サイバーインテリジェンス活用によるセキュリティ課題の解決－ウェブアプリケーション開発におけるサイバーインテリジェンスの活用

2023-02-22

ウェブアプリケーション開発におけるセキュリティ対応の動向

サイバー攻撃の多様化や高度化に伴い、セキュリティ対策の重要性はますます増加しています。ウェブアプリケーション開発におけるセキュリティ対応方針としては、一般的にはOWASP（Open Web Application Security Project）などが策定した外部のガイドラインに基づいてセキュリティ規程が各社で定められています。また、開発の柔軟性とスピードを両立させるため、セキュア・バイ・デザインやDevSecOpsなどの概念を取り入れる企業も増えつつあります。

他方、自社が策定したセキュリティ規程に則るだけで変化し続けるサイバー脅威の動向を逐次反映することは難しく、セキュリティ規定を遵守したものの、リリース前や運用段階のセキュリティ診断において問題が発覚し、追加コストが発生してしまうケースも少なくありません。

本稿ではこの課題に対し、連載の第1回で取り上げたサイバーインテリジェンス（主にOperations観点）を活用したアプローチについて考察します。

ウェブアプリケーション開発におけるサイバーインテリジェンスの活用

図表1で示したようなウェブアプリケーション開発プロセスにおいて、サイバーインテリジェンスの活用方法を3つの観点から述べます。

リスク分析範囲の拡大

サービスおよび業務の企画段階でセキュリティ対応方針を検討する際には、まずは開発するウェブアプリケーションのリスク分析を行い、その結果に基づいてセキュリティ対応方針を策定する必要があります。

リスク分析を行う場合、一般的にはウェブアプリケーションに対するサイバー脅威（OWASP Top10など）と、ウェブアプリケーションで取り扱う情報などを踏まえた上で、脅威の発生可能性と被害時の影響度合いを算出し、想定されるリスクの種別と度合いを特定します。

しかしながら、このリスク分析による評価結果は、開発したウェブアプリケーションがサイバー攻撃の被害にあわない（被害を最小化する）ためのセキュリティ対応方針を検討する際の材料でしかありません。

開発したウェブアプリケーションがサイバー攻撃の被害を受けた後に、その被害が他のシステムなどに拡大するケースもあるため、ウェブアプリケーションリリース後のビジネスへの潜在的なリスクを特定するためには、自社のIT環境全体を考慮したリスク分析が必要です。他方、ウェブアプリケーションが被害を受けた後のリスク（2次／3次被害リスク）を網羅的に分析することは、対象範囲が広範となることから現実的ではありません。

この点において、サイバーインテリジェンスが活用できると考えます。

具体的には、開発するウェブアプリケーションと同様の特性（取り扱う情報や利用用途など）を持つウェブアプリケーションで発生したサイバーインシデントの事例を基に、2次／3次被害が発生するケースや、2次／3次被害により生じうるビジネスへの影響を特定します。

これにより、ウェブアプリケーションの開発にあたって生じる自社のビジネスへの潜在的なリスクを可視化することができ、ウェブアプリケーションの開発を承認する際の判断材料として活用することも期待できます。

運用からのフィードバック

前述のリスク分析結果に基づくセキュリティ対応方針に従い、次工程ではウェブアプリケーションに実装するセキュリティ要件を定義することになります。

セキュリティ運用設計での手戻りを減らすため、セキュリティ要件を定義する段階で運用チームにも参画してもらうことが望ましいです。

運用チームが参画することで、既存のセキュリティ運用体制やプロセスをもとに、平時での対応（脆弱性情報収集やパッチ適用など）や、有事での対応（インシデント対応など）に関わるフィードバックを得ることができます。これに加え、サイバー脅威の攻撃手法とサイバー脅威に対する自社の検知体制・プロセスをサイバーインテリジェンスとして活用した際、以下の2つの観点からフィードバックを得ることもでき、セキュリティ運用設計段階での手戻りを削減させることが期待できます。

リスク分析時に識別したサイバー脅威に対し、MITRE ATT&CKのフレームワークで定義された攻撃ステップごとに検知できるか（検知できない攻撃手法はないか）。
攻撃検知後に被害状況を特定するためには、どのような証跡（ログ）をウェブアプリケーション側で取得する必要があるのか。

コンポーネント選定への活用

アプリケーション開発においては、OSSなどさまざまなコンポーネントが利用されており、コンポーネントの選定基準は各企業が定めています。

選定基準にはセキュリティ対応に関わる要件も含まれており、特にOSS選定に際しては最も重要視される要件です。そこで選定候補となるOSSの開発コミュニティ分析といったサイバーインテリジェンスを活用することで、脆弱性発覚後の対応品質などを製品ごとに比較評価することができ、より品質の高いOSSの選定が可能となります。

おわりに

本稿で紹介したようなサイバーインテリジェンスのアプローチを活用することにより、ウェブアプリケーション開発に伴う自社の潜在的リスクの可視化や、セキュリティ対策実装の効率化などが期待できます。

また冒頭で述べたように、近年はセキュア・バイ・デザインやDevSecOpsなどの概念が反映されつつありますが、サイバーインテリジェンスのアプローチをさらに加えることで、よりセキュアかつ効率的なウェブアプリケーションが実現できると考えます。

主要メンバー

村上純一

パートナー, PwCコンサルティング合同会社

宮川礼

マネージャー, PwCコンサルティング合同会社

サイバーインテリジェンス活用によるセキュリティ課題の解決

5 results

2023-02-28

グローバル企業のSOCにおけるサイバーインテリジェンス活用のポイント

連載「サイバーインテリジェンス活用によるセキュリティ課題の解決」の最終回として、本稿ではサイバーインテリジェンスを活用したグローバル企業におけるSOC（Security Operation Center）の運営について解説します。

2023-02-22

ウェブアプリケーション開発におけるサイバーインテリジェンスの活用

本稿では、Webアプリケーション開発におけるセキュリティ対策の課題に対し、連載の第1回で取り上げたサイバーインテリジェンス（主にOperations観点）を活用したアプローチについて考察します。

2023-02-16

新たなセキュリティ戦略のあり方とは？ - サイバーインテリジェンスを活用した戦略立案

連載「サイバーインテリジェンス活用によるセキュリティ課題の解決」の第3回では、「フレームワーク型」の戦略立案手法の課題と、これからのセキュリティ戦略・施策立案のあるべき手法について考察します。

2023-01-13

経営層の意思決定につながるサイバーセキュリティリスクレポートとは

サイバー攻撃の手法は日々進化している一方、従来型のサイバーリスクへの対応アプローチでは新たな攻撃へタイムリーに対応ができず、後手に回る恐れがあります。そのような状況に対し「サイバーインテリジェンス」を活用することが有効な手立ての一つとされています。本稿では、サイバーインテリジェンスを活用した経営層向けのレポートのあり方について解説します。

サイバーインテリジェンス

20 results

2025-03-14

Digital Trust Insights 2025：CxOとCISOの連携が、複雑化するデジタル法規制によって生じるギャップを埋める

PwCが世界77カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営層4,042名を対象に実施した調査結果をもとに、本レポートではセキュリティ強化の上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。

2024-06-13

ソフトウェアサプライチェーン実態調査 SBOMを活用したサプライチェーン管理の課題

日本シノプシス合同会社とPwCコンサルティング合同会社が実施したセキュリティ対策状況に関する調査をもとに、企業のソフトウェアサプライチェーンに対する取り組みの現状と今後求められるセキュリティ活動について考察します。

2024-04-17

Digital Trust Insights 2024：増加するデジタル規制の情報格差をどのように埋めるのか

本稿では、世界71カ国・7地域のビジネス・テクノロジー・セキュリティ分野の経営者3,876名を対象に行った調査結果を基に、セキュリティ強化を進める上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。

2024-03-18

CxOプレイブック：セキュリティをイノベーションの中核に

本調査では、世界71カ国3,800名を超える経営幹部の意見から、リスクを低減させ競合他社よりも高い生産性と急速な成長を実現できるポジションに自社を立たせるためのサイバーセキュリティ上の対策において、CxOが対処すべき重要課題を明らかにしています。

サイバーインテリジェンス活用によるセキュリティ課題の解決－ウェブアプリケーション開発におけるサイバーインテリジェンスの活用

ウェブアプリケーション開発におけるセキュリティ対応の動向