防衛研究所からモバイルアプリまで：アプリケーション保護の成長

2001 年はアプリケーション セキュリティにとって転換点となりましたが、当時それを認識した人はほとんどいませんでした。

4月、米海軍のEP-3戦闘機が中国の迎撃機と空中衝突し、海南島に緊急着陸した。乗組員は着陸前に機密機器と文書を破壊するために26分間の猶予を与えられた。彼らは即興で、ディスクドライブにコーヒーを注いだり、ハードディスクに斧を使ったりしたが、それでも十分ではなかった。

同じ年に、ソフトウェア セキュリティの向上を目的とした OWASP が設立されました。これが、現在私たちが追跡している MASVS のような標準を最終的に定義するコミュニティの始まりでした。

そして同年、パデュー大学の博士課程に在籍していたホイ・チャンは、指導教官のミハイル・アタラ、同僚のティム・コルブ、ジョン・ライスと共同で、Windowsアプリケーションを難読化するプログラムを開発しました。この成果がArxanです。

1年間で3つのイベント。保護されていないシステムに攻撃者がアクセスすると何が起こるかを示す劇的なデモンストレーション。大規模なソフトウェアセキュリティ対策のためのコミュニティ形成。そして、アプリケーションのリバースエンジニアリングを困難にするために設立された企業。

この合流は偶然ではありませんでした。アプリケーション保護は、国家安全保障、商用ソフトウェア、そしてセキュア開発という新たな分野といった、境界を越えた懸念事項になりつつありました。これらの要素が一つにまとまるまでには何年もかかりましたが、2001年にすべてが明らかになったのです。

防衛時代

2年前、国防総省は軍事調達プログラムにおいて改ざん防止技術の導入を義務付ける初の命令を出しました。脅威となったのは、研究所、リバースエンジニアリングの人材、そして一度の実行で命令シーケンス全体をキャプチャできる機器を備えた国家でした。産業界で発生した一連の出来事により、適切な権限を持つ関係者にとって、それが現実世界でもたらす影響は明らかになりました。

一部の防衛プログラムは当初から保護を採用していましたが、他のプログラムは免除を主張しました。改ざん防止策は費用を増大させ、スケジュールを遅延させ、すべてのコードを要件まで遡って追跡可能にする必要がある検証・妥当性確認プロセスを複雑化させたからです。難読化は、設計上、その追跡可能性をさらに困難にしました。

今日でも同じ緊張関係が存在し、開発を複雑にするセキュリティ対策は、損失によってそのコストが否定できなくなるまで抵抗されます。

しかし、政策の執行は時とともに厳格化されました。すでに実施中のプログラムは免除を受けることができましたが、新規のプログラムはますます困難になっていきました。こうした小さな雪片が積み重なり、雪崩のように押し寄せていきました。

Arxanはそのような環境の中で設立されました。同社の初期の知的財産はパデュー大学からライセンス供与を受けており、当初は防衛改ざん防止アプリケーションに重点を置いていました。

商業移住

2010年、Arxanの防衛部門は規制上の理由によりMicrosemiに売却されましたが、商業事業は独立して継続されました。同じ保護技術は新たな用途で活用されました。

あるソフトウェア会社は、自社製品がリバースエンジニアリングされ、桁違いの割引価格で転売されていることを発見しました。競合他社は、自社製品のコピーを1つ購入し、ライセンスをクラックすることで、元のベンダーよりも低価格で販売することが可能でした。脅威は具体的であり、損失は定量化可能でした。

製造装置も同様のリスクに直面していました。海外の競合他社が機械を購入し、ハードウェアを分解し、それを制御するソフトウェアをリバースエンジニアリングすることで、即座に模倣品が作られる可能性がありました。貴重な知的財産は物理的な設計だけでなく、コードにも存在していたのです。

初期の商業購入者は脅威に駆り立てられていました。彼らは問題を直に見て、解決策を模索していました。

金融

英国の大手銀行は、先見の明があり、自社のアプリケーション利用状況における初期の異常に気づき、規制で義務付けられる前から独自の保護対策の構築に着手しました。私たちは彼らと提携し、必要な機能を実装し、現在も彼らを保護しています。

他の銀行もこれに追随しました。中には、詐欺被害額を定量化し、撲滅を目指した銀行もありました。ある銀行は、毎年多額の詐欺対策予算を維持していましたが、アプリケーション保護を導入したことで、もはやその予算は不要になりました。

このパターンは業界全体で繰り返されました。まず最大手の金融機関が脅威を認識し、その後、小規模な銀行、地方金融機関、信用組合、保険会社へと知識が広まりました。従業員は組織間を異動し、専門知識を持ち込みました。その論理は単純です。あるセキュリティリーダーが銀行強盗に関する古い言い回しを引用して述べたように、金はそこにあります。

ゲームと収益保護

ゲームスタジオは、特定の計算に基づいて保護対策に取り組んでいました。ゲームの収益の大部分は発売後数週間で発生し、急激な増加の後、長い期間にわたって減少します。スタジオは私たちに率直にこう訴えました。「この重要な期間を耐え抜くための保護が必要だ」と。攻撃者はいずれ突破口を見つけるだろうと分かっていましたが、その頃には収益曲線は平坦化していました。

ゲーム業界は、時間制限のあるセキュリティを明確に定義した最初の業界の一つです。保護は永続的である必要はなく、収益が見込める期間に十分なものでなければなりません。この概念はゲーム業界以外にも適用され、製品の発売、M&A期間、規制対象の展開など、あらゆる場面で同じダイナミクスが働きます。

脅威は具体的であり、タイムラインはわかっており、投資収益はすぐに得られました。

医療機器

医療機器メーカーは、近年ますます厳格化しているFDAのサイバーセキュリティ要件に直面しています。改ざんやリバースエンジニアリングに対する保護は、今や規制の枠組みの一部となっています。

しかし、コンプライアンスだけが推進力ではありません。これらの企業は、競合他社がアクセスすることで利益を得られるような、独自のアルゴリズム、診断ロジック、治療プロトコルといった貴重な知的財産も保有しています。その動機はよく知られています。規制遵守は義務を生み出しますが、知的財産保護は緊急性を高めます。

市場の現状

2020年にArxanはCollabNet VersionOne、XebiaLabs、Experitest、Numerifyに加わり、 Digital.aiArxan の名前はアプリケーション セキュリティ業界ではよく知られており、そのテクノロジーは進化し続けています。

今日、バイヤーは様々なタイミングで、様々な状況で市場に参入しています。中には、詐欺による損失、著作権侵害、競合情報への懸念など、脅威を直に目の当たりにしてきた企業もあれば、取締役会レベルの問題やベンダーのセキュリティ要件に対応している企業もあります。また、自社のアプリケーションに保護が必要かどうかを検討し始めたばかりの企業もあります。

市場は成熟しており、その成熟により、これまで以上に多くの組織が保護されるようになりました。

私たちが学んだこと

脅威は根本的に変わっていません。アプリケーションにアクセスできる敵対者（国家機関の研究所であれ、自由に利用できるツールを持つ意欲的な個人であれ）は、それを分析するでしょう。変わったのは、誰が注目しているかです。

25年前、アプリケーション保護は防衛上の懸念事項でした。今日では、金融サービス、ゲーム、製造、医療など、幅広い分野に広がっています。ツールは進化し、導入はよりシンプルになり、分析はより高度になり、必要な設定も少なくなっています。しかし、根本的な問題は依然として残っています。貴重なロジックとデータが、管理できない環境で実行されるソフトウェアの中に存在しているのです。

私たちは、成熟度曲線のあらゆる段階にあるバイヤーと仕事をしてきました。失敗を経験したために早くから参入してきたバイヤーもいれば、業界が追いついたために後から参入してきたバイヤーもいます。そして、まさに疑問を持ち始めたばかりのバイヤーもいます。

私たちが発見したのは、参入のきっかけよりも、自らのリスクを理解しようとするコミットメントが重要だということです。私たちは長年この分野に携わってきたので、どこから始まったとしても、その対話をお手伝いすることができます。