中小企業はWebアプリのセキュリティをどのように扱いますか?
Owaspのトップ10リストにあるものすべて、現在の小規模企業(従業員数<1000)は、アプリケーションのモバイルセキュリティに加えて、Webアプリケーションのセキュリティをどのように処理していますか?
彼らは情報/アプリのセキュリティを気にしていますか?この規模の企業は、静的コード分析や侵入テストにお金を払っていますか?または、テストにオープンソースのフレームワーク/ソフトウェアを使用していますか?
短い答え:いいえ。
ほとんどの企業が製品のセキュリティの高さを気にしていないか、それについて無知であることを知っていることは確かに衝撃的です。通常、これらの企業のQAチームはテストを実行し、たぶんテストケースにはXSS、SQLiなどの攻撃ベクトルが含まれますが、専用のプロセスがないことは確かです脅威モデリング/コード分析/ペンテストのセキュリティテスト。これをどうやって知るのですか?マスキャリアイベント中に(テクニカルと非テクニカルの両方の)人々と話すことで、おそらく70%程度の自信を持ってこの答えを取ることができると思います。
私の経験は、それは業界、規制、およびビジネス関係(必ずしも会社の規模ではない)に依存するということです。
例:
10人未満の企業。信用履歴を取得するWebアプリを構築しており、ビジネスパートナーは完全なWebアプリのペンテストを行う必要がありました。
50人未満の企業で、顧客がPOS情報を表示できるWebポータルを構築しており、規制要件(PCI)とパートナーの要求に該当し、ポータルへの侵入を要求されている
- ウェブアプリケーションを大企業に販売しようとする5人未満のスタートアップは、デューデリジェンス(コード監査+ペンテスト)中にアプリのセキュリティを評価する必要がありました。
- 私の経験では、銀行/金融ウェブアプリを構築しているほぼすべての企業が、セキュリティが評価され、通常は規制上の理由(コード監査+ペンテスト)であることを示すために何かをしなければなりません
多くの小規模企業は、通常は安価であるため、コード監査よりもペンテストを選択します(他の商用コンポーネントを利用する場合、すべてのソースコードにアクセスできない場合があります)。
私は小さなローカルビジネスからFortune 100やFTSE 100の企業まですべてを扱っていますが、私が見つけたことの1つは、all企業の規模がセキュリティについて何かしようとしていることです。確かに、中小企業がセキュリティ管理を実装できる範囲は予算によって制限されますが、大企業が中小企業よりもそれを上手く行っていることと100%の相関関係はありません。
多くの場合、小規模な金融会社(150人の従業員が言う)がこれが一番です。安全なコード開発を含む完全な情報ライフサイクル管理機能を実装し、終末期の破壊を安全に保護します。 OWASPのトップ10にとって、この規模の企業の手の届かないものはありません。それが下って来るものはそこに動機があるものです:
- 規制されている場合、監査に合格するために必要なことを行います
- 個人情報を保存している場合、どこにいてもデータ保護要件を満たしていることを確認しようとします
- 彼らが貴重な知的財産を保持している場合、彼らはそれを保護するためのコントロールを配置します
多くの中小企業にとって、あなたがウェブサイトの作成に費やしたよりもセキュリティに多くを費やすよりも、あなたにそれが起こらないことを望む方が簡単だと思います。
1)SMBのハッキングの容易さ、2)比較的低いリスクを考えると、リスクリターンベースでは、これらがハッカーの主要なターゲットになると考えられます。
中小企業がreactiveセキュリティ対策ではなくintegratedに向けて試みているのを見たり聞いたりしています。
例:
- セキュリティテストを要件と自動テストスイートに組み込む
- 開発環境またはビルドプロセスに静的分析ツール(コード品質またはセキュリティ)を含める開発者
- IaaS/PaaSシステムのプロビジョニングにセキュリティ強化構成を含める
- 展開前プロセスの一部としてのWebスキャナー(通常はオープンソースまたはW3AFなどの安価なもの)の使用
これは、手動の特定の時点(および継続中)の外部セキュリティテストを行う余裕のない、才能のある開発チームと開発チームのチームの場合によくあるようです。