2024年に向けて、多くの組織が自社のサイバーセキュリティ・プログラムに目を向け、アプリケーション・セキュリティ・テストのリソースをどのように配分しようかと検討しています。クロスサイト・スクリプティング（XSS）のような、OWASP Top 10に挙げられる脆弱性にテスト・リソースを割くことは革新的と思えないかもしれませんが、これは組織のセキュリティ態勢を確実なものにするための最善の方法の1つです。
Forresterの2022年調査レポート「アプリケーション・セキュリティの現状」では、Webアプリケーションのエクスプロイトは引き続きサイバーセキュリティ上の脅威の第3位に挙げられています。年次報告書「ソフトウェア脆弱性スナップショット」のために実施された、ブラック・ダックのアプリケーション・セキュリティ・テスト・サービス・チームによる4,000件以上のテストのうち、83%でターゲット・アプリケーションに何らかの脆弱性が発見されました。
Black Duck Cybersecurity Research Center（CyRC）が解析したデータによると、テストの27%で重大度が「高」の脆弱性が見つかり、6.2%で重大度が「重大」の脆弱性が見つかっています。Black Duckが行った3年間のテストのすべてで、一貫して、XSSを可能にする脆弱性が高リスクの脆弱性の1位または2位に挙げられています。2022年のテストで検出された高リスクの脆弱性のうち、19%がクロスサイト・スクリプティング攻撃と関連していることがわかっています。
では、XSS脆弱性とはどのようなもので、どうしたらアプリケーション・セキュリティ・テストを効果的に行い、攻撃の検出と低減が可能になるでしょうか？
クロスサイト・スクリプティング脆弱性がオンライン・アプリケーションのセキュリティ上の最も一般的な懸念の1つであるのは、組み込むのは簡単で、検出と修正が難しいためです。つまり、本番環境のコードに入り込む危険が常にあります。
XSS攻撃は、信頼できるWebサイトに悪意のあるコードを挿入することで実行されます。Webページが読み込まれると、悪意のあるコードがユーザーのブラウザで実行され、攻撃者はパスワードやcookieなどの機密情報を盗んだり、悪意のある操作を実行したりできるようになります。Webアプリケーションがユーザー入力を検証することなく、あるいは生成される出力で入力をエンコードすることなく、取り込む場合、これらの攻撃は成功する可能性があります。
ときには、XSS攻撃によって被害者のアカウントが完全に乗っ取られることもあります。ユーザーが騙されて、偽のフォームに資格情報を入力すれば、攻撃者はすべてのデータにアクセスできるようになります。
XSS攻撃には主に3つの種類があります。
アプリケーション開発のすべての段階で安全な開発のベストプラクティスに従い、セキュリティを組み込むことで、組織のセキュリティを守ることができます。セキュリティ対策をセキュア開発ライフサイクル（SLDC）の初期に実施することもその1つです。例えば、脅威モデリングとアーキテクチャ・リスク分析をソフトウェアの設計段階で実施し、XSS脆弱性を考慮します。他にもXSS攻撃を阻止する方法として、以下のような方法があります
ビジネスのスピードを損なうことなくソフトウェアのリスクを管理しようする限り、XSSのような脆弱性はあらゆる場所に存在します。そのため、セキュリティ・テストは今やソフトウェア開発の標準的な要素となっています。バイヤーは、たくさんのベンダーとツールから選択できますが、アプリケーション・セキュリティのアプローチを効果的なものにするには、個々のツールがあるだけでは不十分です。人員、プロセス、テクノロジーを調整し、組織独自のポリシーとビジネス目標に基づいてセキュリティ・リスクに対処する必要があります。
ブラック・ダックは、お客様が包括的なアプリケーション・セキュリティ・テスト・プログラムを開発できるようお手伝いします。お客様が直面しているリスクを把握する上で、当社のツールとコンサルティング・リソースが役立ち、お客様は、実装プランとポリシーを備えた戦略を策定できます。お客様のセキュリティ・チームと開発チームに、お客様が使用および開発するソフトウェアの信頼性を保証できる適切なスキルがあるかどうかを判断するお手伝いをいたします。さらに、開発したソフトウェアのセキュリティを速やかに確保するために必要なツールをこれらのチームに用意できるよう支援いたします。
ブラック・ダックは、業界をリードする包括的なツール・ポートフォリオだけでなく、コンサルティング、専門家によるセキュリティ・テスト、トレーニング、グローバルなデプロイ・サービスとサポート・サービスも提供する唯一のベンダーとして、お客様のAppSecプログラムの成功を保証いたします。