ノイズを排除：セキュリティツールを実際に活用する方法

概要

セキュリティツールのインストールは簡単な部分です。難しい部分は「2日目」に始まります。そのツールが5,000件の新しい脆弱性を報告する時です。このフェーズは運用化として知られています。計画がなければ、セキュリティチームはデータに圧倒され、開発者は警告を見逃してしまいます。

このデータの流入に備えるために、「2日目準備チェックリスト」を実施することを検討してください。このチェックリストは、セキュリティリードまたは指定されたツール管理者によって作成および維持されるべきです。彼らは、チェックリストが会社のポリシーに合致していることを確認し、責任を保証しスムーズな採用を確保するために効果的に施行される責任があります。

• セキュリティツールの設定が会社のサイバーセキュリティポリシーに合致していることを確認します。
• 小さなデータセットでドライランを行い、チームがツールの出力に慣れるようにします。
• 特定の脆弱性を処理する責任者を特定します。
• ツールによって特定された重要な問題を優先して対処するための定期的なレビュー会議をスケジュールします。
• フィードバックに基づいてツール設定の継続的な監視と更新のためのリソースを割り当てます。

これらの基盤を設定することで、チームはインストールから運用への移行をスムーズに行い、セキュリティツールからの洞察に基づいて行動する準備が整います。

このガイドは脆弱性管理に焦点を当てています。重複する警告のフィルタリング（重複除去）、誤報（偽陽性）の管理、実際に成功を測定する指標の追跡方法を学びます。

ビジネスを遅らせることなく、「バグの発見」から「リスクの修正」へ移行することが目標です。

1. 「Day 2」問題: インストールから運用へ

ほとんどのチームは「Day 1」にスキャナーをインストールすることに成功しますが、「Day 2」になると結果の管理に苦労します。それは、新しい煙探知機を設置したら、トーストを作るたびに鳴り響くようなものです。

最終的には電池を取り外してしまいます。同じことがセキュリティツールにも起こります。スキャナーが初日に500件の「重大な」問題を報告すると、開発者はツールが故障していると考え、それを無視する可能性があります。これは単なるセキュリティ努力の無駄ではなく、重大なリスクです。開発者の信頼が損なわれ、将来の警告を無視する可能性があります。

この失われた信頼の隠れたコストは深刻で、チーム内のセキュリティ感覚の低下やセキュリティ第一の考え方の遵守の減少を招く可能性があります。エンジニアリングチームにデータを提示する前に慎重に選別することが重要です。この慎重なアプローチは信頼を維持し、開発者が警告に意味を持って関与することを保証し、警告疲れに陥ることを防ぎます。

2. トリアージと重複排除の技術

スキャン結果の処理を指導する「インジェスションポリシー」を作成し、開発者を生のデータで圧倒しないようにします。これをポリシーとして枠組み化することで、すべてのセキュリティツールにわたって実践を制度化し、一貫性と信頼性を確保します。

例えば、セキュリティツールはしばしば重複します。コードにはSASTツールを、ライブラリにはSCAツールを、Dockerイメージにはコンテナスキャナーを使用するかもしれません。これらのツールはすべて同じバグを検出することができます。そのため、スキャン結果を直接開発者のJiraやAzure DevOpsのバックログに追加することを防ぐポリシーを持つことが重要です。

重複排除とは？

重複排除は、同じ問題に対する複数のアラートを1つのチケットにまとめるプロセスです。

実際の例: あなたのアプリケーションが既知の脆弱性を持つログライブラリ（例えばLog4j）を使用しているとします。

1. SCAツールはlog4j.jarを見て「脆弱性！」と叫びます。
2. コンテナスキャナーはDockerイメージ内のlog4jを見て「脆弱性！」と叫びます。
3. SASTツールはコード内のLogManagerへの参照を見て「脆弱性！」と叫びます。

重複排除なし: 開発者は同じバグに対して3つの別々のチケットを受け取り、イライラしてすべてを閉じてしまいます。

重複排除あり: システムはこれらすべてのアラートが「Log4j」に関するものであることを認識し、3つのツールからの証拠を含む1つのチケットを作成します。

実行可能なヒント: ASPM（アプリケーションセキュリティポスチャ管理）ツールとしてPlexicus ASPMを使用してください。

これらは「ファネル」として機能し、すべてのスキャンを収集し、重複を削除し、ユニークで検証済みの問題のみをJiraに送信します。

3. 誤検知の管理

誤検知とは、安全なコードを危険と誤ってフラグ付けするセキュリティツールのことです。これはサイバーセキュリティの「オオカミ少年」です。単なる迷惑以上に、誤検知は貴重なチームの時間を奪い、本来は実際の脆弱性に対処するために使われるべき時間を浪費するという機会損失を伴います。

その影響を定量化すると、1つの誤った警告が開発者を誤導し、約5〜10時間を浪費させる可能性があります。この時間は理想的にはセキュリティの向上に使われるべきであり、それを損なうべきではありません。したがって、ツールの調整は単なる技術的必要性ではなく、セキュリティのROIを最適化するための戦略的な動きです。

開発者の間には非公式のルールがあります：10件のセキュリティ警告を受け取り、そのうち9件が誤報であれば、たとえ10件目が本物であっても無視する可能性が高い。

信頼を維持するためには、信号対雑音比を高く保つ必要があります。

誤検知を修正する方法

開発者に誤検知を修正するように求めないでください。代わりに、ツールを「調整」して報告を止めるようにしてください。

例1: 「テストファイル」エラー

• 警告: スキャナーがtest-database-config.jsに「ハードコードされたパスワード」を見つけます。
• 現実: これはラップトップでのテストにのみ使用されるダミーパスワード（admin123）です。これが本番環境に行くことはありません。
• 修正: スキャナーを設定して、/tests/または/spec/フォルダー内のすべてのファイルを除外するようにします。

例2: 「サニタイザー」エラー

• アラート: スキャナーが「クロスサイトスクリプティング (XSS)」と言っているのは、ユーザー入力を受け入れているからです。
• 現実: データを安全にするためのカスタム関数 cleanInput() を作成しましたが、ツールはそれを認識していません。
• 修正: ツール設定に「カスタムルール」を追加し、“データが cleanInput() を通過した場合、安全とマークする”と指示します。

ピアレビュープロセス

時には、ツールが技術的には正しいが、リスクが重要でない場合があります（例: ファイアウォールの背後にある内部管理ツールのバグ）。

戦略:

開発者が「修正不要」または「誤検知」として問題をマークできるようにしますが、その決定を承認するためにもう一人の人物（ピアまたはセキュリティチャンピオン）が必要です。これにより、中央セキュリティチームを待つボトルネックが解消されます。

4. 重要な指標

セキュリティプログラムが機能していることをどう証明しますか？「発見された脆弱性の総数」のような「虚栄指標」を避けましょう。10,000件のバグを見つけても、0件しか修正しなければ安全ではありません。

これらの4つのKPI（重要業績評価指標）を追跡します:

成功のためのチェックリスト

• 静かに始める: 最初の30日間は「監査モード」でツールを実行し、データを収集します。
• 重複排除: 開発者のボードに届く前に重複した発見をグループ化するために中央プラットフォームを使用します。
• 積極的に調整する: テストファイルや既知の安全なパターンを無視するようにツールを設定するために時間をかけます。
• 速度を測定する: 発見したバグの数だけでなく、バグを修正する速度（MTTR）に焦点を当てます。

執筆者

José Palanco

José Ramón Palancoは、2024年に設立されたASPM（アプリケーションセキュリティポスチャ管理）の先駆的企業であるPlexicusのCEO/CTOです。この企業はAIを活用した修正機能を提供しています。以前は、2014年に設立した脅威インテリジェンスのスタートアップであるDinofluxを創業し、Telefonicaに買収され、2018年から11pathsで働いています。彼の経験には、EricssonのR&D部門やOptenet（Allot）での役割が含まれています。彼はアルカラ・デ・エナレス大学で通信工学の学位を取得し、デウスト大学でITガバナンスの修士号を取得しています。サイバーセキュリティの専門家として認められており、OWASP、ROOTEDCON、ROOTCON、MALCON、FAQinなどの様々な著名な会議で講演を行っています。サイバーセキュリティ分野への貢献として、複数のCVEの公開や、nmap-scada、ProtocolDetector、escan、pma、EKanalyzer、SCADA IDSなどの様々なオープンソースツールの開発があります。

さらに読む José