アプリケーションセキュリティにおける7つの最重要課題

2021年7月16日

アプリケーションを利用する機会が増え、セキュリティの重要性が増しています。ある調査によると、企業の72%が過去12か月の間にアプリケーションの脆弱性が原因である情報漏洩を1回以上経験しており、その多くが2-3回経験しています。

最新のアプリケーションは、Web、携帯電話、デスクトップなど複数のプラットフォームに分散しているため、セキュリティ攻撃が発生する攻撃対象が広がっていることが問題の一因と考えられます。多くの企業はアプリケーション開発において俊敏性を重視したアプローチを採るため、必要な保護がされていない新しいアプリケーションがすぐにリリースされ、セキュリティの確保が大きな課題になっています。

アプリケーションセキュリティの課題

対策が必要とされるアプリケーションセキュリティの最重要課題とはどのようなものでしょうか。セキュリティ環境が目まぐるしく変化する中で、7つのリスクを検討する必要があります。

  • コード挿入:最も一般的なアプリケーションセキュリティリスクの一つとして、コード挿入が挙げられます。攻撃者はウェブアプリケーションに悪意のあるコードを挿入することで、機密情報の窃取、ウイルスの伝播、アプリケーション乗っ取りなど、悪意のある活動を行います。SQL挿入はこの手法の一つで、攻撃者はSQLステートメントをアプリケーションに挿入し、データベースの情報を読み取ったり変更したりします。レガシーアプリケーションは特に脆弱であるため、古いアプリケーションにはパッチを適用するか、アップグレードすることがこれらの攻撃から企業を守るひとつの方法です。
  • DDoS攻撃:DDoS攻撃は、ウェブサイト、アプリケーション、ネットワークに処理能力を超えるトラフィックを送信し、操作不能に追い込む目的で実行されています。これらの攻撃は、アプリケーションに通信リクエストを大量に送りつけてクラッシュまたはオーバーロードさせ、ユーザーはアクセス不能になります。DDoS攻撃はランサムウェアなどの他の攻撃と共に仕掛けられることもあります。これらの攻撃は年々高度化しており、最も脆弱なシステムを徹底攻撃するために最新の人工知能や機械学習の手法を取り入れています。DDoS攻撃から守るための防御手法には、Webアプリケーションファイアウォールの実装、疑わしいアクティビティの監視などがあります。
  • 悪意のあるボット:現在、インターネットトラフィックの半分以上が、悪質なものを含めたボットネットによって作られています。悪意のないボットはユーザーの質問に対する回答、スポーツのリアルタイムでのスコア提供などの機能の自動化に役立っている一方で、悪意のあるボットは増加傾向にあり、インターネットトラフィックの約4分の1を占めています。悪質なボットは、パスワードの収集、機密情報の取得、DDoS攻撃の開始、スパムの拡散、自己増殖によるマルウェアの大量感染などを行います。DDoS攻撃と同様、ボットに対しては、Webアプリケーションファイアウォール、厳格なユーザーアクセス制御、CAPTCHAなどのユーザーチャレンジによって人間とボットのトラフィックを区別するなど、様々な防御策を講じることが可能です。 
  • 不十分なユーザーアクセス制御アクセス制御、すなわちWebアプリケーションがコンテンツと機能へのアクセス権をユーザーに付与する方法も、セキュリティ上の重大な脆弱性になりえます。適切なユーザー認証と承認ツールがなければ、組織は機密情報を脆弱なままにしてしまい、攻撃者はアプリケーションにアクセスして機密データを盗んだり、操作したり、削除したりすることができるようになります。多くの企業は、組織内外を問わず攻撃者が機密情報にアクセスすることを防ぐために適切な認証・認可ツールを備えていません。アクセス制御には、ユーザーの社内での役割と責任(ロールベースアクセス制御)、ユーザーの特定グループへの所属(任意アクセス制御)、アクセスする情報の機密性(強制アクセス制御)、ユーザーに付与された権限(パーミッションベースアクセス制御)などの方法があります。企業がどの方法を選択するにしても、アクセス制御を明確化し、組織全体で一貫して実践することが重要です。また、「最小権限の原則」に基づき、すべてのユーザーに対して職務遂行に必要な最低限のアクセス権限を与えることも重要です。
  • 不十分な暗号化対策情報漏洩は増加しており、攻撃者は盗んだ情報をクレジットカード詐欺、なりすまし詐欺などの犯罪に使用しています。これは、暗号化が行われていなかったり不十分だったりすることが最大の理由です。適切な暗号化技術を持たない企業は、パスワード情報やクレジットカード情報などの機密データが漏洩する可能性があります。
  • アプリケーションの設定ミス:企業は新しいアプリケーションを素早くリリースするために、俊敏性の名のもとにセキュリティを犠牲にしていることがあります。そのため、アセキュリティ脆弱性の82%以上はアプリケーションコード内で発見されています。潜在的な攻撃から守るベストな方法は、アプリケーションの開発段階でセキュリティを組み込むことです。安全なコード作成にベストプラクティスを取り入れ、アプリケーションに対し様々なテストツールを試し、潜在的な脅威を特定することが重要です。
  • 不適切なセキュリティ監視IBMの最近のレポートによると、データ侵害を特定し解決するまでに平均280日かかります。攻撃者は監視の欠如を利用して、検知されることなく攻撃します。ログインの成功、失敗などのアクティビティを監視することで、疑わしいアクティビティの特定がより簡単になります。また、異常なアクティビティが検出された際に、アラートやエスカレーションなどのプロセスをもつインシデント対応計画を適用することで、攻撃に迅速に対応することができます。

重要なのは強力なアプリケーションセキュリティ戦略

今日のアプリケーションセキュリティの課題を十分に理解することが、防御を強化するための最初のステップです。進化するセキュリティリスクを監視し制御を強化することで、企業収益に影響を及ぼす可能性のある、増え続ける高度な攻撃から守ることができます。

詳細については、SailPointのコネクタ一覧のページをご覧ください。

You might also be interested in:

Datasheet

アイデンティティ データを実用的なインサイトに活用する

White Paper

AIと機械学習を利用してアイデンティティ セキュリティを向上

Solution Brief

オープンアイデンティティ・プラットフォームの3つの要件

クラウドプラットフォームを適切に制御

SailPointは多くのアプリケーションと連携しています。

今すぐ問い合わせる