クラウドネイティブアプリ、API、サードパーティのリスクへの対応

デイブ・モリッシー

2023年9月8日公開

デジタルトランスフォーメーションはもはや流行語ではなく、ほとんどの組織にとって現実となっています。 2023 年のapplication戦略の現状レポートによると、10 社中 9 社の組織がデジタルトランスフォーメーションプログラムに積極的に取り組んでいます。¹ 当初は顧客対応機能に重点を置いていましたが、近代化は徐々にバックオフィス業務にまで広がり、大量の新しいビジネスおよび顧客対応applicationsの開発と導入につながっています。同じレポートでは以前、かなりの数 (41%) の組織が 200 ～ 1,000 個のapplicationsを管理していることが示されています。²

クラウドネイティブアプリ配信の現実を認識する

この複雑さの増大により、特にリソースの割り当て、スキル、可用性に関して課題が生じます。根強いスキルギャップは拡大し続けており、IT 組織の 98% が現在のビジネス目標を達成するために必要な洞察力が不足していると認めています。³

このような洞察は次のような点に焦点を当てます。

アプリのパフォーマンス低下の根本原因（39%）
攻撃の可能性（38％）
アプリの問題やインシデントの根本原因（37%）
過去のパフォーマンス比較（35%）
ビジネス関連の洞察（32%）

現実には、クラウドネイティブアプリのセキュリティは、アプリが構築されるコンポーネントとアプリが実行されるインフラストラクチャのセキュリティと同程度にしか確保されません。

applicationセキュリティに対する増大する脅威を理解する

2022 年 Verizon データ侵害調査レポート (DBIR) では、applicationsの量と複雑さの増加に伴うセキュリティリスクの増大が強調されています。セキュリティ侵害の影響を受ける主な資産はサーバー、具体的には Webapplicationサーバーであり、侵害された資産全体の 56% を占めています。⁴

これらの Webapplicationサーバーはインターネットに直接接続されているため、攻撃者が組織の防御を回避するための魅力的なエントリポイントとなります。 Verizon DBIR によると、2022 年だけでも 4,751 件のインシデントが発生し、そのうち 1,273 件で個人データ (69%)、認証情報 (67%)、その他の種類のデータ (29%)、医療記録 (15%) に関するデータ漏洩が確認されました。⁵

攻撃対象領域は今後も拡大し続けると予想されます

アプリケーションの攻撃対象領域は、システム上、システム内またはシステム上の要素、あるいは環境境界に沿ったあらゆる場所にあるすべての固有のポイント (「攻撃ベクトル」) で構成されます。これらのポイントは、権限のないユーザーがシステムを利用してデータを挿入したり、データやシステムを変更または操作したり、システムからデータを抽出したりしようとする手段となります。 applicationの攻撃対象領域が公開される方法は複数ありますが、ここではその一部を紹介します。

インフラストラクチャの誤用: クラウドインフラストラクチャは誤って構成されている可能性があり、データ流出、不正なコンテナログイン、資格情報の盗難に対して脆弱になる可能性があります。

ソフトウェアの脆弱性の悪用: applicationに、パッチが適用されていないソフトウェア、バグ、誤った構成などの脆弱性がある場合、applicationが潜在的な攻撃者にさらされる可能性があります。

サードパーティコンポーネントの侵害: 適切なセキュリティ調査を行わずにサードパーティのライブラリまたはサービスを使用すると、applicationに脆弱性が生じる可能性があります。

applicationプログラミングインターフェイス (API) の操作: applicationsはAPI を介して通信することが多いため、これらの API にセキュリティ上の問題 (レート制限、適切な認証、暗号化の欠如など) があると、applicationが攻撃にさらされる可能性があります。

組織がアプリポートフォリオの最新化と新しいデジタル経済における革新を継続するにつれて、API の数は 2031 年までに 10 億に達すると予測されています。⁶ applications全体の成長と同様に、API 領域のこの拡大により、applicationセキュリティを適切に管理することに関連する課題がさらに深刻化します。

applicationとAPIのセキュリティを強化

Amazon Web Services (AWS) 経由でapplicationsを展開する場合、さまざまな専門のネイティブセキュリティツールが、攻撃の阻止、データの保護、顧客のデータとトランザクションの安全性の確保に役立ちます。このため、約 90% の組織がセキュリティ強化のためにプラットフォームアプローチを採用しています。⁷

ただし、効果を上げるには、プラットフォームは、上記の攻撃対象領域の広さを適切にカバーするために、複数の統合された保護レイヤーもサポートする必要があります。 F5 と AWS の包括的な機能のコレクションは、クラウドネイティブapplicationsとその API に固有の脆弱性を狙う次の攻撃から保護します。

Amazon CloudFront 上の AWS Webapplicationファイアウォール (WAF): CDN に簡単に追加できるネイティブapplication保護レイヤーを提供します。

F5 高度な Webapplicationファイアウォール (WAF): アプリ自体を更新することなく、アプリに対する最も一般的な攻撃から保護します。

NGINX アプリ保護 WAF: F5 のAdvanced WAFテクノロジーの実証済みの有効性と NGINX の俊敏性およびパフォーマンスを組み合わせ、アプリと API を保護してダウンタイムと侵害を防止します。

F5 分散クラウド WAAP および F5 分散クラウドボット防御: F5 分散クラウドサービスは、クラウドプラットフォーム全体にわたって一貫したapplication、API、ボットのセキュリティとパフォーマンスを大規模に提供するクラウドネイティブの SaaS ソリューションを提供します。

F5 セキュリティ脅威インテリジェンス: 世界クラスの研究者チームがフォーラムやサードパーティのリソースを調査し、攻撃を調査し、マルウェアをリバースエンジニアリングし、脆弱性を分析して、効果的な検出および軽減方法を決定します。

F5 と AWS のネイティブに統合されたセキュリティレイヤーを使用してクラウドベースのapplicationsを高度な脅威から保護する方法の詳細については、 f5.com/awsをご覧ください。