1. HOME
  2. ブログ
  3. Blog
  4. 海外ブログ
  5. アプリケーションがどこにあっても保護する

Info.

お知らせ

海外ブログ

アプリケーションがどこにあっても保護する

アプリケーションがどこにあっても保護する のページ写真 1

トピックス: リモートワークWebアプリケーションファイアウォール

2021年6月23日、Chris Hill

アプリケーションは、データセンターからスマートフォンまで、あらゆる場所に存在しています。リモートワークでは、より多くのアプリケーションをクラウドに公開する必要性が高まっています。アプリケーションの増加はとどまるところを知りません。しかし、アプリケーションは定期的に侵害されており、いったいどのように保護すればよいのでしょうか。脅威のベクトルが何であるかを理解することは、「AppSec」をどのように理解し、アプリケーションの保護を開始するかを考える上で非常に重要です。

2021年のアプリケーションセキュリティは様変わりしています。これまでも、攻撃を受ける可能性のある領域については重要な検討事項でしたが、在宅勤務によってこの問題は急速に拡大しています(出典:CIF) 以前にもボットについてお話しましたが、ボットは間違いなくお客様にとって最大の頭痛の種であり、現在では明らかに侵害の成功手法の上位に位置しています。そして、ボットはなくならないどころか、ますますその能力を増しています。 さらに、セキュリティ侵害の28%が人為的なミスによって引き起こされているという事実もあり、ドアが開いたままになっていないかを確認することがこれまで以上に重要になっています。

しかし、それはボットだけではありません。

ゼロデイ脅威、Webアプリケーションの脆弱性、ソフトウェアのサプライチェーン、API(Application Programming Interface)などは、いずれも非常に現実的な分野であり、同様に注意を払う必要があります。最近の調査によると、グローバル企業のお客様750社のうち、72%が過去1年間にアプリケーションの脆弱性から少なくとも1回のセキュリティ侵害を受けたと回答しており、40%近くが2回以上の被害を受けています。このような注目すべき例は、常にニュースで目にすることができます。

APIは開発者の夢です。組織は、APIファーストの開発に移行しつつあります。APIを使えば、アプリケーションの新バージョンの開発が格段に速くなります。しかし、そこにはもう一つの露出ポイントがあります。これらのアプリケーションの可視性を拡張することで、まったく新しい攻撃対象が生まれます。さらに、シングル・ページ・アプリケーションを含めれば、気が抜けない状況になるでしょう。

グローバル企業750社の顧客のうち、72%が過去1年間にアプリケーションの脆弱性から少なくとも1件のセキュリティ侵害を受けたと回答し、約40%が2件以上の被害を受けたと回答しました。 ’クリックしてツィートする’

小切手の現金化について考えてみましょう。祖父母から誕生日に小切手をもらったことを覚えている人は、銀行が開くのを待って、小切手を振り込んで、待たなければなりませんでした。銀行は送金元の口座を確認し、いくつかの情報を確認した後、返事を待つために数日を要した。その結果、ようやくあなたの口座にお金が振り込まれるのです。今はどうでしょうか?スマートフォンのアプリケーションを使って、すぐに銀行送金ができます。しかし、考えてみてください。これは単純なワンコールの取引ではなく、1つの取引を完了するために裏では膨大な量のITが行われており、そのすべてを保護する必要があるのです。

B2Bのエンドポイントチェックには人は関与しておらず、すべてAPIで行われており、すべてが潜在的な脅威の領域です。なぜか?考えてみてください。APIは本質的に、アプリケーションのロジック、ユーザーの認証情報やトークン、あらゆる種類の個人情報を公開するものであり、これらはすべてクラウドスピードで行われます。APIベースのアプリケーションは、すべての機密データに直接アクセスできるように意図的に配置されているため、従来のウェブベースのアプリケーションよりもはるかに露出度が高くなっています。

Facebookをスクロールしたり、Livestockのティッカーをチェックしたりするとき、私たちの携帯電話はAPIを介してデータセンターのサーバーとやり取りしています。ライブでスクロールしている場合、これらのAPIは常に大きな英数字の文字列で認証を行っています。このようなトラフィックをリアルタイムで検査し、セキュリティを確保する必要があります。小切手の例のように、誰かがランチから戻ってくるのを待って、それが正当なリクエストかどうかを確認することはできません。

APIベースのアプリケーションは、意図的に配置されているため、従来のWebベースのアプリケーションよりも格段に露出度が高く、すべての機密データに直接アクセスすることができます。 ’クリックしてツィートする’

組織はAPIを好みますが、セキュリティを維持するのは困難です。BOTSは、24時間365日、安全ではないAPIに飛びつく準備をしています。そこに行けば、顧客データや従業員の情報にアクセスでき、好きなように侵害することができます。テスト用のAPIが、セキュリティが全く施されていない本番データに直接アクセスできる状態でデプロイされている例は数多くあります(2018年に起きたFacebookの侵害がその例です)。しかし、今回の調査では、75%の企業が、APIにはセキュリティ上の課題があるが、現在ではそのリスクを認識していると回答しており、この分野が真剣に取り組まれていることを示す明るい兆しとなっています。

APIの防御は、今やセキュリティの最重要課題のひとつです。アプリケーションがどこにあっても、それを保護するために、包括的で拡張性があり、導入しやすいプラットフォームを検討することが重要です。Active Threat Intelligenceを備えたWebアプリケーションファイアウォール(WAF)は、このブログで紹介した脅威からアプリケーション、ひいてはAPIを保護するための最も管理しやすい方法です。ゼロデイ脅威、BOTS、DDoS攻撃、サプライチェーンの危険、クレデンシャルスタッフィングから組織を保護し、クライアントサイドの保護を追加し、悪意のある従業員から内部で保護することは、72%に加わらないために検討すべきことです。

さらに詳しく知りたい場合は、バラクーダCTOのFleming Shiと他のバラクーダの専門家が最近のセミナーで、現在および今後のAPIとサプライチェーンへの攻撃について説明しています(こちらからオンデマンドでご覧いただけます)。

原文はこちら:

Protecting your applications – no matter where they live

June 23, 2021 Chris Hill

https://blog.barracuda.com/2021/06/23/protecting-your-applications-no-matter-where-they-live/

関連記事