A04:2021 – インシキュアデザイン OWASP：すべてを知る

インシキュアデザインとは何か、その影響とは

40種類以上のCWEに記載される脆弱性の一つであるインシキュアデザインは、アプリやソフトの設計段階での既知または未知の欠陥に起因して発生する脆弱性です。開発者は、コーディング工程におけるシフトレフトのアプローチを超え、Secure by Designの原則に沿った設計前の活動を取り入れる必要があります。 

インシキュアデザインの脆弱性は広範で、管理の不備や効果の低い設計といった多くの弱点を含んでいます。その意味を理解する際、設計の不備と実装の不備は大きく異なるものであることを把握することが重要です。

安全な設計であっても不適切な実装が発生する可能性があり、また、安全な実装であっても設計に欠陥があれば脆弱性が生じる可能性があります。

インシキュアデザインによって発生した問題は、実装の修正だけでは解決できません。この脆弱性の影響として、攻撃者は重要なデータを悪用し、重要な設定を操作し、さらにはアプリやソフトの安全性を損なう可能性があります。攻撃の強度によっては、管理者に近い権限が与えられることもあります。

‍

脅威モデリングとインシキュアデザイン

脅威モデリングは、インシキュアデザインの脆弱性に対抗するために広く利用されています。この手法は詳細な段階から実施され、データフローの変化や重要なセキュリティ操作の変動を探ることを目的としています。不具合の流れに関する仮定や条件を慎重に分析する必要があります。

‍

攻撃の例 

以下は、アプリの悪用や攻撃につながる可能性のあるインシキュアデザインの例です：

状況1 - 例えば、ある劇場がグループ予約を許可し、最大20件の予約で割引を提供しているとします。この条件に基づく処理の流れを巧妙に操作されると、実際には100件の予約が低料金で行われ、劇場に大きな損失をもたらす可能性があります。

状況2 - 『質問と回答』に基づく認証情報の回復プロセスが用いられている場合、質問と回答は十分な本人確認とはみなされず、攻撃者に狙われる設計上の欠陥となります。

状況3 - もしECサイトにボット対策が不足していれば、それは設計の欠陥となり、攻撃者がアプリを悪用する可能性があります。

‍

OWASPが推奨する予防策

設計の欠陥は適切に対処されなければ、多くのリスクを招く恐れがあります。そのため、早い段階から積極的な予防策を講じる必要があります。専門家が推奨する対策は以下の通りです。 

• 熟練のアプリセキュリティ専門家の協力を得て、安全なアプリまたはソフトの開発サイクルを構築してください。これにより、設計の欠陥の可能性を低減し、パフォーマンス向上が期待できます。
• いつでも安全な設計パターンライブラリからコンポーネントを利用してください。
• アクセス制御、主要な処理フロー、認証、及びビジネスロジックに関する脆弱性には、脅威モデリングが非常に効果を発揮します。 
• セキュリティに関する記述は、ユーザーストーリーにうまく組み込む必要があります。 
• 各処理フローの堅牢性を確保するため、ユニットテストや統合テストを実施してください。 
• ユーザまたはサービスごとのリソース消費は制限内に収める必要があります。過剰な消費はリソース枯渇や設計上の脆弱性を招く恐れがあります。 
• 必要な保護レベルやアプリの公開度に応じて、階層やテナントの分離を行ってください。 

‍

Wallarmはインシキュアデザインにどのように対応できるか

信頼性の高い包括的なAPIセキュリティプラットフォームであるWallarmは、インシキュアデザインの脆弱性リスクを低減するための多彩なソリューションを提供します。すべて自動化され、エンドツーエンドの支援を行えるため、手間をかけずに高度なAPIセキュリティが実現できます。以下は、Wallarmの注目すべき提案です。

• ‍自動化されたクラウドWAF

Wallarmは多くの脆弱性を防ぐための先進的なCloud WAFを提供しています。WAFは、サーバーレスなワークロード、API、マイクロサービスなど、あらゆる環境のリソースを守ることが可能です。主要なAPIプロトコルに対応しており、幅広いサポートが受けられます。 

DNS設定など、簡単な設定変更だけでツールが稼働するため、誰でも利用しやすい設計です。さらに、ほぼ誤検知が発生せず、より正確な検出が期待できます。 

WallarmがWAFに採用した最先端のlibDetectionとコア署名型攻撃検出技術により、その効果は一層高まっています。現時点でエンドツーエンドの自動インシデント分析が可能な唯一のWAFです。総じて、このツールにより最適なAPIセキュリティが実現されます。

• ‍GoTestWAF

GoTestWAFは、アプリセキュリティ専門家向けにWallarmが提供するもう一つの技術的傑作です。APIおよびOWASPの脅威検出シミュレーションを行い、早期の脆弱性発見を可能にします。また、開発者がテスト用に目的に沿った悪意あるコードを作成できるため、攻撃者に先んじて設計の欠陥を見つけ出し、修正するのに役立ちます.

• ‍APIセキュリティプラットフォーム

検知からテストまで、WallarmはAPIセキュリティの専門家をあらゆる局面で支援します。あらかじめ設計された統合型のAPIセキュリティツールは、API、マイクロサービス、アプリでの設計変更を追跡可能にします。脆弱性が発見されれば防御策を講じることもでき、あらゆる問題を未然に防ぐ手助けをします。

‍A04:2021 インシキュアデザイン（OWASP 2021の脆弱性）とその影響について、すべてご理解いただけたことを願っています。OWASPおよびWallarmの専門家が提案する予防策に従うことで、安全対策がしやすくなります。