前回の感想文の続きになります。
サイバー攻撃 ネット世界の裏側で起きていること (ブルーバックス) 中島 明日香 著
この本、英字、日本語の索引があるんで、リファレンスとしても使えます。本当によくできている本だと思います(エラソですみません)。
1章にはソフトウェアの開発工程上の問題により、脆弱性が作り込まれてしまうことが書いてありますが、ソフトウェアの開発プロセスにセキュリティ教育や、レスポンスの仕組み、体制を設けることは賛成といいますか、もはや必須です。
最近、DevSecOpsという言葉が流行していますが、これは、アプリケーションとインフラのセキュリティを開発当初から考慮し、継続的なセキュリティ監査の仕組みを開発プロセスに組み込みましょう、という考え方です。
当社でも脆弱性診断用の製品を販売しておりますし、診断サービスをしておりますが、そこで遭遇するのが「開発外注」の問題。特にWebアプリケーションの開発会社さんがセキュリティに疎いケースがこれまでいくつかあり、脆弱性への対策が誰もできないという悲劇。
下手するとディレクトリ・トラバーサルへの対処も、.htaccessの設定すらできていないケースもありますが、まあ、これは我々でもすぐアドバイスできます。
CMSやフレームワーク、OSSやサードパーティの部品などを使っていることがほとんどで、すぐに対策を打てない。開発会社さんからすればブラックボックス。バージョンをあげて、サービスが継続できるかわからない、ステージング環境もない、そういう場面に遭遇することもあります。
そういった場合は、まあ、IPSやWAF、バーチャルパッチなどに対応したサーバセキュリティ製品などの導入をお勧めするわけですが、ゼロデイの問題もあります。
もちろん、脆弱性というのは開発工程の中で生まれてしまうという側面もありますが、脆弱性というのは、日々、発見されるものなので、ある一時点で安全であっても、極端な話、明日はわからない。
それはソフトウェアでもネットワーク機器でも同じことで、セキュリティ監査、診断には終わりはないと言ってもよいと思います。
最近では、脆弱性を持ったサーバを保有する企業のリスト等は、ダークウェブで公開されたり、リストが売買されていたりします。過日、ある業界団体さんにその様子をお見せしたときには、まさにドン引き状態でした。
つまり、弱い、と知られた企業は攻撃される、そして、攻撃者の数はひとつではない、そういうことになります。
続きはこちらです。
最初の記事はこちらです。
