2021 年のクラウド アプリケーションにおけるサイバーセキュリティ

最近のサイバーセキュリティの進歩により、最新のクラウド アプリケーションに影響を与える新しいルールがいくつか登場しています。

それぞれの側面は、適切に処理されない場合、セキュリティ上のリスクをもたらす可能性があります。世界中で何十億もの人々がオンラインやデジタル技術を利用しており、サイバー攻撃者がファイアウォールや防御を突破し、世界中の組織や企業に対してサイバー攻撃を仕掛ける機会は十分にあります。最近では、ビットコインのマイニング、クレジットカードの認証情報の盗難、システムへの悪意のあるコードの挿入、機密データの盗難など、サイバーセキュリティが頻繁にニュースになっています。今日のデジタル世界では、スピード、顧客への迅速なアクセス、簡単なセットアップ、魅力的な機能などだけでなく、システム、データ、機能のセキュリティも重要です。

サイバーセキュリティとは何ですか?

電子データ、ネットワーク、コンピュータ システム、およびあらゆる形式のデジタル インフラストラクチャを悪意のあるサイバー攻撃から保護する方法と実践は、サイバーセキュリティとして知られています。銀行、教育機関、テクノロジー企業、政府機関、出版社、病院、さまざまな部門が、顧客データ、企業秘密、ビジネスインテリジェンスをサイバー攻撃者から保護するために、サイバーセキュリティ インフラストラクチャに投資しています。

健全なサイバーセキュリティ戦略は、企業や開発者のシステムや機密データにアクセス、マイニング、挿入、削除、または強要しようとするサイバー犯罪や悪意のある攻撃に対抗するための重要なセキュリティ体制です。以下では、サイバーセキュリティとサイバー攻撃の防止について説明します。

サイバーセキュリティの重要性

多くの場合、サイバーセキュリティ規制が不完全であったため、サイバー攻撃者が企業のネットワークに侵入し、さまざまな方法でシステムを侵害することができました。その結果、一部の企業は評判と信頼を失い、収益に深刻な損失を被りましたが、それでも効果的に対処できませんでした。企業は、サイバー攻撃者がシステムを侵害するのを防ぐために、サイバーセキュリティに関する強力な標準と原則を策定する必要があります。サイバーセキュリティはこれまで以上に重要になっています。以下に調査レポートと例をいくつか示します。

• 2021年までに、サイバー攻撃により世界中の企業が被る損害は6兆ドルを超えると予想されています。
• 調査会社ガートナーは、世界のセキュリティ支出が2022年までに1,700億ドルに達し、わずか1年で8%増加すると予測している。
• Nationwide Mutual Insurance Company による最近の調査では、企業の 58% が少なくとも 1 回のサイバー攻撃を経験していることがわかりました。
• ランサムウェアによる侵害事件は、2015年と比較して2021年には57倍に増加すると予想されています。ランサムウェアは、米国で最も急速に増加しているサイバー犯罪の1つと言われています。その結果、米国司法省（DOJ）はランサムウェアを新たなサイバー犯罪ビジネスモデルと呼んでいます。
• WannaCry は英国全土の病院サービスを攻撃し、医療サービスを 1 週間近く停止させました。これは、サイバー犯罪者が英国の医療システムを乗っ取り、制御を取り戻すために身代金を要求するランサムウェア攻撃でした。

サイバーセキュリティのベストプラクティス

サイバーセキュリティのベストプラクティスを実装する際に組織が考慮すべきいくつかの提案を以下に示します。

• フィッシングシミュレーションを実施します。
• 開発者にサイバーセキュリティのトレーニングを提供します。
• セキュリティ専門家を雇用します。
• DevSecOps のベストプラクティスを採用します。
• 必要なユーザーのみにアクセスを制御します。
• 多要素認証を使用します。
• 最高のセキュリティ脆弱性ツールを活用しましょう。
• ファイアウォール保護を有効にします。
• 倫理的なハッキングによるさらなるテスト。

サイバーセキュリティの脅威の種類

注意すべき主なサイバーセキュリティの脅威は次のとおりです。

• マルウェアとは、あらゆるシステムに侵入して損害を与える可能性のあるウイルス、トロイの木馬、スパイウェアを指します。
• ランサムウェアは、標的のコンピュータ システムやファイルを暗号化してロックし、ロックを解除するために身代金を要求するマルウェアの一種です。
• ソーシャル エンジニアリングには、ハッカーが被害者を騙してセキュリティ プロトコルを破らせ、保護された機密データにアクセスさせるという人間同士のやり取りが含まれます。
• フィッシングとは、サイバー攻撃者が同じ名前のよく知られた送信元を装った電子メールの形式で被害者にメッセージを送信する詐欺行為です。これは機密情報やログイン詳細を盗むために行われます。
• 内部脅威とは、従業員、請負業者、または企業に密接に関係する人物によって実行されるセキュリティ侵害です。
• 分散型サービス拒否 (DDoS) 攻撃は、サイバー攻撃者が標的の Web サイトに疑わしいトラフィックを送信して、そのサイトの速度を低下させたり、システムを混乱させたり、クラッシュさせたりするときに発生します。
• 高度な持続的脅威 (APT) とは、サイバー攻撃者が長期間にわたってネットワーク セキュリティを侵害し、検知されることなくデータを盗む脅威です。
• 中間者 (MitM) 攻撃は、ネットワーク攻撃者が未知で識別不可能な仲介者として行動し、2 者間の通信回線を傍受するときに発生します。

DevOpsとサイバーセキュリティ

今日のサイバーセキュリティは、単にファイアウォールやセキュリティ対策を導入してすべてが安全であると考えるということではありません。これは、セキュリティ上の課題を克服するために継続的かつ重要な注意を必要とする継続的な取り組みです。デジタル時代のサイバーセキュリティは、継続的な配信と品質の開発、テスト、保護、管理、維持を行う DevOps アプローチを補完します。

DevOps プロセスを使用する企業は、上記で説明した強力なセキュリティ プラクティスを実装する必要があります。 IT チームが実装するのと同じセキュリティ標準を DevOps セキュリティにも適用する必要があります。適切なセキュリティ対策を講じないと、DevOps の実践によって企業が深刻なセキュリティ リスクにさらされる場合があります。 DevOps のサイバーセキュリティを管理する理想的な方法は、セキュリティ チームと連携し、継続的な脅威監視に参加することです。

今日のソフトウェア企業では、サイバーセキュリティが DevOps に統合されているのには十分な理由があります。開発部門と運用部門の 2 つの部門間のコミュニケーションとコラボレーションを改善することで、リスク管理が大幅に強化され、SDLC のどの段階でも発生するセキュリティの問題に対処できるようになります。

サイバーセキュリティ事件に関するニュース報道

最近の最も深刻なサイバーセキュリティ攻撃は、アメリカの大手情報技術企業であるソーラーウィンズに対するもので、何カ月も検知されず、昨年12月にロイターが初めて報じた。このサイバーセキュリティの脆弱性は、21 世紀で最も影響力のある脆弱性の 1 つと考えられています。

サイバー攻撃者は、SolarWind のシステムに秘密裏に侵入し、同社の重要なソフトウェア システムの 1 つに悪意のあるコードを追加し、複数の顧客に影響を与えました。 「OrionIT」と呼ばれる同社のシステムは深刻な影響を受けた。世界中の多くの大企業や政府機関で使用されている監視・管理ソフトウェアです。

SECの提出書類によると、SolarwindsにはOrionを使用している顧客が33,000人いる。このようにして、サイバー攻撃者は何千人もの SolarWinds 顧客のログイン認証情報、ネットワーク、システム、デジタル署名にアクセスできました。

サイバー攻撃者はサプライチェーン攻撃の手法を使用して、OrionIT システムに悪意のあるコードを挿入しました。サードパーティのアクセスにより、ハッカーはSolarWindのシステム（OrionIT）を攻撃することができ、これはサプライチェーン攻撃でよく発生します。

今何が起きて、次は何が起きるのでしょうか?大統領令

SolarWindのサイバー攻撃は世界中の国々に衝撃を与えた。これに対応して、米国政府はこのような攻撃を防ぐためにサイバーセキュリティ規制の見直しに取り組み始め、セキュリティ強化のために数十億ドルの資金を提供してきた。バイデン米大統領はサイバー防衛の近代化に向けた大統領令に署名した。この命令は、特にソフトウェアサプライチェーン攻撃に関して、より強力なセキュリティプロセスの必要性から出されたものである。この大統領令は、セキュリティのベストプラクティスの近代化と米国連邦ネットワークの保護に大きく貢献することを目指しています。

その結果、大手ソフトウェア企業/ベンダーは、サイバーセキュリティルールを強化するために更新と再調整を迫られています。これは、ソフトウェアベンダーが今後数年間でサイバーセキュリティを最優先にすることを意味し、サイバー攻撃者の侵入に対抗するための大きな動きとなると思われます。

米国政府とすべての関連機関は、ソフトウェアベンダーに対し、強力なサイバーセキュリティのプロトコルと原則に従うよう注意喚起しています。

米国政府の大統領令は非常に明確で、サイバーセキュリティは米国政府の国家安全保障と同等であると規定しています。より強力なセキュリティ体制を実現するために、米国連邦政府に販売されるソフトウェアは、安定した価値あるアプリケーションであるだけでなく、ソフトウェアの構築に使用されるすべてのコンポーネントを含む厳格なソフトウェア部品表 (SBOM) 要件に準拠している必要があります。

ソフトウェア部品表 (SBOM)

ソフトウェア部品表 (SBOM) は、ソフトウェア プログラムまたはアプリケーションを構成するコンポーネントの完全なリストです。ベンダーは、アプリケーションの構築に使用されるツールとサードパーティのコンポーネントを慎重にリストする必要があります。セキュリティ上の理由から、ソフトウェア部品表 (SBOM) にはあらゆる詳細が含まれているため、非常に価値があると考えられています。したがって、災害や安全上の問題が発生した場合、ベンダーは問題の原因を簡単に追跡し、それらの課題の解決または軽減に役立てることができます。

現在の大統領令では、重要なのはソフトウェア全体だけではなく、細部、あらゆる小さな詳細やコンポーネントが新しい大統領令に準拠する必要があるということです。

現在、アプリケーションで使用されるコンポーネントをスキャンして一覧表示できるソリューションは数多くありますが、JFrog はそうしたソリューションの 1 つとしてさらに一歩進んだものです。

JFrog 製品 (特に Artifactory と Xray) を使用すると、コンポーネント、そのコンポーネントの取得元、およびコンポーネントに関するすべての関連詳細を簡単に理解できます。これにより、データに基づいた意思決定が可能になり、問題が発生した場合に予防措置を講じることができます。

ソフトウェア部品表 (SBOM) の重要性

ソフトウェア開発者は、コード ベース用のソフトウェア BOM (SBOM) を準備し、維持する必要があります。一般的な JavaScript Web アプリケーションは少なくとも 1000 個の依存関係で構成され、各依存関係にはさらに多くの依存関係が含まれる場合があります。したがって、アプリケーションの最上位部分だけに焦点を当てることは無意味であり、アプリケーションが使用しているコードの大部分を見逃してしまう可能性があります。

ユーザーは、アプリケーションに含まれるオープンソース コンポーネントのライセンスが寛容なものか厳格なものかを確認したかどうかを自問する必要があります。コードベース内のオープンソース コンポーネントがメンテナンスされているかどうかご存知ですか?

ユーザーは、アプリケーションまたはソフトウェアで使用されるオープンソース コンポーネントに既知の脆弱性がないことをどのようにして確認できますか?ここではソフトウェア部品表 (SBOM) が重要な役割を果たすため、プロセス全体だけでなく、環境の詳細もすべて理解することが重要です。

ここで、今後のソフトウェア部品表 (SBOM) 標準の高レベルの要件が影響する可能性があります。多くのセキュリティ企業が何らかの説明を提供するかもしれませんが、バイナリ ライフサイクル中に環境と変数を公開する DevOps プラットフォームは、これらの政府の要件を満たすのに最適な立場にあります。たとえば、JFrog プラットフォームは、JFrog が言うところの「セキュリティ体制の唯一の真実のソース」として機能します。トップレベルのバイナリだけでなく、すべてのビルドおよびパイプライン情報を理解することで、ユーザーは、そこに含まれる成分だけでなく、それらの成分の出所やサプライ チェーンも理解できるようになります。このようにして、ユーザーは新しいネットワーク セキュリティ要件に基づいて将来のニーズをより適切に満たすことができるようになります。