※本記事は、ブログ記事「Vulnerabilities Undermining GDPR Compliance」を翻訳・意訳したものです。
2018年5月25日より、欧州連合(EU)の一般データ保護規制(GDPR, General Data Protection Regulation)が施行されました。GDPRは、EU加盟国の人々の個人データの保護を目的とした法的な枠組みです。日本においても、EU加盟国にお住いの方に対して、商品やサービスを販売する場合、その企業にGDPRの適用が求められる可能性があります。ヨーロッパの出来事だからという理由で、対岸の火事のように、傍観することはできないのです。
組織がGDPRへの準拠を実現するため、Micro Focusのセキュリティリサーチチームは、アプリケーションセキュリティの重要性を見落とさないように喚起しています。
GDPRは、データ保護だけでなく、企業がシステムやアプリケーションを保護することを要求します。例えば、第25条の1に記載されている「適切な技術的および 組織的措置」を実施することで、第32条の2にある「偶発的または違法な破壊、紛失、改変、個人データへの不正アクセス」からアプリケーションを保護することを考慮しなければなりません。包括的なデータ保護を実現するには、データセキュリティの技術的な対策にアプリケーションセキュリティと脆弱性評価の正式なプロセスを含める必要があります。
ソフトウェアの脆弱性が存在すると、データセキュリティを確保するために導入された保護メカニズムとプロセスが損なわれます。暗号化技術の実装、暗号鍵の管理ミス、インジェクション脆弱性などのアプリケーションの脆弱性や、個人データを保存または処理するシステムやネットワークの構成やメンテナンスのエラーなど、すべての脆弱性が個人データ侵害につながる可能性があります。
GDPRの要件を調査し、遵守しているお客様を支援する取り組みとして、Micro Focus Fortify Taxonomyは、アプリケーションセキュリティの観点からGDPR準拠に対応しました。脆弱性は、GDPRの遵守に影響を与える可能性のある弱点を特定するのに役立つ4つの論理的なグループに分かれています。
- プライバシー侵害の脆弱性には、アプリケーションがデータを送信、格納、または外部デバイスへの書き込みを行う前に、個人データの暗号化または仮名化(データから個人識別情報を取り除くこと)に失敗した場合に発生するエラーが含まれます。
- 不十分なデータ保護の脆弱性は、暗号化技術を使用して個人データの機密性とプライバシーを保護するための実装上の欠陥によるものです。例えば、弱い暗号化アルゴリズムの使用、暗号化パラメータの設定エラー、または誤った暗号鍵の管理プラクティスの使用が含まれます。これにより、暗号化の恩恵が損なわれ、データセキュリティが侵害されます。
- アクセスコントロールの脆弱性には、アプリケーションの認証、認可、アクセスポリシーの実装と設定における欠陥があり、制限されたリソースへの不正アクセス行われ、個人データが悪用される可能性があります。
- 機密データへの間接アクセスは、見過ごされることが多いですが、システムとデータの整合性を維持する上で重要なソフトウェア脆弱性が多数含まれています。これらの脆弱性が悪用されると、攻撃者はシステムリソースを制御し、機密データにアクセスできるようになります。例えば、インジェクションの脆弱性により、攻撃者はサーバー上でスクリプトを実行し、機密性の高いシステムデータやリソースを漏洩させることがあります。
このセットには、アプリケーションとインターフェイスする外部のサードパーティおよびオープンソースソフトウェアコンポーネントのソフトウェア脆弱性も含まれます。これらのコンポーネントの脆弱性が存在すると、アプリケーションが危険に晒されてしまいます。従って、パッチが適用されていないアプリケーションやWebサーバーの誤設定などの脆弱性は、アプリケーションコードの脆弱性と同じ緊急性で対処することが重要です。
上記の相関関係が示すことは、組織がGDPRの遵守を達成するために、機密データを取り扱う全てのシステム、サービス、アプリケーションが安全であることを確実にしなければならない、ということです。
Micro Focus Fortifyの全てのお客様は、最近発表された2018 R1リリースをダウンロードすることにより、GDPRのコンプライアンス・テンプレートの利点を享受することができます。