ソフトウェアをクラウドに移行することで、多くのメリットが得られます。オンプレミスインフラでは不可能な方法でアプリケーションを拡張できるようになります。さらに、自社でデータセンターを構築するよりも、他者が設置したデータセンターの利用時間を借りる方がはるかに安価です。別の大陸にいる顧客に近い場所にサーバーを設置したいですか?クラウドがそれを実現します。
多くの組織は、クラウド移行時のアプリケーションセキュリティを懸念しています。実際のところ、クラウドアプリケーションのセキュリティは、他のアプリケーションのセキュリティと何ら変わりはありません。クラウドでもオンプレミスでも、アプリケーションを保護する方法は、脅威を理解し、それを軽減する方法を知ることです。
クラウド上では、セキュリティを確保しやすい要素が数多く存在します。本記事では、クラウドアプリケーションのセキュリティ対策においてチームが下す最も一般的な判断について解説します。これらは単独ではアプリケーションを完全に保護するものではありませんが、非常に有効な出発点となるでしょう。
クラウドアプリケーションセキュリティに関するよくある質問
クラウドアプリケーションセキュリティは、クラウド環境でホストされるソフトウェアやデータを、データ侵害、不正アクセス、悪意のある活動などの脅威から保護することに重点を置いています。クラウド経由で提供されるサービス全体で機密性、完全性、可用性を確保するため、アプリケーションコンポーネント、API、ユーザーアクセス、データフローの保護をカバーします。
まず、多要素認証を含む強力な認証とアクセス制御を実施します。保存時と転送時の両方でデータ暗号化を使用します。脆弱性を定期的にスキャンし、速やかにパッチを適用してください。
アプリケーションの動作とログを監視し、異常を検知します。また、ユーザーにフィッシングやソーシャルエンジニアリングを回避する訓練を行い、定期的なコードレビューを含む安全な開発ライフサイクルを実装してください。
一般的な問題には、アクセス権限の設定ミス、安全でないAPI、脆弱なID管理、暗号化されていないストレージからのデータ漏洩、古いソフトウェアコンポーネントが含まれます。インジェクション脆弱性、認証の不備、不十分なログ記録もクラウドアプリケーションを危険に晒します。内部者による脅威や侵害された認証情報も同様です。
クラウドセキュリティはネットワーク、コンピューティング、ストレージ、構成などクラウドインフラ全体を保護します。一方、アプリケーションセキュリティはコードレベルや実行時レベルのソフトウェア脆弱性やリスクに特化して対処します。
アプリケーションセキュリティは、攻撃者が悪用可能なアプリ内部の欠陥を防ぐことに重点を置きます。一方、クラウドセキュリティは、それらのアプリをホストする環境が安全に管理されることを保証します。
クラウドアプリケーション向けに設計されたWebアプリケーションファイアウォール(WAF)、ランタイムアプリケーション自己保護(RASP)ツール、APIセキュリティゲートウェイ、脆弱性スキャナーがあります。クラウドアクセスセキュリティブローカー(CASB)はSaaSアプリケーションを監視します。開発者はCI/CDパイプライン内で静的・動的アプリケーションセキュリティテスト(SAST/DAST)を活用し、問題を早期に検出します。
例としては、ウェブサイトへの悪意のあるトラフィックをブロックするAWS WAF、暗号化キー管理のためのAzure Key Vault、不正利用防止のためのCloudflare API保護、クラウドアプリにおける安全なID管理のためのOAuth実装などが挙げられます。また、ロギングとアラート機能による継続的なセキュリティ監視も脅威の検出に役立ちます。
主な脅威には、アカウント乗っ取り、不安全なAPI、クロスサイトスクリプティング(XSS)、SQLインジェクション、データ漏洩を引き起こす権限設定ミス、アプリケーションワークロードを標的としたランサムウェア、侵害されたサードパーティ依存関係を通じたサプライチェーン攻撃が含まれます。ソーシャルエンジニアリングや内部関係者による悪用も依然として重大なリスクです。
