響を及ぼした。しかし、セキュリティ慣行の改善にもっと時間と労力を費やしていれば、防ぐことができたかもしれない。

SaaS CTOセキュリティチェックリスト：40項目以上のチェックリスト

シンプルなチェックリストには、人材、プロセス、コード、インフラなど、セキュリティを強化するための40以上の方法が網羅されています。ビジネスの成長段階（ブートストラップ、スタートアップ、スケールアップ）ごとに整理されているため、現在の段階に関連するセキュリティのベストプラクティスを見つけることができます。このチェックリストは、SaaS 企業のセキュリティ・ベスト・プラクティスへの旅において、あなたの信頼できるガイドとなり、常にあなたの伴侶となるでしょう。

リストの各項目は、そもそもセキュリティについてあなたやあなたのチームに考えさせるように設計されており、その後、脆弱性に対処するために何ができるかについて、明確で簡潔な指示を与えます。また、各項目にはタグが付けられているため、あなたの会社の現在の段階に当てはまることを確認することができる。

また、このチェックリストはセクションに分かれているため、会社のさまざまな部分のニーズを考慮することができる。従業員は、コードやインフラとは異なる脅威に対して脆弱であるため、それらを個別に検討することは理にかなっている。

リストを見ていくうちに、まだ自分に当てはまらない項目があることに気づくのは間違いない。しかし、厄介なサプライズに遭遇しないよう、定期的にチェックリストを見直すことをお勧めする。何か悪いことが起こる前に、より安全になるために行動する限り、セキュリティは怖いものではありません。

チェックリストの一部をご紹介します。最終的なチェックリストには40以上の項目が含まれていますので、ぜひダウンロードして、今日からセキュリティの向上に取り組んでください。

バックアップ、そしてまたバックアップ

1つ目は、企業の成長段階すべてに当てはまるもので、絶対に欠かせないものです。とはいえ、すでに定期的にバックアップを取っているはずですよね？そうですよね？

外部の侵入テストチームを雇う

次の項目は、規模を拡大し始めた企業にとって極めて重要です。成長は順調で、拡大する過程でリスクとなる問題にはすべて対処しているが、インフラがすべてのレベルで安全であることを確信しているだろうか？そんな時こそ、ペネトレーション・テスト・チームを雇う時です！

OSとDockerコンテナをアップデートする

これは簡単なことだが、多くの開発者はここで手を抜く。アップデートは、他のタスクの方が緊急に思えるのに、スプリントの時間を食ってしまう。しかし、アップデートをさぼると、重要なシステムが脆弱性にさらされることになる。大きな頭痛の種を避けるためにも、パッチ適用とアップデートは真面目に行いましょう。

基本的なセキュリティ対策に全員が慣れる

最後の項目は、どの段階にも関係するものであり、私たちのチェックリストの一部である。人間は間違いを犯す。それは避けられない。しかし、全員がセキュリティについて考えるようになれば、こうしたミスを軽減することができる。

SaaSのCTOセキュリティチェックリストを無料でダウンロードする

これは、チェックリストで取り上げている重要なヒントのほんの一握りです。さらに、コードレビュー、オンボーディングとオフボーディング、DDoS攻撃、データベース復旧計画など、多くのガイダンスを提供する。

今すぐAikido2025 SaaS CTOセキュリティチェックリストをダウンロードして、アプリの堅牢化とチームのセキュリティに対する真剣な取り組みを始めましょう。あなたの会社がどの段階にあろうと、遅すぎることも早すぎることもありません。

SaaSセキュリティチェックリストをダウンロードする：

SaaS企業は、セキュリティに関して大きな目標を背中に背負っており、CTOが夜も眠れないほど悩まされている。クラウド・セキュリティ・アライアンス（Cloud Security Alliance）は今年初め、「SaaSセキュリティの現状：2023年調査報告書」を発表し、「組織の55％が過去2年間にインシデントを経験したと報告している」ことを明らかにした。

セキュリティの重要性は、Aikido最近SaaSのCTO15人を対象に行ったコンサルテーションで、"93％のCTOが脅威防止の重要性を7（10点満点）以上にランク付けした "という結果からも裏付けられる。

SaaSのCTOが安心して眠れるように、包括的なSaaS CTOセキュリティ・チェックリストを作成しました。このチェックリストに従い、何度も見直すことで、貴社とアプリケーションのセキュリティが10倍向上すると確信しています。

SaaS企業の真のリスク

GitHub ActionsやCircleCIのようなCI/CDツールは、ハッカーの格好の標的だ。頻繁に発生する侵害は、クラウドへのアクセスを許可し、データの暴露につながる。2023年のCircleCIの侵害は顧客の秘密を漏洩し、2022年のGitHub Actionsの悪用はオープンソースプロジェクトを襲った。

ある新興企業のAWS環境全体が、そのサイトの基本的な問い合わせフォームを介して侵害された。どうやって？このフォームはSSRF攻撃を許可し、IAMキーへのアクセスを許可した。攻撃者はS3バケットと環境変数のコントロールを得た。

これらのセキュリティ侵害は実在する企業で起こり、実際に影響を及ぼした。しかし、セキュリティ慣行の改善にもっと時間と労力を費やしていれば、防ぐことができたかもしれない。

SaaS CTOセキュリティチェックリスト：40項目以上のチェックリスト

シンプルなチェックリストには、人材、プロセス、コード、インフラなど、セキュリティを強化するための40以上の方法が網羅されています。ビジネスの成長段階（ブートストラップ、スタートアップ、スケールアップ）ごとに整理されているため、現在の段階に関連するセキュリティのベストプラクティスを見つけることができます。このチェックリストは、SaaS 企業のセキュリティ・ベスト・プラクティスへの旅において、あなたの信頼できるガイドとなり、常にあなたの伴侶となるでしょう。

リストの各項目は、そもそもセキュリティについてあなたやあなたのチームに考えさせるように設計されており、その後、脆弱性に対処するために何ができるかについて、明確で簡潔な指示を与えます。また、各項目にはタグが付けられているため、あなたの会社の現在の段階に当てはまることを確認することができる。

また、このチェックリストはセクションに分かれているため、会社のさまざまな部分のニーズを考慮することができる。従業員は、コードやインフラとは異なる脅威に対して脆弱であるため、それらを個別に検討することは理にかなっている。

リストを見ていくうちに、まだ自分に当てはまらない項目があることに気づくのは間違いない。しかし、厄介なサプライズに遭遇しないよう、定期的にチェックリストを見直すことをお勧めする。何か悪いことが起こる前に、より安全になるために行動する限り、セキュリティは怖いものではありません。

チェックリストの一部をご紹介します。最終的なチェックリストには40以上の項目が含まれていますので、ぜひダウンロードして、今日からセキュリティの向上に取り組んでください。

バックアップ、そしてまたバックアップ

1つ目は、企業の成長段階すべてに当てはまるもので、絶対に欠かせないものです。とはいえ、すでに定期的にバックアップを取っているはずですよね？そうですよね？

外部の侵入テストチームを雇う

次の項目は、規模を拡大し始めた企業にとって極めて重要です。成長は順調で、拡大する過程でリスクとなる問題にはすべて対処しているが、インフラがすべてのレベルで安全であることを確信しているだろうか？そんな時こそ、ペネトレーション・テスト・チームを雇う時です！

OSとDockerコンテナをアップデートする

これは簡単なことだが、多くの開発者はここで手を抜く。アップデートは、他のタスクの方が緊急に思えるのに、スプリントの時間を食ってしまう。しかし、アップデートをさぼると、重要なシステムが脆弱性にさらされることになる。大きな頭痛の種を避けるためにも、パッチ適用とアップデートは真面目に行いましょう。

基本的なセキュリティ対策に全員が慣れる

最後の項目は、どの段階にも関係するものであり、私たちのチェックリストの一部である。人間は間違いを犯す。それは避けられない。しかし、全員がセキュリティについて考えるようになれば、こうしたミスを軽減することができる。

SaaSのCTOセキュリティチェックリストを無料でダウンロードする

これは、チェックリストで取り上げている重要なヒントのほんの一握りです。さらに、コードレビュー、オンボーディングとオフボーディング、DDoS攻撃、データベース復旧計画など、多くのガイダンスを提供する。

今すぐAikido2024 SaaS CTOセキュリティチェックリストをダウンロードして、アプリの堅牢化とチームのセキュリティに対する真剣な取り組みを始めましょう。あなたの会社がどの段階にいても、遅すぎることも早すぎることもありません。

SaaSセキュリティ・チェックリストのダウンロード

SaaSのCTO15人に、クラウドとコード・セキュリティの課題と懸念について相談した。なぜ？

• SaaSのCTOは皆、製品のセキュリティ確保という課題に直面している。私たちは、そのような傾向を見つけ、彼らのニーズや悩みを発見したいと考えました。
• 顧客調査は、どんな新興企業にとっても成功のために不可欠であり、Aikido 同じである！実際、私たちはお客様の声を聞くのが大好きです。
• 私たちは当初から、お客様にとって最も重要なことに基づいてセキュリティ・ツールを設計し、進化させることに注力してきました。

Aikido、オープンな知識の共有を信条としている。

クラウド・セキュリティ・コンサルテーションについて

当社がコンサルティングを行ったCTOは、従業員数51～500人のクラウドネイティブなソフトウェア新興企業のCTOである。私たちは、クラウドとコードセキュリティのトピックに焦点を当てました：

• 脅威を防ぐ優先順位
• 脅威を防ぐブロッカー
• 現在のソリューションに対する満足度
• 他のソリューションとその欠点
• 彼らが直面する課題
• 彼らの要求と望ましい結果
• 彼らが重視する機能
• 彼らが将来成し遂げたいこと

クラウドやコードのセキュリティ脅威を防ぐことは、あなたにとってどの程度重要ですか？

まず、CTOがセキュリティ脅威の防止にどの程度の優先順位を置いているかから見てみよう。その結果、CTO は脅威の防止に高い優先度を与えていることが分かった。平均評価は8.27（10点満点）です。CTOの93%は、脅威防御の重要度を7以上としている。8」が最も多く、「10」が2番目に多い。

クラウドやコード・セキュリティの脅威を効果的に防ぐには、何が邪魔になるのだろうか？

CTOがクラウドやコード・セキュリティの脅威を防ぎたいと思うのと同様に、いくつかの障害も成功を阻む要因となっている。阻害要因の上位3つは、競合する優先事項、予算、複雑さであった。

競合する優先事項

トップは「競合する優先課題」（40％）。セキュリティの課題に関して、これは何を意味するのだろうか。CTOはセキュリティの優先順位を高く見ているが、企業内にはそれと同等、あるいはそれ以上に重要な懸念事項が存在する可能性がある。例えば、新機能を提供する競争と、新機能にまつわるセキュリティ問題との間で、サイバーセキュリティのバランスを取ることが重要である。

セキュリティは多くの場合、長期的には良い投資だが、日常的には影響が少ないため、仕事の優先順位を下げてしまいがちだ』。

予算の制約

2番目の阻害要因は、予算の制約（33％）であった。主な課題は、セキュリティ対策がビジネスにもたらすROIを証明することにある。あるCTOに言わせれば、「クラウドセキュリティに投資するビジネスケースを作ること」である。これは、前述の日常的な優先順位の低下とも関連している。

複雑さ

複雑さ」がブロンズ（27％）を占めた。ここでの問題は、潜在的な脅威が非常に多いということだ。優先順位をつけるのは負担が大きく、難しい。その結果、最大の脅威を見失いがちになる。

コードやクラウドのセキュリティ脅威を防ぐための現在のソリューションにどの程度満足していますか？

平均評価は6.4で、CTOの3分の1が現在のソリューションへの満足度を5以下としている。8点または9点の高満足度はわずか20％で、10点満点は0％だった。ここで重要なのは、CTOが脅威対策に与える優先度の高さと比較することである。重要度と満足度の間には、顕著かつ憂慮すべきギャップがあることがわかる。

他にどのようなセキュリティ・ソリューションを使い、どのような欠点がありますか？

現在のセキュリティ・ソリューションには、市場で入手可能なものが幅広く含まれている。CTOは11の製品を挙げており、SonarQubeが最も広く使用されている（33％）。それ以外では、調査時点で同じ製品を使用しているCTOは13％に満たなかった。

価格設定と価格モデル

CTOの40％が、最大の欠点は高額な価格設定と価格モデルにあると回答している。あるCTOは、天文学的に高い価格設定について報告している。別の1人は、行数による価格設定の長期的な実行可能性に疑問を呈している。『コード行数に従う価格設定モデルは、将来への懸念材料だ』。

偽陽性

33％が誤検知（脆弱性や悪意のある活動を誤って特定するアラート）にフラグを立てた。誤検知によるアラート疲れとリソースの浪費です。

現行ソリューションのさらなる欠陥

その他の欠点としては、リスク評価に関する課題、複雑なセットアップとメンテナンス、技術スタックの適合性、限定的な保護などがある。

あるCTOは、複数のセキュリティ・ソリューションを採用する必要性についての不満を指摘する：

つまり、CTOとして私が期待するのは、コードベースの自動セキュリティ・スキャンに現在使用しているSaaSが、クラウド・プロバイダーの1社とのコンプライアンスを保証するソリューションと同じであるはずがないということだ」。

セキュリティ・ソフトウェアの現在の欠陥についてCTOが何を考えているのか？

主な要点は以下の通りである。CTOは、クラウドとコード・セキュリティ・ソフトウェアのワンストップショップを求めている：

• 適正価格
• 偽陽性の少なさ
• 簡単なセットアップと
• 手間のかからないメンテナンス。

コードとクラウドの安全確保における最大の課題は何か？

SaaSのCTOが現在直面している最重要課題は、社内の対立、扱うべき情報が多すぎること、進化する脅威、完全なカバレッジを持つことの複雑さである。

内部の反対

40%が、主な課題は社内にあると回答している。つまり、認識不足や他の優先事項のためにリソースが限られているのだ。これは、先に述べた脅威防止を阻む要因の上位2つ（優先順位と予算）を裏付けている。

最大の課題は、組織の考え方を変え、セキュリティは機能であり、継続的に投資しなければならないことを理解してもらうことだ』。

チェンジ・マネジメントの難しさはよく知られている。また、態度や戦略に意味のある変化をもたらすための意識改革は、さらに困難な挑戦となる。

ノイズが多すぎる

情報過多は現実のものである。CTOの27%は、ノイズを選別することが次に大きな課題であると報告している。どの脅威を優先的に調査し、どのように対処すべきかを理解するのは容易ではない。また、偽陽性が混在している場合、行き詰まりや非効率、誤った労力が発生する可能性もある。

ログには無限のデータがあるようだが、それらが何を意味し、誰がどのように対処すべきかを管理する方法はない』。

脅威の進化、対象範囲、複雑さ

脅威の進化、カバレッジ、複雑性は、より低いレベルの課題としてランク付けされた。しかし、それでもなお、この調査で先に特定された障害や欠陥のいくつかが確認されている。

セキュリティの脅威は停滞しているわけではなく、進化し、セキュリティ・ソリューションの一歩先を行く傾向があります。これは、あなたの脆弱性も進化していることを意味し、時にはモグラたたきゲームのように感じるかもしれません。

攻撃者の手口はより巧妙になっており、新たな脆弱性が定期的に発見されている」。

CTOはさらに、現在のソリューションで確認された欠陥のいくつかを確認する上での課題を指摘した。彼らは、不完全なカバレッジを受けており、それが誤った安心感を生み出していると報告している。セキュリティ・ビジネスでは、これでは十分とは言えない！

彼らは安全感を提供しようとしているが、実際には大半の脅威から我々を守っていないのではないかと懸念している」。

カバー範囲が不完全であることは、さまざまな解決策のパッチワークの必要性、あるいは必要性の認識につながっている：

可動部分が多すぎる。実際の初期開発システムやソフトウェア、CICDプロセスからアプリケーションインフラやデータリポジトリに至るまで、......全体的なセキュリティポスチャソリューションアプローチに適合していない」。

CTOが望むビジネス成果とは？CTOにとって、クラウドとコードセキュリティの何が最も重要か？

この2つの質問で、彼らの戦略的目標と、それを達成するために何が最も重要かを探った。

望ましい成果

CTOは戦略的成果の上位3つをこのようにランク付けした：

1. ブランドの評判と顧客の信頼を守る（47）
2. 機密データが保護されており、データ漏洩がない（33）
3. コンプライアンス（20）

何が最も重要か？

そして、これらの望ましい成果を実現するために、CTOにとって最も重要なのは以下のものだった（この質問では複数選択可）：

1. 低メンテナンス (53%)
2. 信頼性／偽陽性がない(40%)
3. 明確で効果的な報告 (33%)

私たちが気づいたことに気づきましたか？これらは、現在のセキュリティ・ソリューションの欠陥についての質問から学んだことと同じようなものです。

しかし、価格についてはどうだろう？

しかし、明確で効果的なレポーティングは、欠陥の学習と比較すると、上記のリストでは妥当な価格設定に取って代わられている。つまり、価格や予算に関するコメントや選択肢は、この質問では7％しか優先されていないのである。これは何を意味するのだろうか？

価格設定の不可解さを紐解いてみよう。これは、セキュリティ・ソフトウェアが期待どおりの成果を上げられない場合、価格が課題となり、障害となることを意味する。しかし、セキュリティ・ソリューションが正確で、メンテナンスが簡単で、わかりやすいレポートによって複雑さを解消し、ブランドの評判を守り、顧客の信頼を築き、コンプライアンス基準を満たしながらデータを安全に保つという高い目標の達成に役立つものであれば、価格設定が障壁になることはなく、正当化することも容易になります。

クラウドおよびコード・セキュリティ・ソフトウェアを選択する際に最も重要な機能

また、SaaSのCTOに対して、どのような技術的特徴が最も重要かを尋ねた。彼らは5つのステートメントを以下のようにランク付けした（4点満点）：

1. クラウドの誤設定検出- 3.67 (33% がこれを1位とした)
2. オープンソースの脆弱性スキャン- 3.53 (33% が1位)
3. 秘密の検出（APIキー、パスワード、証明書など）-3.53（53％以上がこれを2位とした）
4. CI/CDプラットフォームによる静的コード解析- 2.93
5. オープンソース・ライセンス・スキャンニング - 1.33 (80% が最後にランクイン)

これらのセキュリティ機能のうち、あなたにとって最も重要なものはどれですか？また、セキュリティ・ソリューションに搭載してほしい機能はありますか？

クラウドとコードセキュリティの課題を解決する製品をお探しですか？

とりわけ、今後成し遂げたいことを尋ねたところ、CTOは次のような声明を最も高く評価した：

クラウドやコードのセキュリティの脅威から完全に安全を感じたい』。

これは私たちの耳に心地よい。私たちのCTOであるウィレムは、以前勤めていた会社でまさにこの問題に苦しんでいた。その苦悩から、彼は正しい解決策を生み出す使命を負ったのです。それこそが、私たちがAikido作り上げようとしているものなのです。

当社のソリューションは、オープンソースのソフトウェア・セキュリティ・ツールのベスト・オブ・ブリードを結集しています。これにより、関連するすべての分野をカバーすることができます。また、Aikido 、どの問題や脆弱性が本当に重要で、実際に解決すべきかを示します。誤検知はありません！

Aikido CTOのクラウドとコードセキュリティの課題をどのように解決できるのか、ご自身の目でお確かめください。Aikido 無料テストドライブをお試しいただくか、弊社までお問い合わせください。

急速に変化するデジタル環境の中で、アプリケーションのセキュリティは必要不可欠です。アプリケーションのセキュリティを強化する最も効果的な方法の1つは、OWASPトップ10で評価することです。しかし、OWASPトップ10とは一体何なのでしょうか？

OWASPトップ10：ウェブセキュリティのためのフレームワーク

オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト（OWASP）は、ウェブ上のソフトウェアをよりセキュアにするために努力している非営利財団である。OWASP の Top10 は、最も重大な 10 のウェブ・アプリケーション・セキュリティ・リスクの概要を示す、広く知られたレポートです。基本的には、あなたのアプリケーションをサイバー脅威の標的にする可能性のある、最も一般的な弱点のチェックリストです。

なぜOWASPトップ10を気にする必要があるのか？

OWASP Top 10 は、リスク管理のすべてです。OWASP Top 10 で強調された脆弱性に対処することは、セキュリティ侵害のリスクを軽減し、より安全なコードを開発し、 より安全なアプリケーションを作成するのに役立ちます。

OWASPのトップ10に従うことは、規制基準を遵守し、セキュリティのベストプラクティスへのコミットメントをユーザーに信頼させるための賢い行動でもあります。アプリケーションが機密データを扱う場合、ユーザーはその安全性を知りたがる。

OWASPのチェックリストは約3〜4年ごとに更新され、最後の更新は2021年だった。脆弱性や脅威の深刻度が上がったり下がったりするため、その都度、いくつかの統合、名前の変更、並べ替えが行われる。現在の危険性を認識することで、どこから手をつけるべきか、早急な対応が必要な重大リスクは何かを知ることができる。

最新のチェックリストを見てみよう。

OWASP ウェブアプリケーション・セキュリティ・リスク トップ10

1.壊れたアクセス制御

認証されたユーザーが何をすることが許されるかについての制限は、しばしば強制されない。ハッカーはこれらの欠陥を悪用し、未承認の機能やデータにアクセスすることができる。他のユーザーアカウントへのアクセス、機密ファイルの閲覧、データの修正・破壊、アクセス権の変更などが可能になるかもしれない。さらには、システム全体の管理者権限を持つことになる可能性さえある。OWASPのトップ10は、ここで一つの重要なルールを強調している。

2.暗号の失敗

多くのウェブアプリケーションは、クレジットカード、認証情報、健康記録、その他の個人データなどの機密データを適切に保護していません。攻撃者は、保護が弱いデータを盗んだり変更したりして、クレジットカード詐欺やなりすまし、その他の犯罪を行う可能性があります。企業にとっては、知的財産やその他の企業秘密を守る必要があります。転送中および静止中のデータの保護ニーズを評価するようにしてください。また、すべてのプロトコルやアルゴリズムに弱点がないか定期的に評価すること。

3.インジェクション

インジェクションの欠陥は、アプリケーションが信頼されていないデータをコマンドやクエリの一部として送信する際に発生します。攻撃者は、インタプリタを騙して、意図しないコマンドを実行させたり、不正なデータにアクセスさせたりすることができ、 データの損失、破損、不正アクセスにつながります。ソースコードレビューは、本番環境へデプロイする前に、アプリケーションセキュリティテストツールを厳密に使用するのと同様に、ここでも役に立ちます。

4.安全でない設計

OWASPは、セキュリティはコーディングが行われる前に始める必要があることを強く推奨します。設計やアーキテクチャの欠陥は、たとえそれが安全に実装されていたとしても、アプリケーションを破滅させる可能性があります。このコーディング前の段階には、より多くの脅威モデリング、安全な設計パターンと原則、参照アーキテ クチャを含める必要があります。また、ビジネスリスクプロファイリングに冷徹に取り組むとともに、ビジネス要件と技術要 件のバランスを取る必要がある。

5.セキュリティの誤設定

誤設定リスクとは、セキュリティ設定、ソフトウェア更新、サーバ設定ファイル、アプリケーションの機能やページにおける エラーなど、アプリケーションデータを安全に保つためのコントロールが不適切に実施されることを指します。最小限のプラットフォームという形で厳重に管理することで、このようなリスクを軽減することができます。不必要な機能、フレームワーク、コンポーネントを含めないこと。OWASPのトップ10によると、一番重要なのは、デフォルトのアカウントとパスワードを無効にすること、エラー処理で多くの情報が漏れないようにすること、そしてすべてのパッチを適用し、アップデートしておくことです。

6.脆弱で老朽化したコンポーネント

ライブラリ、フレームワーク、その他のソフトウェアモジュールなどのコンポーネントは、アプリケーションと同じ権限で実行されます。脆弱なコンポーネントが悪用された場合、攻撃は深刻なデータ損失や、サーバの完全な乗っ取りを意味することさえあります。クライアント側とサーバー側の両方で使用しているバージョンを把握し、脆弱性がないか定期的にスキャンし、セキュリティ勧告を把握しておく必要がある。OWASPによれば、最も重要なことは、毎月や四半期ごとにパッチを当てるだけではいけないということです。

7.識別と認証の失敗

アプリケーションの認証とセッション管理機能が正しく実装されていない場合、攻撃者はパスワード、鍵、セッショントークンを漏洩 させたり、他の実装の欠陥を悪用して他のアイデンティティになりすますことができます。OWASP Top 10 は、脆弱なパスワード、セッション識別子の再利用、脆弱な回復プロセス、自動化された攻撃の許可に警 告しています。可能であれば、多要素認証は、さまざまな簡単で常識的な認証手段とともに、ここで取るべき方法である。

8.ソフトウェアとデータの整合性の失敗

アプリケーションがプラグインやライブラリのような信頼できないソースに依存している場合、ソフトウェアやデータの整合性に障害が発生する可能性がある。また、安全でないCI/CDパイプラインは、不正アクセスやシステム侵害につながる可能性がある。もう1つのリスクは、完全性を検証するのに十分でない自動更新機能や、安全でないデータ構造の整理方法から生じる。これらのリスクを防ぐために、チームはデジタル署名を使用すべきである。これらはソフトウェアやデータの安全性を確認することができる。ライブラリや依存関係には、信頼できるリポジトリのみを使用するようにしてください。また、既知の脆弱性をチェックするために、ソフトウェアのサプライチェーンセキュリティツールを導入すべきである。OWASPは、コードと設定の変更に対するレビュープロセスを維持し、CI/CDパイプラインに適切なアクセス制御を設定することを提案している。最後に、完全性をチェックしたり、デジタル署名を加えたりしない限り、署名されていない、あるいは暗号化されていないシリアライズデータをクライアントに送らないこと。

9.セキュリティログと監視の失敗

不十分なロギングと監視は、インシデントレスポンスとの統合が欠けていたり、非効果的であったりすることと相まって、攻撃者がシステムを攻撃し、永続性を維持し、より多くのシステムにピボットし、データを改ざん、抽出、破壊することを可能にしている。OWASPのトップ10では、ログインやログイン失敗のようなすべてのイベントをログに記録すること、警告やエラーは明確なログメッセージを生成すること、ログは決してローカルにのみ保存しないことを提案しています。ロギングやアラート・イベントをユーザーから見えるようにすることも、リスクの原因となる。

10.サーバーサイドリクエストフォージェリ

サーバーサイドリクエストフォージェリ（SSRF）の問題は、ウェブアプリがユーザーから与えられたURLを確認せずにリモートソースからデータを取得する際に発生する。これにより、攻撃者はアプリを騙して、ネットワーク・セキュリティ対策を突破してでも、不要な場所にリクエストを行うように仕向けることができる。OWASPは、最近のウェブアプリはURLをフェッチする必要があることが多いため、このような問題はより一般的になってきていると考えている。クラウドサービスや複雑なシステムの利用により、リスクはより深刻になっている。ここでも、ネットワークアクセスレベルでのデフォルト拒否アプローチが有効だ。また、アプリケーションレイヤーにも様々な対策がある。

実際の使用例をブログに書きましたので、ご自由にご覧ください。

なぜOWASP Top 10を使うのか？

OWASP Top 10は、単なる問題のリストではなく、解決策へのガイドです。チェックリストの各項目には、脆弱性をどのように防ぐかについてのセクションと、攻撃シナリオの例が含まれており、開発者 にアプリケーションのセキュリティを改善するための実践的なステップを提供しています。アプリケーションのセキュリティ確保は継続的なプロセスであり、常に新しい脅威が出現します。警戒を怠らず、セキュリティを優先することで、アプリケーションを安全に保ち、ユーザーを安全に保つことができます。

企業にとって、OWASP Top 10 は単なるチェックリストではない。これは、セキュリティを開発プロセスの最前線に持ってくるツールであり、組織内のセキュリティ意識の文化を育成するものです。OWASP Top 10 を重視することで、アプリケーションのセキュリティを強化するだけでなく、セキュリティを開発プロセスの中核に据えることができます。

クラウドネイティブ企業であれば、Aikido 利用することで、OWASP Top 10の適用範囲について開発環境を簡単にスキャンすることができます。Aikidoのテストツールとセキュリティレポートは、OWASP Top 10のスコアと、各脆弱性を防ぐために取られた対策の分析を明確に提供します。関係者とレポートを共有し、どのようなセキュリティ対策に重点を置く必要があるかを素早く把握するために使用することができます。

今すぐ Aikidoあなたの環境をスキャンし、OWASPトップ10スコアを取得しましょう。

SaaSの管理画面を構築する際、よくあるミスを避けるにはどうすればいいのでしょうか？SaaSの管理画面を構築する際に陥りがちな落とし穴と解決策をご紹介します！

数人以上の顧客を持つSaaSアプリを開発していると、何が起こるでしょうか？ある時点で、避けられないことが起こります！営業やカスタマーサクセスの担当者が、開発チームに次のような要求をしてくるのです：

• アクティブに使用されているアカウントを表示する
• テクニカルサポート用の顧客アカウントを入力できるようにする
• あるアカウントの特定の機能フラグを有効または無効にする
• ログインできないユーザーがいますが、どのような方法で認証しているのか教えてください。
• リセラーがいるのですが、サブアカウントにアクセスする必要があります。
• アカウントの無料トライアルを延長したいのですが。
• アカウントは、カスタマーサクセスエージェントのみが設定できる特定の設定が必要です。
• 特定の顧客グループの総MRRを教えてください。

様々なツールがこれらのユースケースのいくつかをカバーすることができる。Segmentや journy.ioのようなPLGツールは、アクティビティを追跡することができる。LaunchDarklyのようなフィーチャー・フラグ・サービスを使うこともできるだろう。StripeやChargebeeは、課金関連の一部を管理するかもしれない。一方、認証に関する問題は、Auth0アカウントで確認できるかもしれない。しかし、これらすべてのプラットフォームを使っている可能性は低い。使っていたとしても、おそらくいくつかのユースケースをカバーできないだろう。

解決策は、カスタム管理パネルを構築することだ。すぐに始められるフレームワークや商用サービスがいくつかあるようだ。 しかし、一から自分で構築するのと比較して、どのように選べばいいのでしょうか？

アプリに組み込まれた管理パネルを避ける

第一の原則としては、ActiveAdminのように、メインアプリのコードに管理パネルをインジェクションすることは避けたい。これには多くのデメリットがある：

• 新しい管理APIルートは、アプリのクライアントコードで検出される可能性が高く、攻撃者はこの脆弱性を調査したり攻撃したりすることができる。
• 1つのコードベース内に複数のタイプのユーザーが存在することになり、アクセス・コントロールのレビューが複雑になる。
• 単一のIPアドレスからのアクセスを制限するなどの保護機能を追加することは、かなり難しくなります。
• 管理画面のコードに重大な問題が検出された場合、アプリをオフラインにすることなくオフラインにするのは難しい。

この原則に従わないアプリは、スラッシュドットの記事で終わる確率が高くなる。https://yro.slashdot.org/story/23/01/09/221207/researchers-track-gps-location-of-all-of-californias-new-digital-license-plates。特筆すべきは、このストーリーは、ユーザーアカウントを他のユーザーのデータを閲覧できるスーパー管理者アカウントにアップグレードすることが可能であることを示している。

ユーザーアクションの監査ログがある管理パネルを選ぶ

念のため言っておくと、管理者は別々のユーザーアカウントで認証する必要があるということです。(support@app.io を使って共有パスワードでログインすることはできません！）。この利点は何でしょうか？センシティブなアカウント設定が更新された場合、誰が変更したかを後で知ることができます。

管理者ユーザーを認証するために、少なくとも2FA（または3FA）を強制する。

IP制限や他のゼロ・トラスト・ソリューション経由のアクセスなど、2FAの上に追加要素を追加できる管理パネル・ソリューションを選択する。

おまけ：コンテンツ・セキュリティ・ポリシー（CSP）ヘッダーを使用して、未知のjavascriptをブロックする

未知のjavascriptをブロックすることは、特に内部管理ポータルにおいて非常に重要である。以下は、アップルがメール・インジェクションの脆弱性を抱えていた例だが、これは単純なCSPヘッダーで解決できたはずだ。

このツイートを見て、アップルのバグ報奨金プログラムでハッキングしていたときのことを思い出した。iCloudアカウントのデバッグと管理の内部ページで、よりによってbase64エンコードされたハリー・ポッターの引用を見つけたのだ。90日以上経過しているので、これを共有するのは初めてです... https://t.co/CBc8QC5y3i pic.twitter.com/BNauDq7w01

- サム・カレー (@samwcyo)2023年12月24日

安全な管理パネル構築のまとめ

はい、アプリ用に安全な管理画面を構築することは可能です。フレームワークを利用するか、既存のSaaSやローコード・ソリューションを利用する必要があります。メインのアプリから分離し、プライベートAPIを介してメインのアプリと通信するようにすれば、問題ないでしょう。

Aikido オールインワンのアプリケーションセキュリティツールです。あなたのアプリが安全かどうかを確認したいですか？無料でスキャンを始めましょう。