全1192文字
PR

 FaaS(Function as a Service)に代表されるサーバーレス環境の利用が増えている。サーバーレスとはサーバーの管理が不要なサービスのことで、サーバーはクラウドサービス事業者が管理する。利用者はサーバーの管理から解放され、システムなどの開発に集中できる。

 一方で、サーバーレス環境ではオンプレミス環境やIaaSとは異なるセキュリティー対策が必要になる。利用者がサーバーを管理するオンプレミスやIaaSでは、セキュリティー対策ソフトをサーバーにインストールしてサイバー攻撃を防ぐ。しかしサーバーレス環境では利用者がサーバーにソフトウエアをインストールできない。PaaSやCaaSでも同様だ。

 そこでFaaSやPaaS、CaaSといった環境で利用できるセキュリティー製品として、RASP(Runtime Application Self Protection)に注目が集まっている。米パロアルトネットワークスや米シフトレフトなど複数のベンダーが製品を投入し、トレンドマイクロも2021年2月に提供を開始した。

外部ライブラリーで都度対策

 RASPとはセキュリティー機能を提供する外部ライブラリー(RASPモジュール)を用意し、アプリケーションからライブラリーを読み込む手法である(図1)。外部ライブラリーにセキュリティー機能が組み込まれて、アプリケーションに対する攻撃を検知および遮断する。

図1●処理ごとに外部のライブラリーを読み込む
図1●処理ごとに外部のライブラリーを読み込む
RASPの概要。処理ごとにその内容に応じたセキュリティーライブラリー(RASPモジュール)を読み込んで不正な操作やデータがないかをチェックする。トレンドマイクロの資料を基に作成した。
[画像のクリックで拡大表示]

 例えばログイン認証やファイルのアップロード、SQL文の生成といった処理を実装したWebアプリケーションでは、処理内容に応じてライブラリーを読み込んで不正に操作されていないか、不正なデータが含まれていないかなどをチェックできる。

 プログラムの改修が大きな手間になれば開発の妨げになる。トレンドマイクロによれば、「ライブラリーを読み込むプログラムは数行程度で収まる」という。これならプログラムに大幅な改修を加える必要がない。

 外部ライブラリーが用意されるプログラム言語は、例えばトレンドマイクロのRASP製品「Trend Micro Cloud One - Application Security」ではPythonやJava、PHP、Node.jsで稼働するJavaScript、.NET系のプログラム言語などである。

 ただ、処理速度の低下という課題が残る。通常の処理にライブラリーを読み込んでセキュリティーの機能の処理が追加されるためだ。

 トレンドマイクロは同社のRASP製品で処理速度が低下することを認めた。ただ、「国内外の数十社でPoC(概念実証)を進めているが、処理速度の低下によってアプリケーションが使えなくなったという話は聞いていない」という。

 サーバーレス環境を使ったシステム開発は今後も増えていくだろう。そのセキュリティー対策として、RASP製品は候補の1つになる。