San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
閉じる
プライバシー設定
ウェブサイト運営に必要なCookieや類似技術を使用しています。追加のCookieは貴社の同意がある場合のみ利用されます。同意は「Agree」をクリックすることでいただけます。どのデータが収集され、どのようにパートナーと共有されているかの詳細は、Cookieポリシープライバシーポリシーをご確認ください。
Cookieは、貴社デバイスの特性や、IPアドレス、閲覧履歴、位置情報、固有識別子などの特定の個人情報を取得、解析、保存するために使用されます。これらのデータは様々な目的で利用されます。分析Cookieによりパフォーマンスを評価し、オンライン体験やキャンペーンの効果向上に役立てます。パーソナライズCookieは、利用状況に応じた情報やサポートを通じ、貴社専用の体験を提供します。広告Cookieは、第三者が貴社のデータをもとにオーディエンスリストを作成し、ソーシャルメディアやネット上でのターゲット広告に使用します。貴社は各ページ下部のリンクから、いつでも同意の許可、拒否、または撤回が可能です。
ご送信ありがとうございます。内容を受け付けました。
申し訳ありません。フォーム送信時にエラーが発生しました。
Wallarm
/
Wallarmラーニングセンター
/
A08:2021 OWASP – ソフトウェアとデータ整合性の失敗
OWASP, API Security, Vulnerabilities

A08:2021 OWASP – ソフトウェアとデータ整合性の失敗

現代のデジタル社会では、ソフトウェアやアプリに囲まれている。日常のあらゆる個人および業務の作業において、アプリやソフトウェアがサポートしてくれる。しかし、実際の有用性は一概に高いとは言えない。

十分なAPIセキュリティ対策で守られていなければ、利用するアプリやソフトウェアはハッカーが貴社に接近する手段となる。そのため、39秒ごとにサイバー攻撃が発生しているのだ。

広く認知されているOWASP Top 10は脅威について啓発しており、最近リストが更新された。最新の脆弱性であるA08:2021は、すべてのソフトウェア利用者が把握すべき内容だ。詳しく見ていこう。

A08:2021 OWASP – ソフトウェアとデータ整合性の失敗

脆弱性の概要

A08:2021は最新の脆弱性で、現代のソフトウェアやアプリがもたらす顕在および潜在の危険性について語る。

「ソフトウェアとデータ整合性の失敗」とも呼ばれるこの脆弱性は、重要なCI/CDパイプライン、データ管理、そしてソフトウェア更新の整合性に関する前提条件について述べる。要するに、最適な検証や認証を行わずにソフトウェア、アプリ、または重要なデータを利用すると、さまざまな脅威が近づくということだ。A08:2021はそのすべてに対処する。

認証手続を省くと、ハッカーなどが制限されたアプリやソフトウェアへ正規のアクセスを得る機会が生まれる。その後、悪意あるコードの注入、データ窃盗、さらにはアプリ・ソフトウェアの運用制御といった混乱を招く恐れがある。

攻撃の例

A08:2021に見られる一般的な例は次のとおりだ:

  • エンドユーザー更新時に署名が行われない場合

多くのアプリやソフトウェアには自動更新機能が備わっているが、デジタル署名による利用者確認が行われていない場合がある。署名されない更新は、攻撃者が対象システムやソフトウェアを改ざんする機会を与える。この問題は深刻で直接的な解決策はなく、将来のバージョンでの修正が唯一の対策となる。

  • 安全でないデシリアライズの発生

ReactアプリがSpring Bootマイクロサービスを利用する際、プログラマーがコードの不変性を確保するためにユーザーステートのシリアライズを行うが、これが不十分だと攻撃者が「r00」というJavaオブジェクトの署名を容易に特定できる。Java Serial Killerツールを用いれば、攻撃者は遠隔からコード実行を行う可能性がある。

Examples of Attacks
Examples of Attacks
  1. ハッカーが組織の安全でないCI/CDパイプラインを突き、悪意あるコードを本番環境に導入する。
  2. 貴社の顧客が、気づかぬうちに組織の代替サーバから悪意あるコードをダウンロードする。
  3. 悪意ある代替サーバが顧客環境に接続し、ハッカーがそれを利用して顧客ネットワークへ侵入する。

防止策

この脆弱性は想像を超える被害をもたらす可能性があるが、継続的な監視、有効なツールや技術の活用、最適な認証・検証手法の導入によって大きな効果が得られる。

A08:2021に対する有効な防止策は以下の通りだ:

  1. 認証 

提供されるソフトウェアや重要なデータが信頼できるものであることを確認するため、デジタル署名を利用する。

  1. ユーザーレベルの制限

アプリやソフトウェアで利用される依存関係やライブラリは、検証済みのリポジトリを使用し、アクセスを制限することが重要だ。リスクの高い利用者については、内部で厳重に管理されたリポジトリを使用することが推奨される。

  1. テスト

ソフトウェアやアプリ作成に用いられるコードは、開発段階や設定変更時に十分なテストを行い、コードの安全性を高めることで、OWASP Top 10 2022におけるA08:2021のリスクを低減できる。

  1. ソフトウェアチェーンの安全性支援ツールの利用

OWASP CycloneDXやOWASP Dependency-Checkなどのツールを活用することで、アプリやソフトウェアのコンポーネントに脆弱性がないか確認できる。

  1. パイプライン展開の標準に従う

ソフトウェアやアプリの開発に使用されるCI/CDパイプラインは、適切な分離、アクセス制御、設定が施されるべきだ。これにより、開発から実行までコードの一貫性が保たれる。

  1. 全データの暗号化と検証

暗号化や検証がされていないデータが、許可されていない相手と共有されないようにすることが非常に重要である。共有前にすべてのデータに十分な整合性チェックを実施するか、デジタル署名で証明する必要がある。この対策により、データの改ざんや再送信などの事象を早期に発見できる。

Wallarmはソフトウェアとデータ整合性の失敗にどう役立つか?

Wallarmは、REST、gRPC、GraphQLなど主要なAPIに対応した、効果的なエンドツーエンドAPIセキュリティソリューションを提供するオンラインプラットフォームだ。サイバーセキュリティの向上とソフトウェアおよびデータ整合性の失敗の影響低減に向けた、多角的な防止策を提案する。

機能豊富なCloud WAF、高機能なAPIセキュリティ・脅威防止プラットフォーム、そして技術的に優れたAPIおよびOWASP脆弱性攻撃シミュレーションツールで構成される。

Cloud WAFを利用すれば、サーバーレスのワークロードやAPIを簡単に守ることができる。最適なCDNの恩恵を受け、誤検知をほぼゼロに抑え、PCI DSS準拠の支援も行う。アカウント乗っ取り、APIの乱用、設定ミスなどの攻撃を早期に防止できる。

WallarmのエンドツーエンドAPIセキュリティ・脅威防止プラットフォームは、包括的なサイバー防御に必要なすべての機能を備えている。初期段階で問題を検知し、適切な防御策で対処、さらにセキュリティ対策の効果を検証できる。優れたAPI連携機能により、あらゆるエコシステムで各種APIのテストが可能だ。

GoTestWAFは、APIの安全性を検証し、潜在的な脆弱性を見つけるのに役立つ。高度なシミュレーションにより、現実に近い環境でAPIのテストを実施でき、必要に応じた悪意あるコードをAPIやシステムに挿入して防御力を確認する。各種APIプロトコルに対応しており、APIの安全性向上を目指す場合には欠かせないツールだ。

FAQ

Open
OWASPとは何か、ソフトウェアとデータの整合性の失敗にどう関係しているのか
Open
大規模なデータ流出を引き起こしたソフトウェアとデータの整合性の問題の例は何ですか?
Open
一般的なソフトウェアやデータの整合性の不備にはどのようなものがある?
Open
ソフトウェアとデータの整合性の問題を防ぐにはどうすればよいか?
Open
ソフトウェアとデータの完全性における不備についてもっと知るにはどうすればいい?

参考資料

最新情報を購読

更新日:
February 25, 2025
学習目標
securing apps on aws with wallarm
ウェビナー
March 13, 2025
Secure Your AI: Protecting Agentic AI in an API-Driven World

Learn how to protect your AI ecosystem and ensure business continuity with actionable insights from Wallarm Security Lab

Register now
最新情報を購読
購読
著者 |
認定エキスパート
StepanはPython、Java、C++に精通したサイバーセキュリティのエキスパートです。セキュリティフレームワーク、各種テクノロジー、製品管理に関する深い理解を持ち、堅牢な情報セキュリティプログラムを実現しています。CI/CDやAPI、アプリのセキュリティにも精通し、機械学習やデータサイエンスを活用して新しいソリューションを生み出しています。セールスや事業開発の戦略的洞察とコンプライアンス知識をあわせ持ち、変化の激しいサイバーセキュリティの分野でWallarmの成功を支えています。
レビュー担当 |
認定エキスパート
サイバーセキュリティ分野で10年以上の経験があり、システムエンジニアリング、セキュリティ分析、ソリューションアーキテクチャに精通しています。Ivanは各種オペレーティングシステム、プログラミング言語、データベース管理の幅広い知識を有しています。さらに、スクリプト作成、DevOps、ウェブ開発にも対応できるため、多才で高度なスキルを備えた専門家です。Bughunterとして、Google、Facebook、Twitterなどの大手テック企業で活躍し、Blackhatの講演も行っています。
関連トピック
<