リモートワーク時代:アプリケーションの安全性を重視するなら

Optimizing Cybersecurity Apps in the Remote Working Era

2021/09/30 securityboulevard — リモートワークという新たな現実の中で、アプリケーションの安全性を、どのように改善していけば良いかと悩んでいないだろうか?サイバー脅威を防止するために、統合すべき、いくつかの戦略を紹介していく。世界中のすべての企業にとって、2020年は大変な課題を提示した。つまり、生物学的にもデジタル的にも、ウイルスの年と認識された年だったからだ。

人類は突如として Covid-19 という、破壊的なウイルスに感染し、私たちの生活様式は大きく変化した。このパンデミックは、想定外の事態が発生した場合に備えて、企業が準備すべき対策を促す緊急の警鐘でもある。

ハッカーたちが、新しいリモートワーク環境から利益を得たのは、サイバー攻撃の対象が大幅に拡大したからだ。大企業/中小企業/新興企業が、ランサムウェアの攻撃や侵入により、大きな代償を払うことになった。なぜなら、企業はサイバー・ウイルス (人間のウイルスに似ている) に対して、適切な準備を行ってこなかったからだ。

その後、2021年も、リモートワークのトレンドが継続し、サイバー・セキュリティが重要な課題となり、その取り組みが最優先される年となった。現在のところ、安全とはいえないアプリの設計によるデータ漏洩のインシデントが増えており、すでにアプリ開発者は、その安全性を当然のことだとは、言えなくなってきている。

ここでは、リモートワーク時代に、最適なアプリケーションの安全性を確保するための、いくつかの方法を紹介していく。サイバーセキュリティに関する Win-Win のソリューションを提供してくれる、エンジニアリング・チームを雇いたい場合は、Engre platform のような B2B のエンジニアリング・マーケットプレイスをチェックすべきだろう。しかし、その前に、エンジニアリング・アウトソーシング市場で何が起こっているのかを、知っておくことは素晴らしいことだと思う。

定期的なテストの実施

一般的な意見とは異なるが、アプリケーションのセキュリティとは、設計段階の最初から最終的に至るまで、延々と続く手順のことだと考える。ハッカーは決して飽きることなく、また、アプリ・ユーザーを困らせるためにの努力を惜しまない。したがって、エンジニアリングの専門家は、攻撃を防ぐことを怠ってはならない。アプリの開発段階はもちろん、リリース後も、エンジニアは新たな脅威に対処するためのソリューションを考えなければならない。

セキュリティに真剣に取り組むためには、定期的なテストを行うことが何よりも大切である。エンジニアがアプリの設計段階と同じように、セキュリティを維持することで、アプリの安全性は高まる。

脅威モデルや、エミュレータ、ペネトレーション?テストに投資することで、脆弱性の定期的なチェックが可能となる。定期的なスクリーニングを行うことで、パッチのリリースやセキュリティ・アップデートの設計を行う、タイミングを把握することが可能となる。

最高水準の認証機能を導入

多くのアプリケーション設計のプロジェクトで、データ漏洩を生じる最も一般的な理由の1に、強力な認証機能がないことが挙げられる。認証が不十分な状態で開発されたアプリは、必然的にセキュリティ侵害を経験することになる。そのため、アプリ・デザイン事業者はもちろん、エンジニアにとっても、アプリを守るために最強の認証手段を導入することが極めて重要となる。

それは、アプリの安全性を高めるために、複雑なパスワードなどの個人識別情報を導入することでもある。このような認証手段があれば、侵入者がアプリにアクセスすることは難しくなる。アプリのサイバーセキュリティを最適化するために、エンジニアが採用できる認証手段には、複数の種類がある。

伝統的な認証方法は、英数字のパスワードと考えられている。アプリのユーザーに対しては、ハッカーのアクセスを妨害するために、文字と数字で構成された複雑なパスワードを作成することが常に強く推奨される。パスワードを定期的に更新することにも意味がある。最近では、静的パスワードと動的ワンタイム・パスワードを組み合わせでも (多要素認証)、大企業からスタートアップ企業に至るまで、エンジニアの間で広まっている。

さらに、機密性の高いアプリには、生体認証 (指紋や網膜のスキャンなど) を採用するという選択肢もある。この場合、エンドユーザーの役割が大きくなる。また、エンジニア側として顧客に認識してもらうことは、パスワードや他の認証タイプの安全性を維持することを怠った場合のリスクである。

セキュアコードの導入

アプリのサイバー脅威を管理する上で、エンジニアの最大の弱点は、いつも通りにコーディングとなる。原則としてハッカーは、コードに脆弱性やバグがあるアプリを、簡単に解読していくことになる。攻撃者は、大惨事をもたらすために、常にコードの弱点を探している。企業としては、コードが pure and safe に設計されていれば、どんなに複雑なレベルのアプリであっても、サイバー攻撃に対して 約70% 安全性を確保できることを覚えておく必要がある。

アプリデザイン会社やスタートアップ企業に従事するエンジニアは、これらの脅威に対する防御を望むならば、アプリ開発に公開コードや汎用コードを実装してはならない。

企業に対しては、設計プロジェクトに安全なコードを使用することを推奨する。自分でコードを生成し、侵入されないようにコードを強化することは、常に最善の方法である。エンジニアがコードの全てのビットをミニマイズし、難読化すれば、コードを再構築しようとするハッカーを妨害することができる。さらに、恒久的なテストを実行し、バグに気づいたら直ちに修正を行うことが重要である。コードのアジリティにこだわることに重点を置くべきだ。

ほんと、社会におけるコロナウイルスと、インターネットにおけるウィルスは、似ていますね。何らかの合理性で成り立っている仕組みは、放っておけば複雑なものへと変異し、そこに生まれてくるウィルスも、それに合わせて変異する。そして、対策を講じても、それを回避するものへと変異する。まぁ、仕方のないものと捉えて、正しく怖がるという路線で、しっかりと対峙していく必要があるのでしょう。

%d bloggers like this: