コードのセキュリティ：アプリケーションセキュリティに関するGDPRのベストプラクティス

「人は何を食べるかで決まる」という格言があります。しかしそれはもはや古い時代のものです。 今日、「人は主にオンラインで何をするかによって決まる」のです。

年齢、性別、何を売買するか、どこに行くか、誰を見るか、何をソーシャルメディアに投稿するか、何を勉強するか、信念は何か、何を着るか、どのような運動をするか、健康状態、関係、働く場所はどうか、人類の歴史の中でこれまで以上に詳細に個人のプロフィールを構成できる「デジタルなパンくず」によってこれらの情報を得ることができます。たとえば、

人はその人のデータそのものでもあります。 データが非公開でない場合、プライバシーはありません。 そのために、各国のデータプライバシーデーは毎年1月28日に設定されています。

このイベントは、2007年に「データ保護の日」として欧州で始まり、2年後に米国で現在の名前になりました。10年以上の間、データ収集がどれほど広範で煩わしいものであるかについての認識が高まった結果、世界中で約130のデータプライバシー法の制定を後押しすることになりました。

この日は、個人のプライバシーの状況についても活発な議論が行われます。 適切なプライバシー保護が実施されていると主張する人もいれば、プライバシーが今ほど悪くはなかったと主張する人もいますが、民間と公共の分野のじうれからも「監視の黄金時代」との声が上がっています。

データ管理に関するGDPRのベストプラクティス

ほとんどの企業はデータを収集して利用していますが、データセキュリティ業務に直接携わっているわけではありません。つまり、一連のベストプラクティスを利用する余地があります。

シノプシス ソフトウェア・インテグリティ・グループのシニア・セールスエンジニアであるIan Ashworthがその基本を示した簡単なリストを紹介します。
 

データを分類する

すべてのデータが同じわけではなく、組織、競合他社、攻撃者にとっての価値も等価ではありません。「データの安全を保つための第一歩は、データを分類することです」とAshworthは言います。「これは、あらゆる情報セキュリティプログラムの基本です。データの安全を維持するにはコストがかかる場合があるため、データを分類することで、支出を適切な割合で、効率的かつ妥当に配分できます。」

分類は、データに関するCIAトライアド（機密性、完全性、可用性）の機密性の要素にも直接焦点を当てています。

データの分類に役立つ優れたツールとして、個人識別情報（PII）の検出に役立つメタデータ（データに関するデータ）があります。Ashworthは制限付き、機密、極秘といった大分類から始めることを勧めています。

「そこから、支払いカードなどの個別の属性やフィールドに注目して分類すると特有のデータパターンが見つかります。また、メタデータを利用して、フィールドに適切で正確な名前を付け、PIIに分類したりすることができます」と彼は言います。
 

データ利用ポリシーを策定する

これにより、特定のデータにアクセスできるユーザーと、その目的に関する条件を設定します。このアクセス権は最小権限に基づいて付与する必要があります。仕事に不要な情報にアクセスする必要はありません。

「Webサイトは、データ表示の目的で、データへの読み取り専用アクセスを必要とする場合があります」とAshworthは言います。「編集や変更を行うには、所有者がアカウントに登録している電話番号の変更を希望しているなどの理由が必要です。このような高レベルの編集管理は、アカウント所有者とシステム管理者のみに許可することも考えられます。

こうした管理は、契約で定めたり、個人の電子IDに基づく認可によって強制することもできます。

「特定のデジタルリソースへのアクセス制御の評価を指すサイバーセキュリティ用語に、一般的な頭字語であるAAA（認証、認可、アカウンティング）があります」とAshworthは言います。
 

データを暗号化する

「セキュリティ層は不正ユーザーの好奇の目からの保護に役立っていますが、最も重要な対策は暗号化です」とAshworthは言います。

また、暗号化を効果的に行うためには、保存データと移動中のデータの両方に厳格で広範な暗号を適用する必要があり、そのためには、データを保存先と転送先の両方にマップする必要があります。どこにあるかわからない資産を保護することはできません。

暗号化によって、CIAトライアドの2番目の要素であるデータのインテグリティも確保できます。ハッシュアルゴリズムは、リバースエンジニアリングや攻撃が難しく、侵害された組織にデータが変更されたかどうかを知らせることができます。

「データがそのようなハッシュアルゴリズムを介して渡され、ハッシュが独立して保存されていれば、元のテキストが変更された場合に別のハッシュが生成され、保存された元のテキストとは異なるものになったことが確認されます」とAshworthは言います。

暗号化を適切に行えば、組織が侵害され、データが危殆化した場合でも、攻撃者の役には立ちません。

これには、ソフトウェア開発ライフサイクル（SDLC）全体を通じて複数のツールとプロセスを使用する必要があります。

• チームがアプリケーションやその他のソフトウェア製品の構築を開始する前に設計上の欠陥を排除するために役立つアーキテクチャ・リスク分析と脅威モデリング。
• ソフトウェアの作成および構築中に、保存中、実行中、および外部入力と通信中のコードに潜むバグなどの欠陥を発見できる静的、動的、インタラクティブな解析によるセキュリティテスト。
• オープンソース・ソフトウェア・コンポーネントに潜む既知の脆弱性やライセンスの競合の可能性を検出するソフトウェア・コンポジション解析。
• 不正な入力があった場合のソフトウェアの反応を明らかにすることができるファジングテスト。
• ハッカーを模倣して、ソフトウェア製品がデプロイされる前に残っている弱点を発見できるペネトレーションテスト（および「レッドチーム」）。

ソフトウェアが起動して実行された後の継続的な要件は、ソフトウェアのセキュリティを維持することです。その方法として以下が挙げられます。

• ソフトウェアを最新の状態に保つ。これにはソフトウェアの追跡が含まれます。セキュリティにおいては、「所有していることに気付いていないものを守ることはできない」という標語があります。ですから、ソフトウェア部品表（SBOM）を管理し、セキュリティパッチと更新プログラムが利用可能になった時点ですぐに適用することをお勧めします。
• 環境を保護する。組織の目標達成に役立つ最適なテンプレートの1つに、シノプシスの「Building Security In Maturity Model」（BSIMM）があり、主に9業種を代表する多数の企業のソフトウェアセキュリティ対策（SSI）（最新で130組織）を追跡する年次報告書です。「ソフトウェア環境」のセクションでは、セキュリティの成熟度が高い企業のSSIには以下の事項が含まれていることがわかりました。
  • アプリケーションの入力を監視している。これは組織に対する攻撃の発見に役立ちます。Webコードの場合は、Webアプリケーションファイアウォール（WAF）を使用できますが、他の種類のソフトウェアでは実行時インストルメンテーションなどの他の方法を使用する必要がある場合が多くなります。
  • ホストおよびネットワークセキュリティの基本事項が実施されていることを確認する。レポートに記載されているように、「ネットワークセキュリティを実施する前にソフトウェアセキュリティを設定するのは、本末転倒です。」
  • コードの整合性を保護する。重要なコードを実行できるようにする前に、その来歴、整合性、および認証を証明できます。いわば、車を始動する前に安全に運転できることを確認するということです。
  • アプリケーションコンテナを使用している。コンテナを使用することで、セキュリティ管理策を簡単に適用でき、整合性のある方法で更新できます。
  • アプリケーションの動作監視および診断を使用する。これにより、悪意のある動作の兆候、不正行為、関連する問題などのソフトウェア固有の問題を示す誤動作や攻撃の兆候を検出します。BSIMMによると、「アプリケーションレベルでの侵入の検知や異常検出システムは、アプリケーションとオペレーティングシステムの間の交信（システム呼び出しによる）、またはアプリケーションが消費、操作、またはアプリケーションから送信する種類のデータに注目します。」