CISOがWebアプリケーションのセキュリティを確保するための4つのヒント：セキュリティ責任者に送るヒント集（1）

昨今のデジタルでつながった世界では、「Webアプリケーションが世界を動かす」と言っても過言ではありません。新しいECサービスの立ち上げから遠隔医療ポータルの展開に至るまで、Webアプリケーションはあらゆるビジネス部門や環境に不可欠なものとなっています。本稿では、CISOがWebアプリケーションのセキュリティを確保するための4つのヒントを紹介します。

Webアプリケーションのセキュリティ確保における課題

　Webアプリケーションには膨大な数があり、その安全性を確保することが課題となっています。開発者は常に複雑化するビジネス機能やアプリケーションを構築しており、組織によっては、1日に何度も新しいWebアプリケーションの更新やリリースを行っています。英国のインターネットサービス企業Netcraftの調査によると、現在世界中で20億近くのWebアプリケーションが存在しており、犯罪者に悪用されるリスクの高い脆弱（ぜいじゃく）性が数百億個存在しているそうです。

　またロシアのサイバーセキュリティ企業Positive Technologiesが2019年に行った調査では、Webアプリケーション1つにつき平均33個の脆弱性があることが分かりました。脆弱性のまん延は、クラッカーに格好の攻撃機会を与えており、セキュリティチームは対応に苦慮しています。

　この問題は、「異なるクラウドやITプラットフォームなど、複数のツールで設計されたアプリケーションのセキュリティをいかに確保するか」という課題とともに、さらに深刻化しています。しかし、ほとんどの組織では、ビジネスで使用されているクラウドベースのWebアプリケーションの数が過小評価されています。また一部の組織では、セキュリティチームがこれらの脆弱性を評価して修正する技術的なスキルを持っていないこともあります。

　Enterprise Strategy Groupの調査によると、アプリケーションセキュリティにおける、サイバーセキュリティスキルは最も不足しており（32％）、ほとんどのソリューションは非常に技術的で使いにくいものであるといいます。多くの場合、100対1の比率で開発者の数が圧倒しており、セキュリティチームは人員不足に陥っています。セキュリティスキルとリソースの不足により、多くの組織が、Webアプリケーションをサイバー脅威から適切に防御できずにいます。

　Webアプリケーションは、その開発者によって保守されており、脆弱性が広く公開されることは一般的ではないため、従来の脆弱性と異なり、WebアプリケーションにおいてCVE（Common Vulnerabilities and Exposures）評価は用いられません。従って、これらの「未知」の脆弱性についてテストする他の手段が必要となります。そして、内部のセキュリティチームと開発チームが協力して、設定やコードの問題などのリスクを特定し、これらの脆弱性を修正できるようにしなければなりません。

CISOがWebアプリケーションのセキュリティを確保するための4つのヒント