サーバレスセキュリティについて考える ①

少し前にサーバレスセキュリティに関して問い合わせを受け、改めてサーバレスセキュリティの必要性や、具体的な対策について整理しました。その結果を個人の意見を交えつつアウトプットします。

 

本題に入る前にお知らせです!
=======
【CSPMマネージドサービス SmartOneCloudSecurity】
SmartOneCloudSecurityは、PrismaCloudを用いたCSPMマネージドサービスです。PrismaCloudの導入から設定変更まで、弊社技術担当者がお客様のCSPM対策をサポートします。CSPMの導入を検討中の方はもちろん、PrismaCloudを利用中だけど機能や運用面でもっと上手に活用したい、というような課題をお持ちな方は、お気軽に下記URLからお問い合わせください。PrismaCloudのPoCの相談も受けています。

New!! 2023/4より、CWPPの導入サポートも始めました!

Smart One Cloud Security®
パブリッククラウドのセキュリティ設定を診断/監視するマネージドCSPMサービスです。Palo Alto Networks社Prisma Cloud(CSPM機能)を使い易く、簡単に導入いただけます。
www.scsk.jp

 

1. サーバーレス・コンピューティングとは

まず、守る対象であるサーバレス・コンピューティングとはどういうものかを簡単に説明します。

その名前の通り、「サーバーレス」は、開発者が物理的なサーバーや仮想マシンの管理から解放され、ソフトウェアの機能開発に集中できるようにする技術です。
サーバーレスでは、コードの実行はAWS LambdaやGoogle Cloud Functionsなどクラウドプロバイダーが管理する仮想的なコンテナ内で行われます。
開発者は関数(ファンクション)を記述し、それが特定のイベントによってトリガーされるよう設定します。

サーバレス・コンピューティングは、その拡張性、費用対効果、使いやすさから、組織での採用が増加しています。
リサーチ・ネスタ―社の調査(※1)によると、予測期間(2022年から2031年)に約23%のCAGRで成長するという報告になっていて、
CAGRは予測期間における年平均の成長率を表すものなので、今後10年で毎年平均23%成長する予測ということです。

これは、より多くの機密データや重要なアプリケーションがサーバーレス環境でホストされていくというように捉えることができて、
それに連動する形で、サーバレス環境でのセキュリティ対策が重要な関心事となってきています。

※1 出展:サーバーレスアプリ市場は、2022年から2031年にかけて約23%のCAGRで成長すると予測

 

2. サーバレス環境のセキュリティ上の問題

では、サーバレス環境で発生しうるセキュリティ上の問題について触れたいと思います。

クラウドプロバイダーがサーバー管理を担当し、関数単位で処理が実行されるサーバーレスの特性から、今までのサーバーベースのアプリケーションとはまた違った問題が発生します。その中でも主だった2つの問題について以下に記載します。

  • 複雑化する関数の管理
    サーバーレス環境ではそれぞれの関数が独立して動作するため、関数個別にセキュリティ対策も行う必要があります。管理する関数が多くなると個別にセキュリティ対策を行うことが難しくなり、その結果、セキュリティ対策が行われない関数が潜在的な攻撃の入口となりえます。特に、関数に付与する権限と、関数が利用するサードパーティのライブラリの依存関係をどう管理するかが問題になります。
    例えばサードパーティのライブラリが脆弱性を抱えていて、関数に必要以上の権限が与えられていた場合、脆弱性をつかれて侵入を許し、過剰な権限を用いて横展開され機密情報にアクセスされる、というインシデントが発生します。
  • サーバレス特有の動作による検出と対応の難しさ
    サーバーレスの関数は要求に応じて即座に起動し、タスクが完了するとすぐに終了します。また、必要に応じてスケールもします。
    この柔軟で高速なライフサイクルは、既存の監視の仕組みでは不正な動作を検出しにくい環境となっています。
    また、サーバーレスアーキテクチャでは、物理的なインフラをクラウドサービスプロバイダーが管理します。これは運用コストと時間を削減する一方で、仮に不正な動作を検出できたとしても、問題を特定し修正することを難しくします。           

これらの課題に対しては、負荷を抑えながら継続的に評価を行える環境を準備する必要がありますが、従来の仕組みでは対応が難しく、サーバレス環境ならではの対策が必要になります。そのため、サーバレス環境へのセキュリティ対策の重要性が高まってきていると考えています。

 

3. サーバレス環境のセキュリティ対策の重要性

サーバレス・コンピューティングの特性や課題を踏まえて、対策することの重要性について解説します。

サーバレスへの移行が進み、機密データもサーバレスアプリケーションで処理される流れにあわせて攻撃も増加し、攻撃者はさらに高度なテクニックを使用するようになっています。
サーバーレスのセキュリティ対策が不十分な場合、データ漏えい、サービスの中断、または法規制違反につながる可能性があり、それらは企業にとって財政の面でも、評判の面でも少なくない影響を受けます。

それゆえに、サーバーレスアーキテクチャの持つ固有の問題に対策することが重要になってきます。具体的には、関数のライフサイクルを通じてのセキュリティを強化したり、最小権限の原則に基づいたアクセス制御を適用したりするなどが挙げられます。

サーバーレスアプリケーションのセキュリティ対策は、企業のIT戦略の1つとしてもはや外せないものとなりつつあります。今後はサーバーレスが更に一般的になるにつれて、そのセキュリティに対する理解と対策が更に重要になってきます。そのためには、セキュリティのベストプラクティスを学び、適用し、評価することが不可欠です。

 

この記事では、サーバーレスとそのセキュリティ対策の重要性までを解説しました。次回は、もう少し踏み込んで、具体的なセキュリティ対策、対策ツール、ベストプラクティスなどについて解説していければと思います。

 

関連記事

CWPPとは何か? クラウドワークロード保護の必要性を解説
クラウド上のデータとアプリケーションの安全性を確保するソリューションとして、日本でも徐々にCWPPの認知度が高まってきています。 CWPPの概要と必要性について解説します。
blog.usize-tech.com
2023.05.23
タイトルとURLをコピーしました