全1481文字

 FaaS(ファンクション・アズ・ア・サービス)に代表されるサーバーレス環境の利用が増えている。サーバーレスとはサーバーの管理が不要なサービスのことで、サーバーはクラウドサービス事業者が管理する。利用者はサーバーの管理から解放され、システムなどの開発に集中できる。

 一方で、サーバーレス環境ではオンプレミス環境やIaaS(インフラストラクチャー・アズ・ア・サービス)とは異なるセキュリティー対策が必要になる。利用者がサーバーを管理するオンプレミスやIaaSでは、セキュリティー対策ソフトをサーバーにインストールしてサイバー攻撃を防ぐ。しかしサーバーレス環境では利用者がサーバーにソフトウエアをインストールできない。PaaS(プラットフォーム・アズ・ア・サービス)やCaaS(コンテナ・アズ・ア・サービス)でも同様だ。

 FaaSやPaaS、CaaSといった環境で利用できるセキュリティー製品として、RASP(Runtime Application Self Protection)に注目が集まっている。RASP製品は米Palo Alto Networks(パロアルトネットワークス)や米ShiftLeft(シフトレフト)など複数のベンダーが製品を投入し、トレンドマイクロも2021年2月1日に提供を開始した。RASPの仕組みや課題について見ていこう。

ライブラリーを読み込んで攻撃を検知・ブロック

 RASPとはセキュリティー機能を提供する外部ライブラリー(RASPモジュール)を用意し、アプリケーションからライブラリーを読み込む手法である。外部ライブラリーにセキュリティー機能が組み込まれて、アプリケーションに対する攻撃を検知・ブロックする。

RASPは外部のセキュリティーライブラリーを読み込む
RASPは外部のセキュリティーライブラリーを読み込む
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]

 例えばログイン認証やファイルのアップロード、SQL文の生成といった処理を実装したWebアプリケーションでは、処理内容に応じてライブラリーを読み込んで不正に操作されていないか、不正なデータが含まれていないかなどをチェックすることができる。

処理を取り込んでセキュリティーをチェックする
処理を取り込んでセキュリティーをチェックする
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]