Last Updated on 2024-03-01 11:44 by 荒木 啓介
企業のアプリケーションがクラウドインフラにデフォルトで配置されるようになり、アプリケーションのセキュリティテストは、アプリケーションの分散された攻撃面を横断するペネトレーションテストに似たものになりつつあります。この類似性が、ペネトレーションテストをサービスとして(PTaaS)の新たな市場を開拓しています。PTaaSプロバイダーは、ネットワークの端ではなく、クラウドアプリケーションに焦点を当てており、通常、アプリケーション自体、アプリケーション間の相互接続、およびアプリケーションの変化の方法の3つの脆弱性ベクトルを持っています。加速された開発と合併や買収などのイベントは、これらのベクトルすべてに沿って攻撃面を拡大させる傾向がありますが、ペネトレーションテストはこれらの変化に対応しようとしています。
Bishop Foxは、ペネトレーションテストとオンデマンドの評価および分析サービスを組み合わせたCosmos Application Penetration Testing(CAPT)サービスを発表しました。クラウドデプロイメントは、企業アプリケーションの標準となりつつあります。2025年までに、新しいデジタルワークロードの95%がクラウドネイティブプラットフォームにデプロイされる予定で、2021年の30%から増加すると、ビジネスインテリジェンス会社Gartnerが述べています。これらのワークロードの最大70%は、クラウドサービスを通じてデプロイされる低コードまたはノーコードアプリケーションになるとGartnerは述べています。
クラウドとクラウドインフラにデプロイされたアプリケーションは密接に絡み合っているため、ペネトレーションテスターはアプリのセキュリティだけでなく、クラウドプラットフォームとアプリのクラウド構成も考慮する必要があります。Cobalt.ioのチーフストラテジーオフィサーであるCaroline Wongは、「アクセス制御と構成はネットワークとクラウドの間で根本的に異なり、これらの特性は意図的にテストされなければならない」と述べています。また、クラウドの採用は、企業のソフトウェアポートフォリオ内のアプリケーションの数と、それらのアプリケーションの変更の頻度の両方を急速に増加させます。
ペネトレーションテスト中に発見されたセキュリティ問題の最大のシェア(約40%)は、セキュリティヘッダーの欠如や不安全なSSLおよびTLS暗号ライブラリなどのサーバーセキュリティの誤設定です。Cobaltの「The State of Pentesting 2023」レポートによると、脆弱性の観点からは、保存されたクロスサイトスクリプティング(XSS)、古いソフトウェアバージョン、および不安全なディレクタオブジェクト参照(IDOR)が最も一般的な脆弱性です。ほぼすべて(94%)の保存されたXSS脆弱性と85%のIDOR脆弱性は、中程度の重大度またはそれ以上です。
しかし、時間が経つにつれて、PTaaSの顧客は、発見されたすべての問題の中で中程度、高、および重大な欠陥の割合が少なくなることを見ています。最も深刻な問題が検出され修正されるためです。
【ニュース解説】
企業のアプリケーションがクラウドインフラに配置されることが標準となりつつある現代において、アプリケーションのセキュリティテストは、従来のネットワークの端を対象としたものから、アプリケーション自体、アプリケーション間の相互接続、およびアプリケーションの変化という3つの脆弱性ベクトルを横断するペネトレーションテストへと進化しています。この変化は、ペネトレーションテストをサービスとして提供する(PTaaS)新たな市場の開拓につながっています。
PTaaSプロバイダーは、クラウドアプリケーションに焦点を当て、これらのアプリケーションが抱える脆弱性を定期的にテストし、修正することで、企業のクラウド攻撃面の拡大に対処しています。特に、加速された開発や合併・買収などのイベントは、攻撃面を拡大させる傾向にあり、ペネトレーションテストはこれらの変化に対応しようとしています。
クラウドとクラウドインフラにデプロイされたアプリケーションは密接に絡み合っており、ペネトレーションテスターはアプリのセキュリティだけでなく、クラウドプラットフォームとアプリのクラウド構成も考慮する必要があります。クラウドの採用により、企業のソフトウェアポートフォリオ内のアプリケーションの数と、それらのアプリケーションの変更の頻度が急速に増加しています。
ペネトレーションテスト中に発見されるセキュリティ問題の大部分は、サーバーセキュリティの誤設定であり、これにはセキュリティヘッダーの欠如や不安全なSSLおよびTLS暗号ライブラリなどが含まれます。また、保存されたクロスサイトスクリプティング(XSS)、古いソフトウェアバージョン、および不安全なディレクタオブジェクト参照(IDOR)が一般的な脆弱性として挙げられています。
PTaaSの利用により、時間が経つにつれて、中程度、高、および重大な欠陥の割合が少なくなることが報告されています。これは、最も深刻な問題が検出され修正されるためです。このようなサービスの利用は、企業がセキュリティ対策を強化し、クラウド環境におけるリスクを管理する上で重要な役割を果たしています。
この動向は、クラウドベースのアプリケーションのセキュリティに対する新たなアプローチを示しており、企業がクラウド環境におけるセキュリティ対策をどのように進めるべきかについての重要な示唆を提供しています。また、PTaaSの普及は、セキュリティ業界におけるサービス提供の方法にも変革をもたらしており、企業がセキュリティリスクに迅速かつ効果的に対応できるよう支援しています。
“クラウド時代のセキュリティ対策進化、企業向けPTaaS市場が拡大中” への1件のコメント
この記事を読んで、私の若い頃とは大きく変わったなと感じますね。私が現役時代には、情報技術といえば社内のサーバー管理が中心で、インターネットもまだそれほど普及していませんでした。今では、クラウドインフラというものが企業の標準になりつつあるとは、時代の変化を感じます。
クラウドサービスの普及により、アプリケーションのセキュリティを確保することが以前よりも複雑になっているようですね。特に、ペネトレーションテストをサービスとして提供する(PTaaS)というのは、新たな技術の進化に対応するための賢い方法だと思います。企業が自身のアプリケーションのセキュリティを継続的にチェックし、脆弱性を修正することは、非常に重要なことですから。
クラウドがもたらす利便性は大きいですが、それに伴うセキュリティリスクへの対応も同じくらい重要だと理解できます。これからの企業は、そのようなサービスを活用して、自社のセキュリティ対策を強化しながら、クラウド環境でのビジネスを発展させていく必要があるでしょう。
また、この記事からは、セキュリティ技術の進歩だけでなく、企業がどのようにしてこれらの新しい課題に