クラウド活用の大問題

アプリケーションのセキュリティは大丈夫？

F5ネットワークスジャパン株式会社（本社：東京都港区、代表取締役社長：古舘正清、以下F5）は、F5ネットワークスが運用するエンジニア向けブログサイト「F5 DevCentral」において、急速に顕在化しつつあるクラウド上のアプリケーションのセキュリティに関する問題に言及するブログを掲載しました。

「F5 DevCentral」は、191ヶ国、160,000人の技術エキスパートのコミュニティサイトであり、日々最新情報がアップデートされています。今回は、F5ネットワークスジャパンのシニアソリューションマーケティングマネージャである帆士敏博の最新ブログ投稿をお届けします。

クラウド活用が進むにつれ、クラウド上のアプリケーションのセキュリティ確保の問題が顕在化しています。近年では大規模インシデントの多くがWebアプリケーションを通じたものとなっており、極めて重要な問題です。しかし一方で、この問題についての関心は低下しているように思われます。本ブログでは、AWSでの考え方も引用しながら、クラウド事業者とその利用者にとってどのような対策が必要か、紹介しています。

ブログのハイライト
１.深刻なWebアプリへの攻撃ー大規模セキリュティ侵犯上位25件の約半数
２.暗号化やアクセス管理では不十分
３.クラウドのセキュリティ確保は事業者と利用者の「共同責任」
４.Webアプリのセキュリティ確保はクラウド利用者の責務


以下にブログの冒頭より一部をお伝え致します。全文は、Dev Central（https://devcentral.f5.com/articles/14791）よりお読みいただけます。


オンプレミスからクラウドへの移行が、あらゆるアプリケーション領域で進んでいます。これに伴い、セキュリティに関するある問題が、急速に顕在化しつつあります。それはクラウド上のアプリケーションのセキュリティをどう確保するか、という問題です。

アプリケーションのセキュリティに対する関心は、クラウドへのアプリケーション移行と反比例する形で低下しているように思われます。実際、クラウドのセキュリティに関する議論の中で「アプリケーションのセキュリティ」が話題に上ることはあまりありません。多くの場合、議論の対象は、暗号化をどうするか、IDとパスワードをどう管理するか、アクセス管理をどのように行うか、といったことに終始しているようです。

しかし実は、アプリケーションのセキュリティは、極めて重要な問題なのです。

深刻なWebアプリへの攻撃、暗号化やアクセス管理では防御不能
F-Secure Labsによれば、Webアプリケーションへの攻撃の頻度は、2012年の20％から2013年には40％に倍増しました。またNeustarが2014年に行った調査では、DDoS攻撃の55%が煙幕（アプリケーションレイヤーへの実際の攻撃を覆い隠すための大量のDDoS）であり、この攻撃によって50％近くがマルウェアやウィルスをインストールされ、26％が顧客データを失っています。直近のVerizon Data Breach Investigation Report（DBIR）によれば、金融機関でのセキュリティ事故の原因の1位はクライムウェア（サイバー犯罪で使われるソフトウェアツール）でしたが、2番目はWebアプリケーションでした。そして今世紀における大規模なセキュリティ侵犯のうち、上位25件の半数近く（44％）は、Webアプリケーションを通じて行われています。

このような攻撃は、データの暗号化では防止できません。データベース上のデータや通信経路を暗号化したとしても、アプリケーション内部で処理を行う時には復号化され、平文として扱われるからです。データ保護の観点から言えば、アプリケーション内部が最も保護の手薄な領域だと言えます。ここに侵入されてしまえば、いくらデータベースや通信経路でデータを暗号化しても、まったく意味がなくなってしまうのです。

これらの攻撃を防御するには、Webアプリケーションそのものの脆弱性に着目する必要があります。では具体的にどのように考え、アプローチすべきなのでしょうか。


こちらより先はDev Central（https://devcentral.f5.com/articles/14791）において全文をご覧ください。

企業プレスリリース詳細へ
PRTIMESトップへ