用語集
用語集
ここでは、Contrastのユーザ向けに各用語の定義を掲載します。他のトピック内でこれらの用語にカーソルを合わせると、文中に定義が表示されます。
- Contrast Hub
Contrast Hubは、オンプレミス版をご利用のお客様がContrastのインストーラとライセンスファイルをダウンロードしたり、エージェントの更新を確認できる場所です。
- Contrastコマンドラインインターフェイス (Contrast CLI)
Contrast CLIは、テキストベースのユーザインターフェイスです。開発環境で実行することで、ビルドやデプロイを行う前に早い段階で、オープンソースライブラリのソフトウェアコンポジション解析(SCA)を可視化できます。CLIによる結果は、テキストベースのレスポンスで確認することができ、Contrast Webインターフェイスでは依存関係ツリーとしても表示されます。
- Contrastサービス
ContrastサービスはGoで書かれたプログラムで、Contrast WebインターフェイスとNode.js、Ruby、Pythonエージェントを接続します。
- Exploit Prediction Scoring System (EPSS)
脆弱性が悪用される可能性(確率)に基づいて計算される指標です。
EPSSでは、0から1(0から100%)の確率スコアが生成されます。スコアが高いほど、脆弱性が今後30日以内に悪用される確率が高いことを示します。
EPSSパーセンタイルは、その脆弱性に割り当てられたパーセンテージによるランクであり、他の脆弱性と比較して悪用される可能性がどの程度あるかを示します。例えば、EPSSのパーセンタイルが90%の脆弱性は、過去に評価された脆弱性のうちの90%よりも、悪用される可能性が高いことを意味します。つまり、悪用される確率が高い脆弱性の上位10%に位置していることを表します。
- IP拒否リスト
IP拒否リストとは、そのリストにあるIPアドレスからのHTTPリクエストをブロックするルールです。
- IP許可リスト
IP許可リストとは、そのリストにあるIPアドレスからのHTTPリクエストを許可するルールです。
- LDAP (Lightweight Directory Access Protocol)
LDAPは、ディレクトリサービスに接続・管理するためのクライアントサーバプロトコルの一つです。Contrastのオンプレミス版では、LDAPを使用してユーザやログインを管理できます。
- OWASP (Open Web Application Security Project)
Open Web Application Security Project®は、セキュリティプロジェクトの共有や会員の教育をサポートするオープンプラットフォームによって、ソフトウェアのセキュリティを向上するための非営利団体です。OWASP Top 10には、Webアプリケーションにおける最も重大なセキュリティ上の欠陥がリストアップされています。
- SAML (Security Assertion Markup Language)
SAMLは、シングルサインオン認証など、オンラインパートナー間で認証情報を作成・交換するために使用されるXMLベースの標準規格です。
- SIEM (Security Incident Event Management)
SIEMシステムは、他のシステムからセキュリティイベントや関連データを収集して分析し、脅威の検知やコンプライアンス、セキュリティインシデントの管理をサポートします。Contrastは、いくつかの代表的なSIEMシステムと連携できます。
- SQLインジェクション (SQLi)
SQLインジェクションは、クライアントからのユーザ入力データ内にSQLクエリを挿入(「インジェクション」)して、アプリケーションに取り込ませる攻撃です。この攻撃の目的は、データベースのデータの読み取りや変更、データベースへのコマンドの送信です(例)。
- WAF (Web Application Firewall)
WAFは、Webトラフィックを検査・フィルタリングし、一般的な攻撃からアプリケーションを防御するためのものです。
- Webhook
指定したイベントが発生するたびに、あるアプリケーションから別のアプリケーションに対してHTTP経由でリアルタイムに情報を送信するための仕組みのこと。
- Contrast posture score
This score is an exponential aggregation of scores for all applications.
- Contrast score
The Contrast score represents the risk of an issue or incident at a particular point in time. Contrast determines this score by using information from the Contrast SAST, IAST, SCA, ADR, and Observability technologies.
- entity
A Contrast entity is an application, a server, or library. You can view entity relationships in the Explorerエクスプローラー.
- incidents
An incident is a collection of one or more issues and observations that demands an immediate response from the organization. Contrast creates incidents automatically based on ADR rules.
- issues
An issue is a collection of one or more observations and includes all Contrast data about a particular vulnerability or attack.
- observations
Raw data that Contrast captures and uses to identify issues and incidents. Individual events or reports from our products, such as vulnerability, probe, attack, or observability come from all Contrast technologies: Contrast IAST, Contrast SCA (runtime and static), Contrast ADR, and Contrast Security Observability.
- distrolessイメージ
Distrolessイメージとは、アプリケーションおよびアプリケーション実行時の依存関係のみが含まれるイメージです。パッケージマネージャやシェルなど、標準的なLinuxディストリビューションに含まれるその他のプログラムは含まれていません。
- アカウント乗っ取り (ATO)
アカウント乗っ取りは、ログイン認証情報を盗んだり、Webアプリケーションの認証に侵入したりする攻撃の結果です。
- アプリケーション
アプリケーションは、Contrastエージェントによって検査されるカスタムコードの論理的なグループです。
- アメリカ国立標準技術研究所 (NIST)
NISTは、サイバーセキュリティを含む複数の分野で、計測学、標準規格、産業技術を進歩させることにより、米国の技術革新と産業競争力を促進するための政府機関です。
- インストゥルメント(instrument)
ランタイムにデータを観測・報告するソフトウェアエージェントがアプリケーションをモニタリングすることです。Contrastでは、アプリケーションにContrastエージェントを組み込むことを意味します。Contrastエージェントは、疎通されたルートに基づいてアプリケーションの脆弱性データを送信します。
- インタラクティブアプリケーションセキュリティテスト (IAST)
実行中のアプリケーション内のデータフローを分析し、セキュリティ上の脆弱性の可能性を検出・報告するセキュリティ技術。
- エージェント
エージェントとは、Webアプリケーションにインストールされる言語固有のコードで、セキュリティデータを収集・解析し、必要に応じて検出結果をContrastに報告します。
- クレデンシャルスタッフィング
クレデンシャルスタッフィングはブルートフォース攻撃の一種で、漏洩したユーザ名とパスワードの組み合わせを自動的に実行してユーザアカウントにアクセスします。
- クロスサイトスクリプティング (XSS)
クロスサイトスクリプティングとは、ユーザ入力によって悪意のあるスクリプトがWebアプリケーションに注入されて、検証やエンコードを行わずにその出力が生成された場合に発生する攻撃です。
- コマンドインジェクション
コマンドインジェクション攻撃は、脆弱なアプリケーションを介してホストのオペレーティングシステムを標的とするものです。この攻撃は、ユーザがフォーム、Cookie、HTTPヘッダ、またはアプリケーションのその他の部分から安全でないデータをシステムシェルに渡すことで発生します。
- コンテナイメージ
コンテナイメージは、コンピュータシステム上にコンテナを作成できる実行可能コードが含まれた静的ファイルです。
- シンク
シンクとは、データフローの解析でデータが終着する場所です。シンクは、データが書き込まれる外部フォーマットや出力先のことです。
- シングルサインオン (SSO)
シングルサインオンは、ユーザが1セットの資格情報だけで複数のシステムにアクセスできるユーザ識別・認証サービスです。
- スコア
Contrastでは、アプリケーションやライブラリの現在のセキュリティの状況を反映したライブラリのスコアとアプリケーションのスコアが提供されます。
- スタックトレース
スタックトレースは、問題の発生となった一連のイベントを一覧表示するものです。Contrastでは、スタックトレースにはセキュリティの脆弱性に至るまでのイベントが表示されます。
- ソース
ソースとは、データフローの解析でデータが発生する場所です。ソースは、システムに入力されるあらゆる入力データやリクエストのことです。
- ソフトウェアコンポジション解析 (SCA)
脆弱なライブラリを特定し、CVEの深刻度に基づいてビルドを失敗させ、依存関係ツリーを表示して、ライブラリの依存関係や脆弱性が存在する箇所を把握することができます。
- ソフトウェア開発ライフサイクル (SDLC)
企画がソフトウェアの生産に至るまでの一連の工程のこと。
- テストカバレッジ
実行されたテストの数を把握するテスト手法です。
- パストラバーサル
パストラバーサルは、Webのルートフォルダ外に保存されている重要なシステムファイルやディレクトリにアクセスしようとする攻撃です。この攻撃では、絶対ファイルパスや「ドット-ドット-スラッシュ」(../)の並びでファイルを参照する変数が使用されます。
- フーォルスポジティブ(false positive)
誤って脆弱性として報告してしまうこと。誤検知のこと。
- フローマップ
フローマップは、Contrastエージェントが組み込まれているアプリケーションを可視化したもので、そのアプリケーションが使用しているすべてのバックエンドシステムと、接続されているその他のアプリケーションを表します。これにより、脆弱なアプリケーションに影響を与えるその他の要素を分析し、リスクを評価できます。
- ブルートフォース攻撃
ブルートフォース攻撃は、最終的に正しく推測することを目的として、多くのパスワードやパスフレーズを体系的に送信することです。
- プロファイラチェーン
プロファイラチェーンは、パフォーマンスツールやAPMツールなどの他の.NETプロファイラエージェントと一緒に.NET Frameworkエージェントまたは.NET Coreエージェントを実行する方法です。
- ポリシー
ポリシーとは、特定のアプリケーションやライブラリについて、指定の条件が満たされたときにセキュリティ違反やステータス変更、通知をトリガーする一連のルールのことです。ポリシーにより、アプリケーションやチーム全体でより一貫したセキュリティ基準が保証されます。
- マニフェスト
プロジェクトに必要な依存関係を宣言するためにプロジェクトに保存されるファイル。
- ライブラリ
ライブラリとは、アプリケーションに含まれるパッケージ化されたコードのことです。ライブラリには、公開と内製のものがあります。
- ランタイムアプリケーションセルフプロテクション (RASP)
Contrastは、RASPの手法を用いて攻撃を監視し、本番環境のアプリケーションを積極的に防御します。
- ルート
ルートとは、Contrast Assessで報告されているように、1つ以上のURLパターンへのリクエストを処理するメソッドの関数シグネチャです。具体的なフォーマットについては、使用しているContrastエージェントの言語によって異なります。1つのルートに複数のURLが関連付けられることがあります。
- ルール
ルールとは、脆弱性イベントや攻撃イベントを特定するために使用されるセキュリティ制御です。ルールが一致すると、影響を受けるアプリケーションの脆弱性イベントや攻撃イベントをエージェントがContrastサーバに送信します。
- 依存関係かく乱
依存関係かく乱は、「置換攻撃(substitution attack)」とも呼ばれ、攻撃者が組織の内部リポジトリに脆弱なコードや悪意のあるコードを入れ込むために、組織の内部ライブラリと同じ名前を公開パッケージのインデックスに登録することで発生します。
- 環境
Contrastでは、アプリケーションの環境として「開発」、「テスト(QA」、「本番」の3つの環境のいずれかを設定できます。
- 環境変数
環境変数は、実行時にソフトウェアに渡すことができる値で、通常はキーと値のペアであり、アプリケーションの外部で定義します。Contrastでは、環境変数はアプリケーションを検査するエージェントを設定するために使用します。これらの変数によって、利用したいフレームワーク内でアプリケーションが予想どおりに動作し、Contrastで表示したいメタデータが報告されるようになります。
- 機密データのマスキング
この機能は、ContrastログやContrastエージェントから送信されるその他のデータに含まれる機密データを、アプリケーションでのデータ処理に影響を与えることなくデータにマスクをかけます。
- 共通言語ランタイム (CLR)
共通言語ランタイム(CLR)は、.NET Frameworkのプログラムを実行するための動作環境です。
- 共通脆弱性識別子 (CVE)
共通脆弱性識別子(CVE)は一般的に公開されている情報セキュリティの脆弱性のリストで、脆弱性の種類を特定し追跡するために国際的に使用されています。
- 継続的インテグレーション/継続的デリバリ (CI/CD)
ビルド、テスト、デプロイにおいて継続的な繰返しと自動化を促進するアジャイルの実践を指します。
- 攻撃
攻撃は、一定の時間内に発生する1つまたは複数の攻撃イベントで構成されます。
- 攻撃イベント
攻撃イベントとは、Contrastエージェントが組み込まれたアプリケーションにおいて、Protectルールへの違反やその他の疑わしいアプリケーションアクティビティのことです。イベントは、HTTPリクエストやSQLクエリなどの単一の攻撃ベクトルに該当します。複数の攻撃イベントが1つの攻撃を構成しますが、通常は同じコード領域と同じ時間枠内で発生します。
- 最高情報セキュリティ責任者 (CISO)
最高情報セキュリティ責任者(CISO、Chief Information Security Officer)は、組織の情報セキュリティ対策を指揮し、機密資産が十分に保護されていること、スタッフが脆弱性を管理・防止できることを保証し、実証します。
- 修復済
ライブラリのステータスの場合、脆弱なライブラリに対応・対策済であることを表します。
- 静的アプリケーションセキュリティテスト (SAST)
アプリケーションをインストールや実行せずに、アプリケーションに潜在する脆弱性を検出する手法。
- 動的アプリケーションセキュリティテスト (DAST)
セキュリティテストの1手法で、アプリケーションの実行状態を調べて、脆弱性に到達する条件を検出します。
- 報告済
ライブラリのステータスの場合、脆弱性のあるライブラリがContrastで検出されたときのステータスです。
- 未使用の関数
シャドウ関数とも呼ばれます。90日以上呼び出されていないクラウド環境上の関数です。
- 問題無し
ライブラリのステータスの場合、 このライブラリにある脆弱性は認識済みであり、そのリスクは許容できるものであることを表します。