こんにちは。

リックソフトでは オープンソースコンポーネントの脆弱性とライセンスのコンプライアンス違反を検出する WhiteSource を販売しています。
WhiteSource のようなオープンソースコンポーネントのセキュリティを検証する製品は ソフトウェア構成分析(Software Composition Analysis : SCA) ツールと呼ばれています。
さらに アプリケーションのセキュリティをテストするツールには SCA 以外にも 様々な技術や特長ごとに分類されています。

これまでも多くのお客様からWhiteSourceのお問合せを頂いておりますが、お話を伺っていくと WhiteSourceがカバーする領域を超えたご相談を頂くことがありました。
そこで、今回から全6回に渡ってWhiteSource社のブログをWhiteSource社の許可の下、翻訳しアプリケーションのセキュリティテスト ツールのジャンルを紹介していきます。

これらのブログをお読み頂くことで、WhiteSource と合わせてみなさんのアプリケーションでどのようなセキュリティテストツールを導入するべきかを知って頂ければと思います。

■知っておきたい、アプリケーションのセキュリティテストツールの7つのジャンル

1回目の今回は、アプリケーション・セキュリティ・テストツールの全体像として、この分野のツール市場がどのように分類されているかをお伝えします。

アプリケーション層は、企業のソフトウェアスタックの中で最も攻撃されやすく、最も防御しにくい層であり続けています。
攻撃を防ぐことを目的としたツール急増しており、アプリケーション・セキュリティ・テスト（AST）市場が44億8,000万米ドルと評価されているのも不思議ではありません。
フォレスター社の市場分類では、アプリケーションセキュリティテストのツール市場は、セキュリティスキャンツールとランタイムプロテクションツールの大きく2つ分かれています。

セキュリティスキャンはアプリケーションの開発段階で脆弱性を修正するために使用します。
ランタイムプロテクションはアプリケーションの運用時に使用します。ランタイムプロテクションは セキュリティスキャンの代わりではなく、追加の保護レイヤーとなります。

このブログでは、4つのセキュリティスキャンツールと3つのランタイムプロテクション技術を定義し、それぞれの長所と短所を見ていきます。

■セキュリティ・スキャン・ツール

セキュリティスキャンツールは、主に開発現場で使用され、アプリケーションを設計・構築する際にテストします。
セキュリティスキャン・ツールの目的は予防です。
これらのツールは、アプリケーションを本番環境で実行する前にその脆弱性を特定して修正します。
この市場におけるツールには、SAST、DAST、IAST、そして、SCAがあります。

静的アプリケーション・セキュリティ・テスト
(SAST：Static Application Security Testing)

静的アプリケーションセキュリティテスト（SAST）は、ホワイトボックステストであり、コンポーネントが静止している時にソースコードを内側から分析します。
SASTはアプリケーションのソースコード、バイトコード、バイナリを分析して、セキュリティ脆弱性の可能性があるコーディングや設計上の欠陥を発見します。

SASTは、すべてのアプリケーション・セキュリティ・テスト・ツールの中で最も成熟しており、通常は開発からQA(テスト)までの間に実施します。
多くの場合、CIサーバーや統合開発環境（IDE）に統合されます。

SASTでは、予め定義したルールに基づいて、評価対象ソースコードのコーディングエラーをスキャンします。
SASTのスキャンでは、SQLインジェクション、入力検証、スタックバッファオーバーフローといった最も一般的なセキュリティ脆弱性を特定するように設計することができます。

動的アプリケーション・セキュリティ・テスト
(DAST：Dynamic Application Security Testing)

動的アプリケーションセキュリティテスト（DAST）は、アプリケーションの実行中に外部からの攻撃をシミュレートすることで、セキュリティ上の脆弱性やアーキテクチャ上の弱点を探すブラックボックステストです。
公開されているインターフェースに脆弱性や欠陥がないかをチェックすることによって、外部からアプリケーションへの侵入を試みます。
そのためソースコードにはアクセスせず、外部からの攻撃によってのみ脆弱性を発見することができます。

DASTの名前の「Dynamic」はテストが動的な環境で実行されることに由来します。
アプリケーションが静止しているときにコードを一行ずつスキャンするSASTとは異なり、DASTはアプリケーションの実行中に行います。
DASTは本番環境でも使用できますが、大抵はQA環境で実施します。

インタラクティブ・アプリケーション・セキュリティ・テスト
(IAST：Interactive Application Security Testing)

インタラクティブアプリケーションセキュリティテスト（IAST）は、動的な環境で、アプリケーションのソースコードをビルドした後にスキャンを実施します。
テストはアプリケーションの実行中にリアルタイムで行われ、通常はQAまたはテスト環境で実施されます。IASTはソースコードを分析するので、テストでは問題のあるコードの行を特定し、開発者に通知して直ちに修正を行うことができます。

SASTとIASTはどちらもコードを直接チェックしますが、IASTはコードに加えたインスツルメンテーションを通じて、動的環境をビルド後にチェックします。
(イン水流メンテ―ションの)エージェントとセンサーをアプリケーションに配置し、コードを分析することで脆弱性を特定します。
IASTは、CI/CDパイプラインに容易に統合でき、高い拡張性を持ち、自動化またはテスターが実行することができます。

ソフトウェア構成分析
(SCA：Software Composition Analysis)

ソフトウェア構成分析（SCA）ツールは、アプリケーションのコードベースを自動スキャンし、オープンソース・ソフトウェアの使用状況を可視化します。
これには、すべてのオープンソース・コンポーネントとそのライセンスの情報、およびセキュリティの脆弱性の特定が含まれます。
それ以外にもSCAツールは、オープンソース・ソフトウェアの脆弱性に優先順位を付け、セキュリティの脅威を解決するための洞察力と自動修復機能を提供します。

■ランタイムプロテクションツール

ランタイムプロテクションツールは、アプリケーションが本番環境で実行中に攻撃を受けないように設計します。
これらのツールは、悪意のあるエージェントから守るためにリアルタイムで反応します。
この市場は、ウェブ・アプリケーション・ファイアウォール（WAF）、ボット管理、ランタイム・アプリケーション・セルフプロテクション（RASP）に分けられます。

ウェブ・アプリケーション・ファイアウォール
(WAF：Web Application Firewall)

Webアプリケーションファイアウォール（WAF）は、Webアプリケーションとの間のHTTPトラフィックをフィルタリング、監視、ブロックすることで、クロスサイトスクリプティング（XSS）やSQLインジェクションといった攻撃からアプリケーションを保護します。
つまり、WAFはWebアプリケーションの前に立ち、アプリケーションとインターネットの間の盾として機能します。
WAFは、サーバー間の安全なゲートとして機能する通常のファイアウォールとは異なり、特定のWebアプリケーションコンテンツをフィルタリングし、悪意のある攻撃をリアルタイムで防ぎます。

WAFは、悪意のあるトラフィックをフィルタリングすることによる、アプリケーションの脆弱性を保護するポリシーによって動作します。
ポリシーは、さまざまな攻撃手段に対応するために、迅速かつ容易に変更することができます。
例えば、DDoS攻撃の際にはレート制限を行うことができます。

ボット管理

ボットマネージャは、人による操作以外のトラフィックを単純にブロックするのではなく、良いボットと悪いボットを区別してボットを管理するソフトウェアです。
優れたボットマネージャは、ボットを評価することで識別し、IPアドレスの評価に基づいてボットをブロックすることができます。
ボットマネージャーは、ボットの行動を分析することで、Googleのサイトクローラーのようなウェブページのインデックスを作成するボットを許可リストに追加し、CaptchaテストやJavaScriptインジェクションのような方法で悪質なボットに対抗することができるはずです。
サービスを過剰に利用しているボットを制限したり、悪質と判断したボットに対して特定のコンテンツやリソースへのアクセスを拒否したりできます。

ランタイム・アプリケーション・セルフ・プロテクション
(RASP：Runtime Application Self-Protection)

RASP（Runtime Application Self-Protection）は、アプリケーションの実行を制御できるセキュリティ技術であり、アプリケーションに対する攻撃を内部からリアルタイムに検知して防ぐことができるように設計されています。
RASPは、悪意のある入力や動作に反応して「自己保護」または「再構成」することで、人が介入することなく自動的に攻撃を防ぎます。
RASPは、悪意のある行動が疑われる場合にその領域を分析し、自らの行動を継続的に監視することで、自動的に攻撃を検知し、軽減します。

RASPは、SQL/コマンドインジェクション、クロスサイトスクリプティング（XSS）、データの流出、アカウントの乗っ取りなど、さまざまな脅威からアプリケーションを監視・保護します。

■アプリケーション・セキュリティ・テストは、1つのツールですべてを実現することはできない

実際のところ、アプリケーションに対する脅威は1つのツールですべてを対応することはできません。
アプリケーションを保護し、リスクを最小限にするためには、ここで挙げた複数のツールが必要です。
それぞれのツールの長所と短所を理解していただくために、特徴と機能のリストを作成し、カバー率、精度などの点で各ツールがどのような状況にあるかを示しました。

これらのツールを組み合わせて使用することで、全体的なセキュリティリスクを低減することができます。
完璧なソリューションは存在しないことを忘れないでください。

また、脅威が常に進化しているセキュリティにおいては、完璧を求めるとかえって失敗するかもしれません。

アプリケーション・セキュリティ・テスト (AST) は大きく「セキュリティ・スキャン」と「ランタイム・プロテクション」の２つに分かれており、前者は 開発からリリースまでの中でアプリケーションに潜む脆弱性を特定・修正することに着目し、後者は リリースしたアプリケーション環境を攻撃から守ることに着目したツールです。
セキュリティは「100%安全」の状態することは困難であり、かつ手を変えて増え続ける攻撃に対して継続して防ぐことが求められています。
このためには、開発からリリース、そして運用に至るまでの様々なフェーズで最適なソリューションを採用して、アプリケーションを可能な限りセキュアに保つことが必要なことをご理解頂けたかと思います。

この中において、ソフトウェア構成分析（SCA）ツールは、オープンソースコンポーネントの脆弱性を検査するという、他には持たない特長を持っています。
次回以降はSCAが含まれる セキュリティスキャンツールの部分を掘り下げ、開発からリリースまでの間に検査できる脆弱性についてお伝えしていきます。

このブログはWhiteSource社の許可の下、
https://resources.whitesourcesoftware.com/blog-whitesource/ast-application-security-testing を翻訳したものです。

WhiteSource社とWhiteSourceについては、WhiteSource.com および弊社の製品紹介ページをご覧ください。