クラウドのアプリケーションが普及するに従い、セキュリティリスクも肥大化している。インフラだけでなくアプリ自体のセキュリティを強化し、脆弱性を防止するため方法を紹介する。
昨今、クラウドベースのアプリは広範囲に普及し、目覚しいスピードで増え続けている。これらのアプリはインターネット経由でアクセス可能であり、どこでも、誰でも使用できることから、セキュリティは非常に重要となる。クラウドベースのアプリを作成・管理する企業は、アプリを構成する全てのレイヤーが安全であることを保証しなければならない。アプリのユーザーは、その安全性が頼りなのだ。
例えば、米GoogleのGmailが悪意のある攻撃者によってハッキングされ、ユーザーの電子メールの内容が読み取られた場合にどうなるか想像してみよう。Googleには非常に悪い評判が立つだろうが、それだけでなく、ユーザーはすぐに別の電子メールを探し始めるだろう。結果として顧客を失い、最終的にはお金も必然的に失うことになる。また、ハッカーがGmailのセキュリティ上の脆弱性を悪用していたことが判明し、そしてそのセキュリティホールがあらかじめ確認されていれば悪用を容易に防げたことが明らかになったら、ユーザーはどういった反応を示すだろうか? これは少々大げさな例だが、このような状況は日常的に起こっており、企業は手遅れになる前に、セキュリティ侵害を防ぐための適切な対策を打つことが極めて重要になる。
本記事では、クラウドベースのアプリのセキュリティを最大限に強化し、セキュリティ侵害を防ぐために企業が採用できる3つの異なる戦略について説明する。
クラウドベースのアプリのセキュリティを確保するための最初のアプローチは、可能な限り多くの脆弱性を見つけて修正することだ。アプリのセキュリティ上の脆弱性を探す方法は数多く存在する。例えば、手動または自動ソースコードレビュー、汚染解析、Webスキャン、ファズテスト(※1)、フォールトインジェクション(欠陥注入)テストやシンボリック実行など。しかしながら、Webアプリのソフトウェア脆弱性を見つける場合は、これらの手法の全てが同じように適用できるわけではない。クラウドベースのアプリでは、アプリ自体の脆弱性だけでなく、OSやハイパーバイザーのような下位レイヤーの脆弱性の両方を考慮しなければならない。そのため、侵入テストサービスを採用してアプリをチェックし、検出されたあらゆる脆弱性に関するセキュリティ報告書を作成することは、常に有効な良い方策だ。
※1 ファズテスト(fuzz testing/fuzzing):ランダムな不良データ(ファズ)を用いて、プログラムを攻撃し、どこに障害が発生するかを調べるテスト。
セキュリティ検査を実施した後でも、ゼロデイ攻撃に対する脆弱性が存在する可能性について考慮しておくことが重要だ。しかし、検査の過程で、大部分の危険度の高い脆弱性は排除されるものである。
クラウドアプリのセキュリティを最強にするための第2の戦略は、アプリの新しい脆弱性を発見するのではなく、既存の脆弱性が悪用されるのを防ぐことだ。こうした悪用を防止するための技術やツールが幾つかある。
ファイアウォールは、非武装地帯(DMZ)との境界の特定ポートへのアクセスをブロックするために使用する。これで、攻撃者がインターネットから、または別のDMZから脆弱なアプリにアクセスする攻撃を防ぐことができる。
IDS/IPSを使用して既知の攻撃パターンを探し出し、攻撃が対象のアプリに到達する前にブロックすることができる。
WAFは、アプリケーションレイヤーでの悪質なパターンを探すために使用でき、SQLインジェクション、クロスサイトスクリプティング、パストラバーサル(パスの乗り換え)のような脆弱性を検出することが可能だ。WAFには、ブラックリスト方式、ホワイトリスト方式の2種類のソフトウェアがある。ブラックリスト方式のWAFが既知の悪質なリクエストだけをブロックするのに対し、ホワイトリスト方式のWAFは、デフォルトで全ての疑わしいリクエストをブロックする。ブラックリスト方式では、ブラックリストに存在しないリクエストでも、WAFを完全にバイパスしないようにクエリを再構築するのは簡単だ。ホワイトリストの方が安全だが、全ての有効なリクエストを手作業でプログラムしなければならないため、設定に多くの時間を必要とする。企業がWAFの構築に時間を投資する用意がある場合、WAFは最終的により強固なものになるだろう。NginxのWebサーバを運用している企業は、オープンソースのNaxsi Webアプリケーションファイアウォールをホワイトリスト方式として使用し、アプリを保護することを検討すべきだ。
CDNは、インターネット経由で複数のデータセンターを介してコンテンツを配信し、Webページをより速くロードするためにドメインネームシステム(DNS)を使用している。ユーザーがDNSリクエストを送信すると、CDNはユーザーの場所に最も近いIPアドレスを返す。これは、Webページをより速くロードできるだけではなく、トラフィックはCDNを通って流れるため、結果的にシステムをサービス妨害(DoS)攻撃から保護している。通常、CDNはWAF、電子メール保護、稼働時間とパフォーマンスの監視、Googleアナリティクスなど、他の保護メカニズムも持っており、これらを使用することもできる。
2要素認証のメカニズムを可能な限り採用すべきだ。クラウドアプリへのログインに、ユーザー名とパスワードの組み合わせだけでは巨大な脆弱性となる。攻撃者はソーシャルエンジニアリング攻撃を通じて、この情報を収集できる可能性があるからだ。また、攻撃者はパスワードを推測したり、ブルートフォース攻撃(※2)で強引に解析したりすることも考えられる。なお、シングルサインオン(SSO)も、生産性を向上させると同時に、セキュリティを保持しつつ、全てのユーザーに適切なアクセス権を持たせることを保証する。
※2 ブルートフォース攻撃(Brute Force Attack):力ずくで暗号を解読して、パスワードを取得する攻撃手段のこと。Brute Forceとは「力ずくで、強引に」という意味。
クラウドアプリに対するセキュリティ攻撃の被害を最小限にとどめるために、クラウドサービス事業者(CSP)がとり得る手段は幾つかある。
危険にさらされたアプリが与えるダメージを仮想環境のインフラだけに限定することでセキュリティを強化できる。だが、アプリを独自の仮想環境で実行するということは、企業や組織が稼働中の全てのアプリ用にOSを用意する必要があることを意味する。これは全くのリソースの無駄遣いであり、コンテナの人気がとても高くなっているのはこのためである。コンテナは、本格的な仮想化レイヤーを必要とせずに、システムの残りの部分からアプリを隔離することができるソフトウェアコンポーネントである。代表的なコンテナとして、Linuxコンテナ(LXC)やDockerが挙げられる。
ハッカーがバックエンドシステムへアクセスできても、アプリに対する攻撃の影響はサンドボックス環境内に限定される。そのため、OSへアクセスする攻撃を仕掛けるにはサンドボックスを突破する必要がある。LXCやDockerなどさまざまなサンドボックス環境が利用できる。
社会保障番号やクレジットカード番号などの重要な情報をデータベースに格納する際には、適切に暗号化しなければならない。アプリが暗号化をサポートしていれば、企業は既に暗号化された形態でデータをクラウドに送信することになる。
攻撃が発覚した場合、攻撃がどこから来たのか、背後にいる攻撃者は誰か、いかにして問題を軽減するか、これらのことを迅速に判断するためのロギングシステムやSIEMを用意しておくとよい。
適切なバックアップシステムは、何かがうまくいかなかった場合に非常に重要となる。正常に稼働するバックアップシステムを構築することは簡単ではなく、間違いなく運用するにはかなりの時間が必要だ。このため多くの企業は、バックアップのプロセスを外部委託することを選択する。
データをオンプレミスではなくクラウドに保持する場合、解決しなければならない新たなセキュリティ上の課題が多く存在する。だが幸いなことにこれらの課題を解決しやすくする方法もたくさんある。アプリの脆弱性を見つけて修正することは、脆弱性の悪用を防ぐことと同様に重要であり、また、悪意のある攻撃をブロックする適切な防御メカニズムを持つことと同じく、欠かすことのできないものでもある。
これまでに述べたように、クラウドベースのアプリを保護するには多くの方法があるが、適切にセットアップするには時間と労力が必要になる。こうした制約があるため、企業は多くの場合、投資に対するリターンをすぐには見いだせず、セキュリティの重要性を軽視しがちだ。実際問題として、セキュリティはアプリのインフラが危険にさらされて初めて重要視されることが多い。しかしながら、そもそもアプリのセキュリティを強化し、脆弱性を防止するための適切な手順を取り、万が一、脆弱性が悪用された場合の対策を用意しておくことは、クラウドアプリ環境の成功とセキュリティのみならず、組織全体の活力にとっても、極めて重要である。
Copyright © ITmedia, Inc. All Rights Reserved.
2024年に実施されたエンドポイントセキュリティに関する調査で、多くの企業がAIやそのセキュリティ課題に未対応であることが明らかになった。本資料では、業務用PCのリスクを回避するための具体的な方法について解説する。
攻撃対象領域の拡大に伴い、SOCは高優先度のアラート対応で手いっぱいになり、トリアージにおいても十分な追加検証が行えていない。この現状を打開するには、AI/機械学習を活用し、大量のデータをセキュリティ対策に生かす手法が有効だ。
リモートアクセスを保護する方法として注目されるゼロトラストネットワークアクセス(ZTNA)。その実現手段として検討したいのが、エンドポイント上でポリシーを適用し、アクセスをきめ細かく最適化する先進的なZTNAソリューションだ。
サイバー攻撃が高度化する中、企業・組織はこの対応に苦慮している。本資料では、CISOやSecOpsリーダーなど、役割別の課題を整理し、この解決につながる製品の選定においてチェックしたいポイントを紹介する。
ハイブリッドワークの定着により働き方が変化する中、セキュリティを強化する方法として注目されるSASE。だが実際には、スタンドアロン製品で構成されるものも多く、性能に不満の声もあった。これらを解消する、AI搭載の統合型SASEとは?
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
