「アプリケーションシステムのセキュリティ対策は、ソフトウエアの進化に追いついていない」。 Webアプリケーションの安全性を確保するためのツールやガイドラインを公開しているOWASP(Open Web Application Security Project)が主催する国際会議「AppSec APAC 2014」で2014年3月20日、米アスペクト・セキュリティのCOOであるデイブ・ウィカーズ氏(写真)はこのように語った。ウィカーズ氏はOWASPで最も人気のあるプロジェクト「OWASP Top 10 2013」の筆者である(関連記事:データ盗難の原因はSQLインジェクション――AppSec 2014で警鐘)。
ソフトウエア技術の進展により、システムは複雑化の一途をたどっている。一方で、セキュリティ技術の向上も続いているが、そのスピードはソフトウエア開発に追いついていない。「システムは多数のアプリから構成される。そのアプリがすべて個別に、正しくあるべきだ。しかし我々の調査では、10%しか正しくセキュリティスキャンを実施していない。あらゆるアプリを検証するのはコストがかかりすぎるからだ。また、開発速度の向上もそれに拍車をかけている」と指摘。もはやこれまでのやり方では、セキュリティの対応が追いつかない。「それならば今までのやり方から、根本的に変えていくべきだ」というのがウィカーズ氏の主張だ。
例えば医療の現場において、健康状態を監視するモニターのように、ソフトウエアのシステムに“センサー”を組み込んで、継続的にセキュリティをチェックする仕組みを実現しようと提唱する。まず何を監視すべきか、どの経路をチェックするかなどから組み込むべきセンサーを決め、それを比較的開発の早いステージで組み込む。そして、回帰テストの一環としてセキュリティの状態を検証することによって、システムの安全性を保とうという考え方だ。
具体的なセンサーの例としては、Webサーバーがリクエストに応答する際のヘッダー情報の正当性をチェックする「Check Your Headers」や、ライブラリの安全性などをチェックする「OWASP Dependency Check」などを挙げた。こうしたツールなどを組み込むことで、「一つひとつのアプリに多くのセキュリティチェック機能を組み込むより、あるチェック機能を全てのアプリに適用することで、継続的にセキュリティ状態を監視できる」と語った。
