#FlattSecurityMagazine

セキュリティとプロダクト開発の今を伝えるメディア

2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く(前編)】



Log4shellやSpring4Shell、Okta、LastPassなど重要度の高いサービスでインシデントが起き、Apaceh Log4jにおいて深刻度が高い脆弱性が見つかるなど、セキュリティに関する話題が尽きなかった2022年。その状況を踏まえて、新年から新たな目標や取り組みに向けて動き出した企業・組織も多いのではないでしょうか。

プロダクト開発・運用の現場では2022年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。SaaS・OSSの自社開発を行う9社に所属する開発エンジニア・セキュリティエンジニアの方々に見解を伺いました。2週連続・前後編でお届けします!

今回コメントをいただいた方々(社名五十音順・順不同)

前編(本記事)

  • Aqua Security Open Source Team 福田鉄平さん
  • カンム 金澤康道さん
  • グラファー 森田浩平さん
  • Finatextホールディングス 取締役CTO/CISO 田島悟史さん


後編

  • サイボウズ 開発本部 PSIRT
  • SmartHR セキュリティグループ 岩田季之さん
  • メルカリ Security Engineering Team Manager  Simon Girouxさん
  • Ubie 水谷正慶さん
  • LayerX 鈴木研吾さん

flatt.tech

質問項目

今回は、以下の項目についてコメントをいただいています。

  • プロダクト開発・運用に関するセキュリティ分野で、2022年に取り組んでよかったこと
  • 2022年一番印象に残ったセキュリティニュース
  • プロダクト開発・運用に関するセキュリティ分野で、2023年に取り組みたいこと・注力したいこと
  • プロダクト開発・運用組織が2023年に意識すべきセキュリティトレンド

Aqua Security 福田鉄平さん

ブログ:https://knqyf263.hatenablog.com/
Twitter:@knqyf263
コーポレートサイト:https://www.aquasec.com/

2022年に取り組んでよかったこと

SaaSではなく私の開発するTrivyというOSSの話にはなりますが、CSPM (Cloud Security Posture Management) やKSPM(Kubernetes Security Posture Management)など脆弱な設定を検知する機能をリリースできたのは良かったです。クラウドの普及によりインフラ構築が容易になる一方で、設定ミスによるセキュリティインシデントへの危機感を各企業が募らせており、これらの機能はコミュニティに好意的に受け止められました。

blog.aquasec.com

blog.aquasec.com

また、Spring4Shell(CVE-2022-22965)などの脆弱性が話題になる中でSCA(Software Composition Analysis)ツールの限界が指摘されました。具体的には、脆弱性の影響を受ける条件が複雑な場合に正しく検知するのが難しい、という問題です。それに対する打ち手として、WebAssemblyによる動的な脆弱性検知機能を実験的にリリースできたのも良かったです。各脆弱性に応じた複雑な判定ロジックを実装して、動的にモジュールとして読み込むことが出来ます。

2022年一番印象に残ったセキュリティニュース

個人的に面白かった脆弱性はDirty Pipe(CVE-2022-0847)です。最初あまり理解できなかったのですが、Linuxのコード読んだり報告者に質問したりして理解できたときは「なるほど!」となってすっきりしましたし、未だにこんなに簡単にroot権限に昇格できる脆弱性が見つかるんだなと驚きました。

knqyf263.hatenablog.com

あとは、上述したSpring4Shell(CVE-2022-22965)は脆弱性の原理が面白かったわけではないのですが、脆弱性スキャナーの様々な問題を浮き彫りにした脆弱性だったという点で印象に残っています。

2023年に取り組みたいこと・注力したいこと

次の回答にて後述していますが、ソフトウェアサプライチェーンセキュリティ(SSCS)の注目度が2023年はより高まると考えているため、我々も注力したいと考えています。ただし、SSCSはやや話題が先行しすぎていて、実用段階まで来ているかというとやや疑問が残る状態なので、新しいことに取り組みつつも実際にセキュリティ向上に寄与できる機能をきちんと開発するという点も大事だと考えています。その中で、特にやりたいと考えていることを2つ紹介します。

近年SSCSコミュニティの中では、ビルド時の情報取得を強化する流れがあります。最近はSoftware Bill of Materials(SBOM)が話題ですが、現時点ではビルド後のコンテナイメージやバイナリに対してSBOMを生成しようとするセキュリティ製品が多いです。しかし、ビルド後というのは情報が欠落した状態であり、必要な情報を正確に取得するのは難しいです。提供されたラーメンから具材を全て判別するのが難しいのと同じです。しかし厨房に行けば具材を正確に把握することができます。同様にビルド時にSBOMを生成し、生成されたバイナリ等と正しく紐付けることでより正確な脆弱性スキャンなどが行えると考えており、こちらは2023年に取り組む予定です。

ビルド時の情報取得はSBOMへの活用に限った話ではなく、ソースコードの静的解析を行い、実際に呼ばれているライブラリの関数を把握した上で脆弱性の影響有無を判定する試みも行われ始めています。こちらも脆弱性検知結果のノイズを減らす上で大変有用なので取り組みたいと考えています。

2023年に意識すべきセキュリティトレンド

2021年5月に発令された米国大統領令EO 14028の中で取り上げられたソフトウェアサプライチェーンセキュリティ(SSCS)が近年注目を集めています。具体的にどのようにSSCSを向上するかという内容はNational Institute of Standards and Technology (NIST) の出したガイダンスに定義されていますが、連邦政府機関の使用するソフトウェアはこれらに準拠することが求められます。

csrc.nist.gov

www.nist.gov

米国行政管理予算局(OMB)により発表された覚書によると2023年9月までに上記を達成する必要があり、2023年はよりSSCSの注目が高まると考えています。

https://www.whitehouse.gov/wp-content/uploads/2022/09/M-22-18.pdf

ソフトウェア開発者はNISTガイダンスに準拠していることを証明する必要があったり、要求に応じてSBOMや脆弱性スキャンの結果を提出する必要があるため、SaaS開発者に限った話ではないですが、SSCSの動向に気を配っておくと良いのではないかと考えています。連邦政府機関以外にも一般企業がこれらの流れに追従することは十分考えられます

カンム 金澤康道さん


ブログ:https://liva.hatenablog.com/
Twitter:@s_liva
コーポレートサイト:https://kanmu.co.jp/

2022年に取り組んでよかったこと

  • プロダクトの脆弱性診断

ソースコード、API、モバイルアプリ、管理サイトを含めたカンムが提供しているプロダクト全体の脆弱性診断を行った。あらゆる角度から脆弱性を確認したかったため、グレー寄りのホワイトボックス診断とブラックボックス診断を実施した。歴史の積み重なったプロダクトに存在していた脆弱性を洗い出し、現状の確認をすることができた。意外な指摘事項が複数検出されたことも含め、実施してよかったと思う。

2022年一番印象に残ったセキュリティニュース

  • Cloudflareのスミッシング被害防止

スミッシングの防御施策としてMFAだけでは万全ではないことを示してくれ、同時にyubikeyを利用することで防御策となる1つの形を示してくれた。認証にyubikeyを利用できるようにしていこうという機運が生まれた。

  • ソフトウェアリポジトリ内のライブラリ不正改ざん

サプライチェーンセキュリティに対して悠長にしていられないという危機感、プロダクトで使用している各種ライブラリの把握と管理を早急に進めていく必要があると感じた。「プロダクトで使用している大部分のライブラリはOSSであり、それが安全だということを盲目で信じてはいけない、自分たちのプロダクトは自分たちで守る必要がある」という認識を改めてすることになった。

2023年に取り組みたいこと・注力したいこと

2023年に取り組もうと思っているのは以下の2つです。

  • PCI DSSの運用省力化

カンムでは、PCI DSSに準拠していることを証明するために毎年監査を受けている。

この監査を受けるにあたって手作業で証跡を集めるプロセスがあり、運用に負荷がかかってしまっている。

OPA/Regoでポリシーが継続的に守られていることを証明するなどして、監査対応におけるトイルを減らしていきたいと考えている。

  • セキュリティパイプラインの整備

全てのリポジトリに共通のCIパイプラインを用意し、そこで全てのセキュリティチェックを行うようなものを考えている。

現在は各リポジトリでセキュリティ水準が統一されていないため、全てのチェックを集約し同一水準のセキュリティを担保することを目的にしている。

将来的には、各セキュリティツールが出力したJSONをOPA/Regoで記述したポリシーに入力するようなことも計画している。

2023年に意識すべきセキュリティトレンド

  • 脆弱性管理

これには脆弱性だけではなくプロダクトに関わるすべてのリソースの管理も含まれる。

まずはリソースに存在する脆弱性を洗い出しリスト化する。検出された各脆弱性は組織のルールに従い優先順位付け(トリアージ)を行い、結果に応じて脆弱性に対処していくことが大切になると考えている。

グラファー 森田浩平さん

ブログ:https://blog.ssrf.in/
Twitter:@mrtc0
コーポレートサイト:https://graffer.jp/

2022年に取り組んでよかったこと

2022年中に所属が変わったため、個人での取り組みになりますが、「BPF によるセキュリティモニタリング」は一つのソフトウェアとして成果を出せたので良かったと思います。

近年流行しているソフトウェアサプライチェーン攻撃に対して、署名や検証を使ったアプローチが取られることが増えてきていますが、多層防御の観点では CI / CD 上のネットワーク制限も実施する必要があると考えました。しかしながら、テストやデプロイに必要なパッケージがインストールされるなど、様々な外部通信が発生するそのような環境では、従来の iptables のような仕組みでは Allow List の運用が難しいという課題がありました。そこで、BPF と LSM を使ってコマンド名などの「通信を発生させたプロセスのコンテキスト情報」をもとに通信を記録・遮断できるbouhekiというソフトウェアを作りました

PoC 段階のソフトウェアではありますが、bouheki を作っていくなかで、BPF 自体の仕組みの理解が進んだだけでなく、BPF ベースのセキュリティモニタリングソフトウェアによる監視をバイパスする方法などを考察できたのも良かったと思います。

2022年一番印象に残ったセキュリティニュース

他社のセキュリティインシデント、特に機密性の高いデータを保管しているサービスの提供元であるOktaやLastPassなどのセキュリティインシデントは印象に残っています。このようなサービスでセキュリティインシデントが発生すると、単一障害点となるケースが多いですし、攻撃者としても効果的なターゲットだと思います。利用している外部サービスの監査ログの監視やインシデント発生時の準備の重要性を改めて感じることとなりました。

2023年に取り組みたいこと・注力したいこと

行政領域では「地方公共団体における情報セキュリティポリシーに関するガイドライン」や「地方公共団体情報システム非機能要件の標準」を始めとした、様々な非機能要件のガイドラインが存在します。

それらのガイドラインや業界標準とされる各種ベストプラクティスのほか、開発プロセスを含めたプロダクト全体に対する脅威モデリングの結果をもとに、プロダクト独自のセキュリティベースラインを作成し、継続的な対策を進めていく予定です。

ガイドラインなどのチェックリストによる監査は一定の効果はありますが、プロダクトのアーキテクチャを俯瞰すると、それだけでは網羅性が担保できないと感じています。また、各種監査項目が実施できているかテスト可能な形で提供されるのが望ましいと考えています。そのような背景もあり、プロダクトの特性に合わせたチェックリスト + 脅威ベースのベースラインの作成と監査に取り組むつもりです。

2023年に意識すべきセキュリティトレンド

オープンソースエコシステムのセキュリティについては、引き続き動向を追いかける必要があると考えています。特に OpenSSF による取り組みは様々で、Secure Open Source Rewards SOS Rewardsのようなセキュリティに取り組んだ開発者にも金銭的な報酬を与えるスキームも登場しました。

利用者と開発者の双方の視点で、どのようなプラクティスを実践していくべきなのかを見直していかねばと思っています。

Finatextホールディングス 田島悟史さん

ブログ:https://blog.s-tajima.work/
Twitter:@s_tajima
コーポレートサイト:https://hd.finatext.com/

2022年に取り組んでよかったこと

弊社はマルチプロダクトの会社であり、多くのサービスを提供しています。それ故に、管理しているリポジトリの数もとても多く、その数は数百にわたります。そんな数百あるリポジトリの設定状況や健全性を効率的に管理できる仕組みを整備しました。あらかじめ指定したルールに基づきリポジトリをチェックし、反する状態になっていたらアラートが飛ぶような仕組みになっています。もちろん将来的にはSaaSを使うことも視野に入れていますが、今回はまず自分たちにとって必要なものだけをミニマムに実装しました。

2022年一番印象に残ったセキュリティニュース

Wiz等のクラウドセキュリティ企業の台頭が印象に残りました。 $100M ARR in 18 monthsにも書かれている通り、ものすごい早さで成長しています。

AWSやGCP等のクラウドベンダーも、SecurityHubやSecurity Command Centerのようなサービスを提供していて、サードパーティのセキュリティツールがここまで広く使われるようになることは予想していませんでした。一方で、これらの企業についてよく調べてみると、クラウドサービスのクリティカルな脆弱性をいくつもレポート(例: PostgreSQL vulnerabilities affect multiple cloud vendors) しているなど、エンドユーザー視点での表面的なセキュリティの保証だけでなく、クラウドの基盤のセキュリティ改善にも貢献するような素晴らしい企業だと認識を改めました。

2023年に取り組みたいこと・注力したいこと

バグバウンティの実施を考えています。弊社は、金融やビッグデータ領域で事業を展開しているという性質上、当然脆弱性診断やペネトレーションテストは定期的に実施していますが、それとは別に新たな角度からのセキュリティ改善ができるようになることを期待しています。海外ではHackerOneBugcrowdといったプラットフォームで数々の会社・サービスがプログラムを公開していますが、日本ではまだまだ事例が少ないと感じています。弊社でプログラムを公開した際には、1つの事例として他の会社の参考になるような情報発信ができればと考えています。

2023年に意識すべきセキュリティトレンド

「SaaSプロダクトの開発・運用する組織に向けて」という意味だと、マルチテナント実装の多様化に関心があります。パブリッククラウドの機能の進化により、今までは考えられなかった手法でのデータ分離・アクセスコントロールが可能になってきています。先日のre:Inventでも「Build scalable multi-tenant databases with Amazon Aurora」「SaaS microservices deep dive: Simplifying multi-tenant development」「Optimizing your multi-tenant SaaS architecture」といったように例年より多くのマルチテナントに関するセッションがありました。

まとめ(Flatt Security CTO 米内貴志)

ブログ:https://diary.shift-js.info/
Twitter:@lmt_swallow
コーポレートサイト:https://flatt.tech/

前編では様々な立場・領域(OSS 開発/FinTech/GovTech)で活躍する方からのコメントをご紹介しました。コメントの中には、領域固有の制約からくる取り組み・展望もあれば、領域や組織を問わない「共通項」があるようにも見受けられますね。とくに、2022年の取り組み・2023 年への展望の「共通項」としては、以下の 2 点が浮かび上がってきます:

  • (1) 「プロダクトセキュリティの実践のためのピース」の着実な増加
  • (2) 「プロダクトに関連するリソース/資産に対するガバナンス」への関心の高まりと、それを解決するためのエンジニアリングの進展

(1) は、世界の多くのチームを下支えするTrivyの進化(福田さま)、データ分離・アクセスコントロール手法の成長(田島さま)、BPF ベースのアプローチの検討(森田さま)などの形で回答中に登場している点です。その他OpenFGASpiceDBAmazon Verified Permissionsなど、認可制御に関する製品の進展が見られたのも 2022 年でした。「プロダクトセキュリティの実践のためのパズルのピース」とも呼べるものが着実に成長してきた 1 年だった、と言えます。嬉しいことですね。

(2)の進展に関しては、福田さまのご回答を始めとして各所で言及されている、ソフトウェアサプライチェーン領域への関心の高まりによる部分が大きいものと推察します。

そもそも、元来パブリッククラウド上のリソース/資産の管理は推進されてきた点ではありました。一方、自社プロダクトが依存するライブラリや SaaS を経由した侵害が現実味を帯びてきたことで、リソース/資産の管理は自社プロダクトが依存するあらゆるモノ(ライブラリ・ツール・サービス・…)に対して進めるべきということが強調されたのではないでしょうか*1。2022年は「ソースコードから、動作環境(例: AWS 上のリソース)上での動作に至るまでの一連の流れ全体を、どう安全に保つか」という包括的な目線が強化された 1 年だった、と言ってもいいかもしれません。

一方、より多くのリソース/資産を管理し、よいガバナンスを実施するためには、より効率的かつ柔軟な手法が必要になってきます。AWS のリソースリストを CSV に吐き出して共有してもらって、スプレッドシートで管理して、…なんて面倒なことは避けたいものですよね。これを踏まえると、OPA/Regoを用いたPolicy as Codeの取り組み(金澤さま)や、Trivyにおける WebAssemblyプラグインの導入(福田さま)に見られるような、円滑なリソースの把握・検査・ガバナンスのためのエンジニアリング手法の継続的な発展が期待されるのではないでしょうか*2


後編では、以下の方々のコメントをご紹介しています。ぜひご覧ください!

  • サイボウズ 開発本部 PSIRT
  • SmartHR セキュリティグループ 岩田季之さん
  • メルカリ Security Engineering Team Manager Simon Girouxさん
  • Ubie 水谷正慶さん
  • LayerX 鈴木研吾さん

    flatt.tech

(編集/寺山ひかり)

*1:プロダクトセキュリティに限らず、資産の適切な管理は事業運営・セキュリティの強化のための重要な論点ですね。

*2:「開発者のための次世代セキュリティサービスを届け、世界中のプロダクト開発を加速する」と標榜するわたしたち Flatt Security としても、そのようなエンジニアリングを支えるPolicy as Codeプラットフォームの開発に取り組んでいます。これについては、また別の機会にご紹介させてください。