僥び1坤▲廛螢羽`ション?セキュリティ?テストをアウトソ`シングする怏岶がえています
巷望はさまざまな尖喇でサ`ドパ`ティのアプリケ`ション?セキュリティ?テスト?サ`ビスを旋喘していますが、恷寄の尖喇の1つは、儺膳を鞭けた、あるいはUYN源なセキュリティ壇社が音怎していることです。、サイバ`セキュリティ室g宀の@A議な音怎により、より謹くのMがサイバ`セキュリティのニ`ズにサ`ビスとして鬉垢襪茲Δ砲覆訖苗榻圓あります。また、繁T音怎をUYしている{忙愆勒澆 70%が、サイバ`セキュリティのギャップを托めるためにサ`ドパ`ティのサ`ビスを聞喘することを豚棋していると、(ISC)2 は峺姜しています。
そして、そのギャップを托める駅勣があることはg`いありません。Forresterのレポ`ト仝The State of Application Security: 2022々によれば、Web アプリケ`ションのエクスプロイトが、匯違議なサイバ`セキュリティ好弔3 桑朕に旋喘されていると峺姜しています。シノプシスは、定肝レポ`ト仝ソフトウェア巌樋來スナップショット々恬撹のためにg仏した、アプリケ`ション?セキュリティ?テスト┫ヽО妝サ`ビスを旋喘した4,000噫りのテストの95%で、鵐▲廛螢羽`ションの採らかの巌樋來をk需しました。
シノプシスの粥皆意サ`ビスによるテストは、g佩嶄のアプリケ`ションをg縞の好蔦澆佩うように距砲靴憧猗來を蒙協し、トリア`ジして駅勣に鬉犬塵渾を佩うことを朕議としています。
このように敦其しているg佩嶄の Webアプリケ`ションを、好蔦澆藩じ圭隈で{砲垢襪海箸如巌樋來が翌何のlかによって喘される念に蒙協してIする駅勣があるということです。
また、匯何のMでは、鏡徭のテストによる編^を宥して、坪何のセキュリティ貨がC嬬しているかどうか_Jすることができます。さらに、及眉宀によるアセスメントをx娶兇韻誨ヨ討筌咼献優航周にする駅勣がある栽、たとえば、Payment Card Industry Data Security Standard (PCI DSS) では、協豚議に、あるいはソフトウェアやシステムに寄嫌な筝を紗えた瘁にペネトレ`ションテストを佩う駅勣があります。
では、Building Software in Maturity ModelBSIMMプロジェクトに歌紗しているMの 88% が、翌何のペネトレ`ションテストを旋喘して}をkしていることがわかりました。ペネトレ`ションテストは、_krのテストでは毛された辛嬬來がある}を苧らかにし、Mのセキュリティツ`ルセットで音怎しているテストをハイライトしてくれる辛嬬來があります。 啜張▲廛螢羽`ション?セキュリティ?テストDASTやペネトレ`ション?テストで苧らかになったセキュリティ貧の之を床議盾裂ツ`ルが俺彌できない魁栽、怏岶の畠悶議なセキュリティテストに諒籾がある辛嬬來があります。
僥び2坤汽ぅ乂`セキュリティは械に仝繁々が駅勣です
仝Software Vulnerability Snapshot┘愁侫肇ΕД巌樋來スナップショット々レポ`トを恬撹するために、シノプシスのCybersecurity Research CenterCyRCの冩梢宀は、シノプシスのAST サ`ビスによってテストされた斌喘ソフトウェア システムとアプリケ`ションから誼られた停兆晒されたデ`タを{砲靴泙靴拭書定のレポ`トには、2,700 の鵐愁侫肇ΕД△肇轡好謄爐してg仏された 4,000 參貧のテストのデ`タも根まれていますが、ほとんどのテストは、ペネトレ`ションテスト、啜張▲廛螢羽`ション?セキュリティ?テストDAST、そしてモバイル?アプリケ`ション?セキュリティ?テストMASTを根む、盃秘侏の仝ブラックボックス々および仝グレ`ボックス々テストでした。
また、ASTサ`ビスでg仏したテストの 64% はペネトレ`ションテストでした。これは、アプリケ`ションまたはシステムのセキュリティをuするためにOされたシミュレ`トされた好弔如▲愁侫肇ΕД△臨扈K_k粁Aまたはデプロイ瘁にg佩rの巌樋來をつけて俐屎することができます。しかし、ペネトレ`ションテストは仝繁議リソ`ス々が駅勣です。なぜなら、 徭啝されたテストツ`ルではgに奮できない匯何の巌樋來を、T岑Rと噴蛍なUYを嗤する仝繁々によって、つけ竃すことが辛嬬になるからです。
DAST と MAST もテストに聞喘されました。MAST は、モバイルデバイスと鬉垢襯稀`バ`サイドのシステムでg佩されているアプリケ`ションの巌樋來をkするために聞喘されます。
DAST の麼な朕議は、g佩嶄の Web アプリケ`ションをテストしてSQL インジェクションやクロスサイト?スクリプティングXSSなどの巌樋來をkすることです。g佩嶄の Web アプリケ`ションで喘される巌樋來の謹くは、ソ`スコ`ド貧に贋壓しません。それらは、云桑h廠にデプロイされた瘁にkFします。この}にIするため、DAST はアプリケ`ション?セキュリティ?テスト?プログラムにおける駅倬テストになります。
念峰のとおり、ソフトウェア?セキュリティの畠悶颪魄冦佞垢襪砲蓮◆姑法垢琳RやUYが駅勣となります。シノプシスの DASTによるuでは、J^とセッション砿尖、アクセス崙囮、および秤鸞にvBする匯何の巌樋來など、匯違議なソフトウェア?テストツ`ルでは奮できない巌樋來をkするための返咼謄好箸根まれています。
僥び3沙畜來の互いネットワ`クトラフィックの隠擦を個鋲する駅勣がある
アプリケ`ションは、C畜來の互いネットワ`クトラフィックの屁栽來を隠o竃栖ないことがあります。たとえば、巌樋な SSL/TLS 撹はテスト鵑 82% に採らかの侘の巌樋來が根まれており、AST サ`ビスによるテストでつかった巌樋來で恷も謹くkされました。また、テストのNeに蛍すると、ペネトレ`ションテストでは、テスト鵑 77% から、DASTでは 81%、MASTでは 32% で巌樋な SSL/TLS 撹を奮しました。
ペネトレ`ションテストと DASTのI圭で、テスト麋悶の 22% が XSS好弔貌愨兇気譴討い襪海箸わかりました。XSS好弔蓮Web アプリケ`ションに唹を嚥える恷も匯違議で、リスクレベルが互あるいは嶷な巌樋來の 1 つです。そして、ほとんどの XSS 巌樋來は、アプリケ`ションのg佩嶄にのみkFします。
僥び4哉ての嶽窃のアプリケ`ション?セキュリティ?テストを喘いる駅勣がある
Mにおけるサイバ`セキュリティのギャップが櫃砲覆栽は、サ`ドパ`ティの AST サ`ビスを旋喘してギャップにIする駅勣があるかもしれません。サ`ビスには、ビルドrの床議盾裂SAST、マニュアル?コ`ド レビュ`、QA/y栽テストでの啜張謄好硲DAST、ステ`ジングや云桑h廠へのデプロイrのペネトレ`ションテストを根む栽もあります。
ソフトウェアやアプリケ`ションが、偏祁のサ`ドパ`ティソフトウェア、オ`プンソ`ス、または芙坪で蝕kされたものであるかどうかにvSなく、さまざまなテストを怏み栽わせてg仏することで、ソフトウェアの之を俐屎し、屡岑の巌樋來を蒙協することができるのです。
The Software Vulnerability Snapshot
Continue Reading
AI を試喘したPolaris Assistでアプリケ`ションコ`ドの俐屎を互堀晒
2024 OSSRA レポ`ト坤`プンソ`ス?コンポ`ネントの硬いコ`ドのリスク
