クラウドアプリケーションセキュリティとは何でしょうか？

クラウドアプリケーションセキュリティとは何でしょうか？本ガイドでは、進化するクラウドセキュリティソリューションの変化、課題、そして機会について検証してまいります。

クラウドアプリケーションセキュリティは、クラウドベースのアプリケーションが普及するにつれ、ますます重要な課題となっています。クラウドはアプリケーション構築にモジュール型アプローチを可能にし、開発チームと運用チームが機能豊富なアプリを迅速に作成・展開することを可能にします。しかし、クラウドネイティブアプリケーションを俊敏かつアジャイルにするこれらの特性は、同時に様々なクラウドアプリケーションセキュリティリスクをもたらす可能性もあります。

クラウドアプリケーションセキュリティの実践を取り入れることは、組織がアプリケーションセキュリティリスクを回避し、ソフトウェア開発ライフサイクル（SDLC）を円滑に運用し、全体として強固なセキュリティ体制を確立するための効果的な方法です。しかし、複雑なマイクロサービスベースのクラウドネイティブアプリケーションにおいて、DevSecOpsチーム内でこれらの実践を実装することは、しばしば非常に困難な場合があります。

クラウドアプリケーションセキュリティとは何でしょうか？

クラウドアプリケーションセキュリティとは、クラウドベースのアプリケーションが外部または内部の脅威による侵害や障害に晒されるリスクを低減することを目的とした、ポリシー、プロセス、および制御の組み合わせです。

クラウドアプリケーションセキュリティには、一般的に、認証とアクセス制御、データ暗号化、IDおよびユーザー管理、脆弱性管理が含まれます。また、セキュアな開発プラクティス、セキュリティ監視とロギング、コンプライアンスとガバナンス、インシデント対応も必要となります。

クラウドアプリケーションセキュリティの実践により、組織は安全なコーディング手法の遵守、検知と対応のための活動監視・記録、規制への準拠、インシデント対応計画の策定が可能となります。

多くの組織では、ハイブリッドクラウド環境に分散してアプリケーションをホストしており、プライベートクラウド、パブリッククラウド、オンプレミスリソースを組み合わせて利用しています。クラウドアプリケーションセキュリティは、クラウドサービスプロバイダーとサービスを利用する組織との間で責任が共有されます。Amazon Web Services（AWS）、Microsoft Azure、Google Cloud Platform（GCP）などのパブリッククラウドでアプリケーションを実行する場合、プロバイダーはインフラストラクチャのセキュリティを確保します。一方、アプリケーション内部および構成に関するセキュリティ対策はお客様の責任となります。

オンプレミスまたはプライベートクラウド上で、ご自身が管理するサーバーにアプリケーションを稼働させる場合、アプリケーション自体のセキュリティに加え、オペレーティングシステム、ネットワークインフラストラクチャ、物理ハードウェアのセキュリティ確保もお客様の責任となります。

クラウドアプリケーションのセキュリティ確保における主な特徴は何でしょうか？

クラウドアプリケーションには、効果的かつ適切にセキュリティを確保し、良好なセキュリティ態勢を構築するために特定のアプローチを必要とする、いくつかの重要な特徴があります。

オープンソースソフトウェア

アプリケーションを迅速に開発するため、開発者は主要な構成要素としてオープンソースソフトウェアに依存することがよくあります。調査によれば、ほぼすべてのソフトウェアプログラム（96%）が何らかのオープンソースソフトウェアコンポーネントを含んでおり、それらのアプリケーションのほぼ半数（48%）が高リスクの脆弱性を露呈しています。

オープンソースソフトウェアの利用は、開発者が新しいアプリケーションを構築するたびに一から作り直す必要がないため、開発の加速に役立ちます。例えば、組織が複数のソースからのデータフローを処理するアプリケーションを構築する場合、主要なコネクタを一から構築する必要性を排除するオープンソースのアプリケーションプログラミングインターフェース（API）を見つけることができるかもしれません。

しかしながら、オープンソースソフトウェアはセキュリティ脆弱性の媒介となることが少なくありません。アプリケーションを適切に保護するためには、開発者がこれらの脆弱性を特定し、排除できることが求められます。

マイクロサービスベースのアーキテクチャ

マイクロサービスベースのアーキテクチャを用いて構築されたアプリケーションは、異なるクラウドプラットフォーム間で動作し、相互に連携することが可能です。この分散化により、組織はあらゆる環境でアプリケーションを容易に接続・展開できるため、柔軟性、俊敏性、アプリケーションの回復力が向上します。課題は、アプリケーションが複数の相互依存関係を持つことが多く、従来のセキュリティツールでは追跡、監視、管理が容易でない点にあります。

コンテナベースのデプロイメント

コンテナは、最新のクラウドアプリケーションをデプロイおよび運用するための理想的な方法を提供しますが、同時に2つの主要な可視性の課題も生じさせます。第一に、コンテナの寿命が短いため、従来のセキュリティツールが本番環境でそれらをスキャンすることが困難です。第二に、コンテナは通常、従来のセキュリティツールに対して不透明であるため、監視の死角が生じます。

迅速な開発と反復

現代のクラウドアプリケーションは、アジャイルやDevOpsといった現代的な手法を用いて開発されることが一般的です。リリースサイクルは非常に速く、場合によっては毎日、あるいは1日に複数回行われることもあります。

残念ながら、従来のセキュリティテストやソフトウェア構成分析では、結果を得るまでにかなりの時間を要します。また、多くの場合、あまりにも多くの「重大な」問題がフラグされ、各問題について手動での調査が必要となります。このプロセスにより、デプロイが遅延したり、開発者がプロジェクトの納期に間に合わせるためにセキュリティテストを省略したりする原因となる可能性があります。実際、最近の調査によると、調査対象のCIOの34%が、迅速なイノベーションサイクルの要求を満たすためにコードのセキュリティを犠牲にせざるを得ないと報告しています。

クラウドアプリケーションのセキュリティがなぜそれほど重要なのでしょうか？

クラウドネイティブアプリケーションはビジネスを変革する一方で、その分散型特性により攻撃対象領域も拡大します。これにより悪意ある攻撃者は保護対象資産への新たなアクセスポイントを多数獲得します。強固なセキュリティ態勢を確立するため、組織が堅牢なクラウドアプリケーションセキュリティ戦略を有していることを確認することが極めて重要です。

堅牢なクラウドアプリケーションセキュリティをビジネスに実装することは極めて重要です。アプリケーションレベルの脆弱性に対する攻撃が最も一般的な攻撃形態であるためです。金融サービス業界だけでも、2021年から2022年にかけてWebアプリケーションおよびAPI攻撃が257％急増しました。

同様に、オープンソースライブラリに対する攻撃も増加しています。最近の事例としては、2014年のHeartbleed脆弱性、2017年のApache Struts攻撃、2021年のLog4Shell攻撃が挙げられます。これらの事例では、オープンソースライブラリの脆弱性が攻撃者に悪用され、アプリケーションが侵害され、数千の組織に混乱をもたらしました。一部の組織では、継続的な収益と評判の損失、ユーザー信頼の低下に見舞われました。

相互運用性もクラウドアプリケーションセキュリティにおいて重要な役割を果たします。クラウドアプリケーションが利用する接続量や、マイクロサービス間の通信にAPIを使用するケースは増加の一途をたどっています。組織は、アプリケーションスタックがどこに存在するかに関わらず、その監視と管理を改善する方法を必要としています。

効果的なクラウドアプリケーションセキュリティの課題

クラウドアプリケーションのセキュリティ確保における一般的な課題には、以下のようなものがあります：

オープンソース脆弱性の特定が困難

前述の通り、現代のアプリケーションのコードベースの約70%は現在、オープンソースソフトウェアで構成されています。オープンソースソフトウェアの多くには既知の脆弱性が含まれています。ソフトウェア構成分析（SCA）などの開発者向けツールは、多くの誤検知アラートを生成する傾向があります。これらのアラートは開発の遅延を招きがちです。さらに、ネットワークスキャナーなどの一般的な運用ツールでは、コンテナ内のオープンソース脆弱性を正確に検出できません。

セキュリティ自動化とDevSecOpsの成熟度の不足

手動での手順、設定、カスタムスクリプトを必要とするセキュリティツールは、開発のペースを遅らせます。実行と結果の生成に時間を要するツールも同様です。最近のCISO調査では、86%のCISOが「自動化とAIはDevSecOps実践の成功とリソース課題克服に不可欠」と回答しています。しかし、成熟したDevSecOps文化を確立していると報告したのはわずか12%でした。その結果、81%のCISOが「DevSecOpsの効果的な運用方法を見出せなければ、セキュリティ脆弱性の悪用が増加する」と懸念を示しています。

セキュリティの点解決策が多すぎる

クラウドアプリケーションセキュリティツールは、開発者が発見した問題を統合できる場合にのみ効果を発揮します。同じCISO調査では、97％が特定のセキュリティタスク向けポイントソリューションの過剰使用が問題を引き起こしていると回答しました。さらに75％が、チーム間のサイロ化とDevSecOpsライフサイクル全体におけるセキュリティポイントソリューションの増加が、脆弱性が本番環境に漏れるリスクを高めていると報告しています。

現代の開発手法がゼロデイ脆弱性検出を阻害

オープンソースソフトウェアやマイクロサービスベースのアプリケーションアーキテクチャといった現代の開発ツールはアプリケーションの柔軟性を高める一方で、脆弱性の脅威範囲も拡大させます。CISO調査では、回答者の68%がソフトウェアサプライチェーンとクラウドエコシステムの複雑化に伴い脆弱性管理が困難になったと回答。同様に76%が、ゼロデイ攻撃の発見から脆弱なソフトウェアの全インスタンスへのパッチ適用までの時間がリスク最小化の重大な課題であると指摘しています。

サイロ化された可視性

従来のセキュリティツールは脆弱性をサイロ化された視点で捉えます。これらのツールはマイクロサービスベースのアプリケーションのリスクを適切に評価できず、クラウドの境界を越えた可視性も持ちません。結果として、アプリケーションの全体像を把握できず、境界を越えた一貫したセキュリティポリシーの適用も困難です。そのため、チームは異なる環境ごとに複数の製品を導入し、それらを継ぎ接ぎで統合する対応を取らざるを得ません。その結果、ツール間やチーム間の連携が不十分になることが一般的です。

クラウドアプリケーションのセキュリティ脅威

クラウドアプリケーションは、様々なセキュリティ脅威にも脆弱です。以下に最も一般的な脅威を挙げます：

• 設定ミスとは、クラウドアプリケーションの設定に誤りや不備が生じ、セキュリティ上の脆弱性を引き起こしたり、機密データを漏洩させたりする可能性のある状態を指します。設定ミスは頻繁に発生し、クラウドアプリケーションスタック内の様々なレベル（オペレーティングシステム、Webサーバー、アプリケーションサーバー、データベースなど）で発生する可能性があります。
• 不正アクセスとは、攻撃者が許可なくクラウドアプリケーションやリソースにアクセスすることを指します。これは、パスワードの盗難、脆弱な認証、アプリケーション自体の脆弱性などを通じて発生する可能性があります。
• 内部者による脅威とは、特に組織内の個人に焦点を当てたセキュリティリスクであり、クラウドアプリケーションやリソースへの正当なアクセス権限を持つ個人が、そのアクセス権を悪用するケースを指します。データの窃取や攻撃の実行を目的として行われる可能性があります。
• サービス拒否（DoS）攻撃は、クラウドアプリケーションにトラフィックを集中させて正当なユーザーが利用できない状態にするために使用されます。これは、アプリケーションに大量のスパムや悪意のあるトラフィックを送信することで実行されます。
• 不安全なAPIは、APIがクラウドアプリケーションやリソースと連携する際に発生します。APIが適切に保護されていない場合、攻撃者がそれを利用してデータやシステムへの不正アクセスを得る可能性があります。
• マルウェアはクラウドアプリケーションやリソースに感染し、攻撃者に制御権を与える可能性があります。これにより、データの窃取、サービス拒否攻撃の実行、または業務の妨害が行われる恐れがあります。
• ゼロデイ攻撃は、ソフトウェアベンダーが認識していない脆弱性を悪用します。パッチが存在しないため、防御が困難なケースが多く見られます。
• データが適切に保護されていない場合、データ侵害が発生する可能性があります。クラウドアプリケーションは、顧客の個人識別情報（PII）や財務情報などの機密データを保存することがよくあります。

クラウドアプリケーションセキュリティのベストプラクティス

クラウドアプリケーションのセキュリティに関するベストプラクティスをいくつかご紹介します。データとアプリケーションを保護するお手伝いをいたします：

1. 強力なパスワードと認証方法をご使用ください。
   脆弱なパスワードは、攻撃者がクラウドアプリケーションにアクセスする最も一般的な手段の一つです。アカウントを保護するためには、多要素認証などの強力なパスワードと認証方法が必要です。
2. ライブラリと依存関係を最新の状態に保ちます。
   ソフトウェアベンダーは、ライブラリの脆弱性を修正するためのセキュリティパッチを定期的にリリースしています。これらのパッチが利用可能になり次第、速やかにインストールすることが、クラウドアプリケーションを攻撃から守るために極めて重要です。
3. 最小権限アクセス制御を実施してください。
   最小権限アクセス制御とは、ユーザーが業務遂行に必要なアクセス権のみを持つべきとするセキュリティ原則です。これにより、クラウドアプリケーションやデータへの不正アクセスのリスクを低減できます。
4. クラウドアプリケーションの不正な活動を監視してください。
   クラウドアプリケーションの不正な活動を監視することは、自動化ツール、人間の専門知識、積極的な脅威検知を組み合わせた継続的なプロセスです。これにより、進化する脅威への適応やセキュリティインシデントへの迅速な対応が可能となります。
5. 強力なクラウドセキュリティソリューションを活用し、脅威から保護します。
   堅牢なクラウドセキュリティソリューションは、データ侵害、マルウェア、サービス拒否攻撃などの脅威からクラウドアプリケーションを保護するのに役立ちます。進化するサイバーセキュリティ脅威からクラウドリソースとデータを保護するには、技術ツール、セキュリティポリシー、そして積極的なアプローチの組み合わせが必要です。

Dynatraceによる最新のクラウドアプリケーションセキュリティ

デジタルトランスフォーメーションの進化と加速が継続する中、組織は対応の困難さをますます感じています。安全で高性能なアプリケーションを確保しつつ、組織は従来の人的なセキュリティ対策から、よりインテリジェントで自動化されたクラウドアプリケーションセキュリティへの移行が求められています。クラウドアプリケーションセキュリティと可観測性データを統合された分析プラットフォームに統合することは、組織全体のアプリケーションセキュリティ態勢を強化する上で有益です。

アプリケーションの実行時におけるセキュリティ確保と摩擦のないパフォーマンスを実現したい組織にとって、Dynatraceは次世代アプリケーションセキュリティを提供するための主要な課題解決を支援します。Dynatrace OneAgentは、監視チームに可観測性主導のセキュリティ監視アプローチを提供し、脆弱性や攻撃が発生した際にリアルタイムで通知します。DynatraceはSDLCの各フェーズにセキュリティを組み込み、リアルタイムの脆弱性分析と修正タスクの自動化を実現する統合プラットフォームを提供します。因果関係AIを基盤とし、自動化に根ざし、DevSecOpsおよびKubernetesフレームワーク内で最適化されているDynatraceプラットフォームは、あらゆるクラウド環境においてモノリシックアーキテクチャとマイクロサービスベースのアーキテクチャの間のギャップを埋めるお手伝いができます。

Dynatrace 2023年グローバルCISOレポートでは、DevSecOpsの非効率性とクラウドアプリケーションセキュリティに関するCISOが直面する課題について詳しくご紹介しております。

レポートを今すぐお読みください！