アプリケーション・セキュリティー

スピードと正確性の両立を可能にするコグニティブなインテリジェント検出分析(IFA)の実力

記事をシェアする:

IBMは2年前に、コグニティブ・コンピューティングを利用した、インテリジェント検出分析の実現に向けた研究を始めました。企業がアプリケーションのセキュリティー・リスクを軽減するうえで直面する、困難な問題に対処するためです。セキュリティー・リスクの把握、軽減のために、静的アプリケーション・セキュリティー・テスト(SAST)を利用する企業は、次のような難問に直面します。それは、重視すべきなのは、開発者に脆弱性を報告する「スピード」なのか、それともテスト結果を分析してリスクを特定し、優先順位付けをして対処するうえでの「正確性」なのかという問題です。
一般的に、後者の正確性という目標を達成するには、専門スタッフを活用してリスクの高い脆弱性を検証し、誤検出を排除する必要がありますが、これはセキュリティー・チームによる前者のスピードという目標達成の妨げになる恐れがあります。つまり現状では、2つの目標は両立できないのです。

「干し草の山で針を探す」ということ

「干し草の山で針を探す」という諺をご存じでしょうか。SASTにとって最適な手法は、アプリケーション内の実際のデータの流れを精査することなので、検出結果は膨大な数になりがちです。これらすべての検出結果にリスクの可能性があると考えてみてください。この中から本当のリスクを見つけ出すのは、まさに「干し草の山で針を探す」ということです。
ifa-figure1

このときにセキュリティー・チームが利用できるのは、次の2つの方法のいずれかです。

「干し草の量を減らす」
これを実現するためには、より簡易な方法でアプリケーションをスキャンします。得られる結果は少なくなりますが、うまくすれば最も重要な結果のみを得ることもありえます。この方法の大きなメリットはスピードです。比喩を使えば、発見された問題が少なければ「もみ殻から素早く小麦を選り分けられる」ということです。これによってセキュリティー・チームは、開発者に迅速に結果を提供できるようになりますが、メリットばかりではありません。デメリットにも注意を払うことが重要です。というのもスピードを重視するために、セキュリティー・チームは探している針を見つけることができない場合もあるからです。要するにこの方法は、アプリケーションのセキュリティー・リスクを軽減するための確実な方法ではないということです。

「人手を増やす」
2番目の方法は、手作業で結果を精査して針を見つけるために、従業員を増やすというやり方です。この手法のメリットは、全体をくまなく網羅して確認できるということです。この方法であれば、針が検証工程で見つからないということはないので、専門家はどの結果についてアクションをする必要があるかを見極めることができます。
一方、この場合もデメリットはあります。それは言うまでもなく、スキルやコスト、そして特に時間の面での非効率性です。干し草の山が大きければ大きいほど、プロジェクトに必要な専門家の人数も増え、しかもこうした専門家は不足しているため、コストがかかるのは避けられません。
さらに結果の精査には数時間か、数日、あるいは数週間もかかる場合があるため、開発者にタイムリーに結果を提供したり、継続的エンジニアリングを保証することは実質的に不可能です。自社のスキルが不足しているために、この工程全体をアウトソースする企業もあります。ただし、それによって短期的なスキル・ギャップを埋めることはできても、コストと処理時間は大幅に増加します。 アウトソーシングによって雇用や訓練の負担から解放されても、時間配分の優先順位付けという点では、自由が効かなくなることもあるのです。

オンデマンドWebセミナー『高度化・巧妙化する攻撃に負けないアプリ対策 – コグニティブ時代 脆弱性のソースコード診断』を視聴する

第3の方法、インテリジェント検出分析(IFA)とは

こういった2つの方法を見た上で、他のコグニティブの取り組みに成功しているIBMの専門家は、3番目の選択肢があるに違いないと考えました。こうして生まれたのが、IBMが特許出願中の「インテリジェント検出分析 (IFA:Intelligent Finding Analytics) 」です。
IFA は当初、SASTの1番目の方法の大きなメリットである「スピード」と、2番目の方法のメリットである「正確性」を両立させて、お互いの欠点を打ち消すことができるかどうかを確認するための研究プロジェクトでした。その目標は、IBMのWatsonを支えているのと同じコグニティブ技術を使って、干し草の山をふるいにかける専門家集団としてIFAを実質的に機能させることでした。

ifa-figure2

予想をはるかに上回る成果

ここ1年の成果は、当初の予測をはるかに上回るものでした。実際に顧客が使用したところ「検出結果」という干し草の山は、90%以上も一貫して減少し続けたのです。さらに現在ではIFAの学習能力によって、検出結果の減少は99%に迫りつつあります。たとえば、クラウド上での全顧客のアプリケーション・セキュリティーのスキャン結果の削減率は、2016年10月時点でなんと98.91%に上ります。
もちろんここまで削減されたからといって、正確さが犠牲になっているということはありません。その内容は、優秀で経験豊富なアプリケーション・セキュリティーの専門家の正確性とほとんど遜色はないのです。むしろ、人間の専門家が出した結果より適切である場合がほとんどです。これは、人間であれば、何時間も針を探しているうちに疲れ切ってしまうことに原因がある可能性が高いといえます。
人間の専門家は大規模なアプリケーションを分析するのに数時間か数日かかるのに対し、IFA は、数秒とまではいかなくても数分で結果を出せます。このスピードのおかげで、サイバーセキュリティー・チームは開発者に対して、絶えざる脅威に対応するのに十分な時間を確保できる素早さで検出結果を提供し、その結果、継続的エンジニアリングの方法を維持することができるのです。これにより、開発者は早い段階で頻繁にスキャンできるようになるので、脅威が現実のものとなる前に修正することが可能になります。

修正もスピーディーに!

さらにIFAには「干し草の山と針の問題」に対処する以上の機能があります。開発者が、検出結果を利用してコードを直接修正できるので、効率性も向上するのです。コグニティブ技術を適用すれば、IFAによって検出結果を修正グループのセットに絞り込めます。つまり、何百というセキュリティー問題も、5個から10個の修正グループに絞り込まれ開発者に提示されるようになるというわけです。このように修正をグループ化することで、開発者はコードのどこにセキュリティー上の問題があるのか正確にわかり、複数の問題を同時に修正できるようになります。IFAによって開発者は、オールインワンの統合開発環境(IDE)の内部でそれらすべてを修正できるようになるのです。

ifa-figure3

ではIFAはこうした機能を使って、どのようにアプリケーション・セキュリティーの課題への対処を支援するのでしょうか。3件ほど、実際の顧客の例を見てみましょう。
ifa-figure4

1番目の例(アプリケーション #1)ではディープ・スキャンの結果、12,000件以上の潜在的な脆弱性が検出されました。IFAによってこの数は約1,000件まで絞り込まれ、さらにこれらすべての脆弱性に対処できる35カ所の修正グループが特定されました。2番目の例(アプリケーション #2)では、25万件近くの潜在的な脆弱性が検出されました。ここでもIFAの適用で約1,000件の脆弱性に絞られ、さらにそれらの脆弱性に対処できる103個の修正グループが洗い出されました。3番目の例(アプリケーション #3)では75万件近くの潜在的な脆弱性が検出されましたが、IFAの適用でなんと、わずか483件の実際の脆弱性に絞られ、42個の修正グループに分けられました。
1年以上におよぶ運用により、IFAがどのような規模のアプリケーションであっても開発チームを支援できることが証明されつつあります。これによってセキュリティー・チームは、アプリケーション・セキュリティーの問題の検出と修正に何時間も費やす必要がなくなりました。さもなければ、場合によっては、両手を上げてこの途方もない難題を投げ出していたかもしれません。
しかもIFAの成果はそれだけではありません。こうした企業は、IFAによってアプリケーションのセキュリティー・リスクに対処する際の効率性を99%以上も向上させたのです。

ますます力を発揮するコグニティブ・コンピューティング

つまるところ、学術的研究や継続的な機械学習、実際の顧客を相手にした取組みの中で、IFAはどのような役に立つのでしょうか。非常に簡単に言うと、IFAは以下のようなことを可能にします。

・セキュリティー・テストをスピードアップして継続的な開発プロセスと統合
・限られたセキュリティー・スタッフの負荷を軽減
・開発者が安全なコードを一層効率的に提供できるよう支援

しかも、これは始まりに過ぎません。これからもアプリケーション・セキュリティーの課題解決に向け、コグニティブ・コンピューティングの力を発揮していきますのでご期待ください。

More アプリケーション・セキュリティー stories
2020-01-16

CTF (Capture The Flag) 勉強会 開催レポート

日本IBMの技術系社員を対象とした「CTF勉強会」を開催 セキュリティーの脅威は日を追うごとに多様化しています […]

さらに読む

2020-01-15

PSC 様とのコラボレーション対談記事

IBMセキュリティー のビジネス・パートナーである株式会社ピーエスシー様のウェブサイトにて、同社代表取締役 鈴 […]

さらに読む

2020-01-09

ゼロトラスト・セキュリティーを、ネットワークを再構築することなく導入するための3つの方法

リスクがこの世の中から無くなることはありません。企業で(特に若い世代の従業員の間で)モバイル・デバイスが大量に […]

さらに読む