クラウドワークロードセキュリティと新FedRAMPガイダンス September 24, 2024

@esasahara
Cloud Security Alliance
DevSecOps/Serverless WG

クラウドワークロードセキュリティと
新FedRAMPガイダンス
September 24, 2024

2
Cloud Security Alliance@Brighttalk
リアルタイム＋オンデマンド配信
(https://www.brighttalk.com/webcast/10415/602553)

3
AGENDA
• 1. 新FedRAMPガイダンス
• 2. CSAクラウドセキュリティガイダンスV5と
クラウドワークロードセキュリティ
アプリケーションセキュリティ
• 4. OWASP DevSecOps／API関連ガイドライン
• 5. まとめ／Q&A

4
AGENDA
• 1. 新FedRAMPガイダンス
1-1. 米国FedRAMP 「2024-2025年FedRAMPロードマップ」
1-2. 米国FedRAMP 「新興技術優先順位付けフレームワーク」
1-3. 米国大統領府行政管理予算局（OMB）「クラウドサービスの
セキュアな採用を加速するためのFedRAMPガイダンス」

5
1-1. 米国FedRAMP 「2024-2025年FedRAMPロードマップ」
(2024年3月28日)
(https://www.fedramp.gov/2024-03-28-a-new-roadmap-for-fedramp/)
[目標]
1. 顧客体験の向上:
クラウドサービスプロバイダーがFedRAMP認証を取得しやすくするためのプロセス改善を目指す
2. サイバーセキュリティとリスク管理のリーダーシップ:
FedRAMPをサイバーセキュリティとリスク管理の分野でのリーダーとして位置づける
3. 信頼できるFedRAMPマーケットプレイスの拡大:
連邦機関が利用できるクラウドサービスの市場を拡大する
4. 自動化と技術先進の運営によるプログラムの効果向上:
自動化と最新技術を活用して、プログラムの効率と効果を高める

6
ロードマップの設定施策
施策
目標
・事前承認を必要としない新しい “重要変更リクエスト” プロセスを試行することにより、アジャイルなソフトウェアの
デリバリーを可能にする
・認証プロセスにおいて、より大きなセキュリティ目標を妨げる既知の主要政策の障壁に取り組む
・ガイダンス、トレーニング、リアルワールド事例の生きた知識ベースを作成することにより、FedRAMPを成功裏に
導く方法の明確さを極める
・CSPに対して、CISAと協力して、サービスの安全な構成プロファイルと使用に関するガイダンスを提供するよう
奨励する
1. 顧客体験の向上
・GSAのFedRAMPプログラムおよびエコシステムに、より多くの技術的能力と専門知識を導入する
・政府全体の適正性の想定を支えるすべてのFedRAMP認証に対する基本的なセキュリティ期待事項を定義する
・FedRAMPと外部フレームワーク間の相互承認の初期アプローチを定義して、低インパクトのSaaSから始める
2. サイバーセキュリティ
とリスク管理のリーダー
シップ
・信頼できる認証パートナーと共に低レビューのプロセスを実施し、国防総省とのパイロットプロジェクトを追求する
・初期の合同認証グループを形成し、FedRAMP認証における追加のレビューや遅延を減らす
・CSPのサイバーセキュリティ体制の可視性を向上させ、負担を軽減するために、継続的な監視を集中化し、自動
化する
3. 信頼できる
FedRAMP
マーケットプレイスの
拡大
・顧客の実際の体験に基づいた新しい主要業績評価指標を発表し、時間と費用の結果を含める
・FedRAMPの新しい技術プラットフォームを確立し、データファースト、APIファーストの基盤を提供することにより、
各機関やクラウドプロバイダーがFedRAMPからセキュリティ情報を送受信できるようにする
・自動化をサポートするために、機械判読可能な“デジタル認証パッケージ”をサポートして、商用クラウドプロバイ
ダーや機関パートナーとともに試験運用する
4. 自動化と技術先進
の運営によるプログラム
の効果向上

7
1-2. 米国FedRAMP 「新興技術優先順位付けフレームワーク」
(2024年6月27日)
(https://www.fedramp.gov/2024-06-27-release-of-et-framework/)
・大統領令第14110号(人工知能の安心、安全で信頼できる開発と利用)に
呼応して、FedRAMPが、人工知能(AI)に係る重要なクラウド関連新興技術
(ET)に優先順位付けを行い、それに基づいて、FedRAMPの内部業務やレビュー
のプロセスを行う
・優先順位付けの対象となるAI関連新興技術基準:
1. チャットインタフェース
2. コード生成デバッグツール
3. プロンプトベースの画像生成

8
1-3. 米国大統領府行政管理予算局（OMB）「クラウドサービスの
セキュアな採用を加速するためのFedRAMPガイダンス」
(2024年7月27日)
(https://www.whitehouse.gov/omb/briefing-room/2024/07/26/fact-sheet-omb-releases-fedramp-guidance-
to-accelerate-the-secure-adoption-of-cloud-services/)
・目的:FedRAMPのモダナイゼーション
<注力テーマ>
・不可欠で効率的なセキュリティにフォーカスする
• クラウド業界が製品のセキュリティを意味のある形で効率的に向上させ、
連邦政府のサイバーセキュリティ基準を満たすことを可能にする
• 安全なツールの利用により、連邦政府をサイバー脅威から保護する
・政府機関にとってクラウド利用をより簡単で安全なものにする
・FedRAMPガバナンスを強化する

9
(参考)ホワイトハウスが指定する重要・新興技術の領域(2024年2月時点)
(https://www.whitehouse.gov/wp-content/uploads/2024/02/Critical-and-Emerging-Technologies-List-2024-Update.pdf）
・先進コンピューティング
・先進工学材料
・先進ガスタービンエンジン技術
・先進ネットワークセンシング・シグニチャー管理
・先進製造
・人工知能（AI）
・バイオテクノロジー
・クリーンエネルギー生成・保存
・データプライバシー、データセキュリティ、サイバーセキュリティ技術
・指向性エネルギー
・高度な自動化、自律化、無人システム（UxS）、ロボティクス
・ヒューマンマシンインターフェース
・極超音速
・統合型通信ネットワーク技術
・位置、航法、時刻（PNT）技術
・量子情報実現技術
・半導体・マイクロエレクトロニクス
・宇宙技術システム
・機械学習
・深層学習
・強化学習
・感覚的知覚認識
・AI保証評価技術
・基盤モデル
・生成AIシステム、マルチモーダル、大規模言語モデル
・教育、微調整、検証向けの合成データアプローチ
・計画、推論、意思決定
・AIの安全性、信頼性、セキュリティ、責任ある利用を
向上させるための技術
・分散台帳技術（DLT）
・デジタル資産
・デジタル決済技術
・デジタルアイデンティティ技術、生体認識および関連
インフラストラクチャ
・通信ネットワークセキュリティ
・プライバシー強化技術
・データフュージョンおよびデータの相互運用性、プライ
バシー、セキュリティ向上のための技術
・分散秘密計算
・サプライチェーンセキュリティ計算処理
・人工現実（AR）／仮想現実（VR）におけるセキュ
リティとプライバシーの技術

10
AGENDA
クラウドワークロードセキュリティ
2-1. CSAクラウドセキュリティガイダンスV5:クラウドワークロードセキュリティ
2-2. クラウドワークロードセキュリティとは?
2-3. 仮想マシン(VM)
2-4. コンテナのセキュア化
2-5. PaaSセキュリティ
2-6. サーバーレス／FaaSのセキュア化
2-7. AIワークロード
2-8. クラウドワークロードセキュリティの推奨事項

11
2-1. CSAクラウドセキュリティガイダンスV5:クラウドワークロード
セキュリティ
1. クラウドコンピューティングの概念と
アーキテクチャ
2. クラウドガバナンスと戦略
3. リスク、監査とコンプライアンス
4. 組織管理
5. アイデンティティ／アクセス管理
6. セキュリティモニタリング
7. インフラストラクチャとネットワーク
8. クラウドワークロードセキュリティ
9. データセキュリティ
10.アプリケーションセキュリティ
11.インシデント対応とレジリエンス
12.関連技術・戦略
8.1 クラウドワークロードセキュリティへの導入
8.1.1 クラウドワークロードのタイプ
8.1.2 クラウドワークロード:短期と⾧期
8.1.3 伝統的なワークロードセキュリティ制御への影響
8.1.4 ソフトウェア構成分析
8.1.5 ソフトウェア部品表(SBOM)
8.2 仮想マシン
8.2.1 仮想マシンの課題と低減策
8.2.2 ファクトリーによるセキュアな仮想マシンイメージの生成
8.2.2.1 VM向けに推奨されるツールとベストプラクティス
8.2.3 デプロイメントパイプラインによるセキュアなイメージの生成
8.2.4 スナップショットと公的暴露／抽出
8.3 コンテナのセキュア化
8.3.1 コンテナイメージの生成
8.3.2 コンテナネットワーキング
8.3.3 コンテナオーケストレーション＆管理システム
8.3.4 コンテナオーケストレーションのセキュリティ
8.3.4.1 アーティファクトリポジトリのセキュア化
8.3.4.2 セキュアなリポジトリ利用に関するベストプラクティス
8.3.5 コンテナ脆弱性の管理
8.3.6 コンテナ向けのランタイム保護
8.4 PaaSセキュリティ
8.4.1 一般的なPaaS向けのセキュリティプラクティス
8.4.2 暗号化とアクセス制御
8.4.3 特定のPaaSのセキュア化
8.5 サーバーレス／FaaS(Function as a Service)のセキュア化
8.5.1 FaaSセキュリティの課題
8.5.2 サーバーレス向けIAM
8.5.3 ネットワーク接続とアクセスパターン
8.5.4 環境変数と秘密
8.6 AIワークロード
8.6.1 AIシステムの脅威
8.6.2 AI低減戦略

12
2-2. クラウドワークロードセキュリティとは?(1)
・クラウドワークロードの定義
クラウドコンピューティング環境で稼働する様々なタスク、アプリケーション、サービス、
プロセスであり、仮想マシン(VMs)、コンテナ、サーバーレス／FaaS (Function
as a Service)、AI、PaaS(Platform as a Service)
など、幅広いリソースをカバーするものである。
内容
特徴
・データやワークロードが静的な従来型環境と異なり、クラウドは、継続的に進化する、動的で拡張的な
背景を有している。このような環境の流動的な特性は、アジャイルで順応性があるセキュリティアプローチ
を必要とする。クラウドに挑むセキュリティ専門家にとって、これは、標準的なセキュリティ対策を再考して、
関与のルールが継続的に書き換えられるような背景に適応することを意味する。
動的で拡張的
・固有の要求事項を有する様々な種類のワークロードが存在するため、セキュリティに対する汎用的な
アプローチは機能しない。
複雑性と多様性
・クラウドワークロードセキュリティの中核は、データの完全性、機密性、可用性というサイバーセキュリティ
の基盤となる原則の維持にある。クラウドでは、データが変更できないこと(完全性)、認可されたユーザー
だけがアクセスできること(機密性)、必要な時に利用可能なこと(可用性)の保証が重要である。
完全性、機密性、
可用性

13
・クラウドワークロードのタイプ(1)
内容
タイプ
・クラウドサービスプロバイダー(CSP)が管理するハイパーバイザおよびその他の管理プレーンコンポー
ネントにより強制された、別個のOSを通して分離を提供する。
・ハイパーバイザは、クラウドサービスプロバイダー(CSP)が維持する重要なコンポーネントであるが、
個々のVM内のゲストOSのセキュリティは、通常、クラウドサービスカスタマー(CSC)が取扱うので、周
到な構成とパッチ当てが必要となる。
・さらに、VMスプロールは、重大なセキュリティリスクを示す可能性がある。
・加えて、スナップショットやイメージの管理は、機微データの漏えいを防止するために重要であり、厳格
なガバナンスを必要とする。
仮想マシン(VMs)とイ
ンスタンス
・コンテナは、ホストOSのカーネルを共有する、分離したランタイム環境であるが、自らのファイルシステ
ムやライブラリ、構成を備えた別個の自己完結型プロセスとして稼働する。
・コンテナは、軽量で効率的なVMの代替品を提供するが、異なるセキュリティ課題を示す。コンテナは、
ホストOSカーネルを共有するので、本質的に弱い分離を提供する。
・コンテナ化した環境におけるセキュリティは、正確にOSレベルの制御を構成し、コンテナイメージのセキュ
リティを維持し、コンテナのランタイム環境が適切に構成されていることを保証するように決定される。
・Kubernetesのようなオーケストレーターのセキュリティ強化における利点にも関わらず、オーケスト
レーターは、侵害防止のために注意深く切り抜けなければならないような追加的複雑性をもたらす。
コンテナ

14
・クラウドワークロードのタイプ(2)
内容
タイプ
・PaaSは、より効率的でオーバーヘッドの少ないアプリケーションの開発、実装、管理を促進するような、
一連のツールおよびサービスを提供することによって、クラウドプラットフォームの機能を拡張する。
・データベースやメッセージングシステムから、コンテンツデリバリーネットワーク(CDN)に至るまで、様々な
サービスに基づいたセキュリティ考慮事項を示す。
PaaS(Platform
as a Service)
・FaaSは、開発者が、基盤となるインフラストラクチャの管理なしに、イベントやリクエストに対応して実行さ
れるような個々の機能を書いてデプロイするクラウドコンピューティングモデルである。
・サーバーレスモデルは、セキュリティ責任のより多くの部分をCSPに委ねる。この信頼性の再割り当てにより、
CSPの特別なセキュリティ専門知識と先進的な保護対策を活かして、攻撃対象領域を最小化する。
・CSPによる強制された分離とともに、実行環境の短期間な性質が、固有のセキュリティの利点を提供する。
・サービス拒否(DoS)攻撃や自動スケーリングによる経済的疲弊など、不正アクセスや潜在的攻撃に対す
るサーバーレスアプリケーションの保護のために、最小特権による秘密の管理と機能の構成が最も重要で
ある。
サーバーレス／
FaaS(Function
as a Service)
・AIワークロードは、膨大な量の学習用データを処理して、意思決定を行い、予測を提供する。敵対的攻
撃に対する保護、モデルの盗難の防止、プロンプトインジェクションに対する保護を特に強調しながら、デー
タの完全性とプライバシーを保証することが最も重要である。
・このような脆弱性にも関わらず、AIワークロードは、先進的な計算処理リソースとクラウド環境の拡張性
を活用する。
AIワークロード

15
・クラウドワークロードのモデル: 短期間 Vs. ⾧期間
セキュリティ面では、短期間モデル＞⾧期間モデル
内容
モデル
・短期間アプローチは、ワークロードを交換可能で使い捨てのリソースとして扱う。これらは一時的なサービ
スであり、必要に応じて出現し、特定のタスクやワークロードを処理するために短期間だけ存在する。
・短期間のワークロードにおけるセキュリティはプロアクティブであり、VMやコンテナイメージの作成プロセス
の一部として組み込まれており、手動での設定やデプロイ後の構成は不要となる。
・不可変インフラストラクチャの使用により、パッチ適用や再構成の代わりに、新しいワークロードがスピン
アップされ、危険なものや侵害されたものを置き換える。
・このモデルは自動スケーリングと自己修復機能をサポートし、その効率性と強化されたセキュリティ姿勢に
より、現代のクラウドネイティブアプリケーションアーキテクチャにおいて支配的なパターンとなりつつある。
短期間モデル
・⾧期間アプローチは、ワークロードを不可欠なものとして扱い、手動での維持管理が必要となる。
・このようなアプローチは時間がかかり、人為的なミスが発生しやすいため、一貫性のないセキュリティ対策
につながる可能性がある。
・⾧時間実行されるワークロードは、従来のオンプレミスのワークロードが管理哲学を変更せずにクラウドに
移行されるシナリオ(「リフトアンドシフト」)で一般的に見られる。
・⾧時間実行されるワークロードは、特別なケアが必要なデータベースなどの特定のアプリケーションにとっ
て重要な場合があるが、問題が発生した場合には回復力が低く、維持するのにコストを要することがある。
⾧期間モデル

16
・従来からのワークロードセキュリティ制御への影響度(1)
内容
考慮事項
・クラウドワークロードに利用するエンドポイント保護プラットフォームやエンドポイント検出・対応(EDR)などの
セキュリティエージェントは、クラウドの動的かつ仮想化された性質を受け入れ、サポートする必要がある。
・エージェントは軽量で、計算コストを大幅に増加させないようにするべきである。また、クラウドを意識し、固定
IPアドレスや他の静的な構成に依存しないようにする必要がある。
・エージェントは、新しいワークロードが起動されたときに自己登録できるようにし、オートスケールグループや不可
変的なシナリオで使用可能にする必要がある。
・ツールはセキュリティグループ内でインバウンドネットワークポートを必要としないようにするべきである。これは、
攻撃者が仮想ネットワークに侵入した場合に攻撃対象領域を増加させる可能性があるためである。
制御の強制
・エージェントを使用してOSが生成するワークロードログをキャプチャするツールにおいて、これらのログは、クラウ
ドリソースの一時的な性質のため、迅速に中央の場所に送信される必要がある。
・非クラウド環境では、監視エージェントは通常、ネットワークを介してログをログサーバーに移動するが、クラウド
ではこれらのログをネイティブクラウドストレージに直接保存することがよりコスト効率が高い場合がある。クラウ
ドのさまざまなストレージおよび計算要件に対応するためには、コスト効率が高く柔軟であることが重要である。
・ログエントリは、IPアドレスやシステム名だけでは複数のワークロードを指す可能性があり、スケーリング操作や
異なるクラウド展開の間で名前やアドレスが再利用されるため、ワークロードの識別をサポートするために強化す
る必要がある。
モニタリング

17
・従来からのワークロードセキュリティ制御への影響度(2)
内容
考慮事項
・脆弱性評価(スキャン)は伝統的にネットワーク上で実行されるが、クラウド環境では効果的でない場合がある。
・クラウド環境に適したオプションとしては、第1に、仮想マシンやコンテナイメージがデプロイされる前に、それらを
構築する際に評価する手法がある。イメージ内の脆弱性を修正し、イメージの履歴を追跡することで、新しい仮
想マシンの脆弱性を防ぎ、実行中の仮想マシンが脆弱なバージョンであるかどうかを迅速に監査できる。
・第2に、組織が仮想マシンのスナップショットを取得し、それらをオフラインで評価することで、実行中のワークロー
ドに影響を与えずにランタイム脆弱性評価を実行できる手法がある。
・第3に、脆弱性評価エージェントをイメージに組み込むオプションがある。
評価
CWPPは、クラウドおよびコンテナ専用のワークロードツールであり、複数のワークロードセキュリティ機能を提供
する。クラウドワークロード(例:VM、コンテナ、サーバーレス)全体で詳細な脆弱性スキャンを実行し、悪用可能
性やビジネスへの影響に基づいて結果を優先順位付けすることができる。一部のツールは、ログやアクティビティの
収集、追加の監視、さらにはランタイム保護も統合している。
クラウドワーク
ロード保護プ
ラットフォーム
(CWPP)

18
・ソフトウェア構成分析(SCA)
・ソフトウェア部品表(SBOM)
内容
ベネフィット
・デプロイ前に脆弱性を特定し修正することによって、クラウド環境のセキュリティ体制を強化する。
プロアクティブな
脆弱性管理
・すべてのソフトウェアコンポーネントが組織のライセンス契約に準拠していることを確認し、法的問題を
回避する。
ライセンス遵守
・特定された各脆弱性に対してリスクスコアを提供し、その潜在的な影響に基づいて修正の優先順位
を決定するのに役立つ。
リスク評価
内容
ベネフィット
・すべてのソフトウェアコンポーネントの包括的な内訳を提供し、クラウドワークロードのソフトウェアサプ
ライチェーンのガバナンスと管理を向上させる。
透明性の強化
・脆弱性が影響を受ける正確なコンポーネントを特定することによって、脆弱性の迅速な識別と修正を
促進する。
セキュリティ対応の向上
・ソフトウェアコンポーネントの開示を義務付けるコンプライアンス要件の遵守を支援し、厳しい規制要
件のある業界にとって重要なものとなる。
規制遵守

19
2-3. 仮想マシン(VM)(1)
・仮想マシンの課題
・
内容
課題
・特にユーザーが独自のイメージを提供できる場合には、VMイメージを安全にデプロイし、最新の状態
に保つことが課題となる。
イメージ制御
・ベースイメージを定期的に最新のセキュリティパッチで更新することは重要だが、リソース集約的になる。
パッチ管理
・クラウドサービスカスタマー(CSCs) が稼働中の VM を変更できるようにすると、意図せずに脆弱性
を導入したり、構成の逸脱を引き起こしたりする可能性がある。
変更管理
・VM内のOSやアプリケーションは、コンテナのようなより効率的なワークロードタイプに比べて、攻撃
対象領域が大きくなる。
攻撃対象領域管理
・⾧期間稼働し、手動で構成された仮想マシン(VM)は、頻繁に交換されないので、強固なセキュリ
ティ体制を維持するのが難しい。
ライフサイクル管理
・VMへのネットワークアクセスを保護するために必要な、詳細な制御メカニズムには、Secure
Shell(SSH)が含まれ、VMインスタンスへのアクセスに使用されるSSH秘密鍵の不注意な漏えいの
課題に対処することが含まれる。
ネットワークセキュリティ
・カーネルレベルの権限を持つルートキットやブートキットを使用して、ファームウェアやオペレーティングシ
ステムに感染させる。
ルートキットと
ブートキット

20
・仮想マシンの対策(1)
・
内容
対策
・セキュアなベースVMイメージを中央管理されたカタログから強制する。イメージはバージョン管理さ
れ、一度作成されたら不可変的でなければならない。これらのイメージは通常、自動化された場合に
「イメージファクトリー」と呼ばれるデプロイメントパイプラインを使用して作成される。
セキュアなベースイメージ
・VMイメージの利用を承認する前に、脆弱性と誤設定をスキャンする。
スキャニング
・不要なOSコンポーネントを削除し、OS構成の強化を実施する。
攻撃対象領域の最小化
・環境内で最もリスクの高い脆弱性に焦点を当てて、悪用可能性と潜在的な影響を考慮する。
優先順位付け
・スキャン、パッチ適用、レポート作成のために自動化を活用して、効率を向上させ、人為的エラーを
減らす。
自動化
・脆弱性管理ツールを既存のセキュリティおよびIT管理システムと統合し、統一されたアプローチを
確保する。
統合
・可能な限り、VMを短期間で置き換え可能なものにし、⾧期間稼働するVMを最小限に抑えること
で、セキュリティの維持が難しいVMを減らす、不可変的インフラストラクチャアプローチを採用する。
短期間稼働するVMの
受入
・構成管理とコードとしてのインフラストラクチャ(IaC)を使用して、望ましい状態を維持し、構成の逸
脱を回避する。
構成管理

21
・仮想マシンの対策(2)
・
内容
対策
・ログの収集を集中化し、侵入の試みや不審な活動を示す指標を実装する。効果的な監視とログ記
録により、VMの活動の可視性が向上し、セキュリティインシデントの迅速な検出と対応が可能になる。
モニタリングとロギング
・アプリケーションやユーザーに対して、VM(仮想マシン)に関連する認可されたソフトウェアパッケージ、
ライブラリおよびその他のデジタル資産へのアクセスに必要な最小限の権限を付与する。最小権限
の原則を実装することで、攻撃対象領域を減らし、セキュリティ侵害の潜在的な影響を限定する。
アクセス制御と最小特権
・ホストベースのファイアウォール(例えば、LinuxのIPテーブルファイアウォール)を使用して、ポート、
プロトコル、およびパケットタイプを制御することにより、VMインスタンスへのネットワークアクセスを制
限する。すべてのVMインスタンスでSSH設定オプションを使用してSSHを強化する。
ホストベースのファイア
ウォールとSecure
Shell(SSH)
ハードニング
・OSやアンチウイルスソフトウェアを打ち負かすために、プレブート環境を攻撃する可能性のあるマル
ウェアから保護する。
セキュアブート
・クラウド環境向けに設計されたツールを実装し、ハイパーバイザーを継続的に監視する。この監視機
能は、アパートの一階全体を監視して安全性とインフラストラクチャの整合性を確保する警備員に例
えられる。
専門化したセキュリティ
ツール

22
・ファクトリーによるセキュアな仮想マシンイメージの生成(1)
出典:Cloud Security Alliance 「Security Guidance For Critical Areas of Focus in Cloud
Computing v5」(2024年7月15日)(https://cloudsecurityalliance.org/artifacts/security-guidance-v5)

23
・ファクトリーによるセキュアな仮想マシンイメージの生成(2)
内容
構成要素
・VMイメージを組み立ててカスタマイズするための自動化されたプロセスとツール
・VMイメージの構築、テスト、および微調整を行い、デプロイメント全体での一貫性を確保する
・セキュリティ脆弱性につながる可能性のある不一致を最小限に抑える
・セキュリティアップデートと構成変更の統合を効率化する
イメージ
ファクトリー
・VMイメージを構築するために、OS、アプリケーション、ライブラリ、構成ファイルなどのコアコンポーネントを提供する
・VMイメージの作成に必要なソースコードと設定のライブラリを保存する
・ビルドプロセスにセキュリティチェックを組み込む
・問題が発生した場合に簡単にロールバックできるように、包括的なバージョン履歴を保持する
イメージソース
・VMイメージのセキュリティ体制を強化するための一連のベストプラクティスが含まれる
・最小権限の原則:潜在的な脆弱性を最小限に抑えるために、必要最低限のソフトウェアとアクセス権のみを持つVM
イメージを設定する
・パッチ管理:新たな脅威から保護するために、最新のセキュリティ改善を含むVMイメージを定期的に更新する
・構成管理:標準化されたテンプレートとスクリプトを使用して、すべてのVMイメージが必要なセキュリティ基準を満たす
ようにし、イメージ作成のワークフローを自動化して手動エラーを減らす
・検証とテスト: VMイメージを使用する前に、セキュリティの弱点や運用上の問題がないか徹底的にチェックし、安全で
正しく機能することを確認する。VMイメージは常に信頼できるソースから入手する必要がある
・ゴールデンイメージの利用:“ゴールデン”イメージは、必要最低限のOSと設定のみを含む、純粋で最小限のVM
イメージで、他のすべてのVMイメージのベースとなり、一貫性を促進し、スプロールを減らす
セキュアな
イメージ生成

24
・VM向けに推奨されるツールとベストプラクティス(1)
脆弱性管理ライフサイクル
内容
サイクル
・自動化ツールを使用して、VMの既知の脆弱
性をスキャンする
特定
・識別された脆弱性に関連するリスクを、VMの
役割および処理／保存されるデータの分類
(データの機密性など)を考慮して分析・評価
する
評価
・パッチを適用し、セキュリティ設定を構成し、脆
弱性に対処するための回避策を講じる
低減＆
報告
・報告、コンプライアンス、および監査のために、
脆弱性、評価、修正措置の詳細な記録を
保持する
文書化

25
・VM向けに推奨されるツールとベストプラクティス(2)
VMセキュリティ向け推奨ツール
機能
ツール
・CWPPには、クラウドワークロード(VM、コンテナ、サーバーレス)全体の詳細な脆弱性スキャンのための機能
が含まれ、悪用可能性およびビジネスの影響度に基づいて、調査結果を優先順位付けする
クラウドワークロード保護
プラットフォーム(CWPP)
・クラウド環境ではあまり効果的ではない傾向があるが、脆弱性スキャナーの多くは現在、エージェントもサポー
トしている。これらの製品は、製品によってはCWPPとして再ブランド化されることがある
従来の脆弱性スキャナー
・パッチの展開と構成の強化を自動化する
構成管理ツール
・EDRエージェントは、ランタイム監視を行い、一部は脆弱性評価をサポートする
エンドポイント検出・対応
(EDR)
・リアルタイム監視および報告のためのセキュリティ情報・イベント管理
セキュリティ情報・イベント
管理(SIEM)ツール

26
・デプロイメントパイプラインによるセキュアなイメージの生成(1)
デプロイメントパイプラインのプロセス

27
・デプロイメントパイプラインによるセキュアなイメージの生成(2)
デプロイメントパイプラインの各ステップ
内容
パイプラインのステップ
・イメージにコンパイルしてインストールする可能性のあるソースコード。
1.ソースコード
・安全なイメージの基盤は、明確に定義されたサーバー構成から始まる。IaC(Infrastructure as Code)の利
用により、このステップではOS、ネットワーク設定、セキュリティポリシーを指定し、サーバー環境の基盤を形成する。
2.サーバー構成
・イメージやコンテナに焦点が移る。この段階では、アプリケーションとその依存関係を、事前に定義されたサーバー
設定に基づいて、スリムで安全な構成でパッケージ化する。
3.イメージ構成
・イメージ構成ファイルの流れは、バージョン管理システムにチェックインされることで続く。Gitリポジトリやコンテナレジ
ストリなどのツールを使用することによって、この手法は変更の追跡、コラボレーション、およびビルドプロセスにおける
責任を促進する。
4.バージョン制御
リポジトリ
・ここでは自動化が中心となる。継続的インテグレーションサービス／サーバーが、構成ファイルからイメージをビルド
し、変更がコミットされるたびにセキュリティチェックを実行する。
5.継続的インテグレー
ションサーバー
・セキュリティテストがパイプラインの統合コンポーネントとなる。ソフトウェア構成解析(SCA)や脆弱性スキャンの
ツールを使用して、パイプラインはセキュリティ問題を特定し、修正し、進行する前にイメージを強化する。
6.セキュリティテストと
強制
・安全なマスターイメージが生成される。このプロセスの最終結果として、強化され検証されたマスターイメージが安
全に保存され、展開の準備が整う。
7.マスターイメージ
・この時点で、イメージは厳密な検査を受ける。そのリスクと重要度に応じて、手動レビューまたは自動受け入れテス
トを通過する場合がある。
8.手動または自動化
された受け入れ
・マスターイメージは本番環境にある。このイメージの本番環境への移行は一貫性があり、安全で、IaCと自動化
ツールを使用して正確にデプロイされる。
9.本番

28
2-3. 仮想マシン(VM)(10)
・スナップショットと公的暴露／抽出
考慮事項
テーマ
・スナップショットは、VM(仮想マシン)のライフサイクル管理において重要な役割を果たし、保存と復旧のために
ストレージボリュームのコピーを瞬時に提供する。スナップショットは、特定の時点でのVMの保存状態であり、
ファイルから設定までのすべてをキャプチャする。これには機密データも含まれるため、スナップショットは、不正アク
セス、意図しない漏えい、データの流出を防ぐために慎重に取り扱う必要がある。
スナップショット
・スナップショットの包括的な性質は、特に機密データを含む場合にリスクを伴う。スナップショットの作成や取得
を管理するために厳格なアクセス制御を実施することが重要である。
・スナップショットの暗号化は、秘密のメッセージを意図しない受信者に読めなくする暗号のように、重要なセキュ
リティ階層を追加する。スナップショットが誤って公開されても、暗号化されたデータは対応する復号キーがなけれ
ば保護され、アクセスできない。
公的暴露の低減
・スナップショットの維持には、定期的な見直しも含まれる。このプロセスは、不要なデータの保存を排除すること
で、セキュリティを強化し、クラウドリソースの支出を最適化する。
・クラウドセキュリティポスチャー管理(CSPM)などの監視ツールは、スナップショットを厳重に監視し、誰がアクセ
スしたり変更したりするかを精査する。異常な活動に対するアラートを実装するこにより、許可されていない試み
が迅速に検出され、対処されることを保証する。
・スナップショットは作成時のVMのすべてのデータと構成をカプセル化しているため、管理が不適切であればデー
タ漏えいの潜在的なベクターとなる可能性がある。スナップショットのセキュリティに対する徹底的なアプローチは、
データの保護だけでなく、これらのスナップショットがリスクや責任を引き起こさないことを保証することも含まれる。
データ抽出の防止

29
2-4. コンテナのセキュア化(1)
・コンテナイメージの生成
アプリケーションを実行するために必要なすべてのもの(コード、ランタイム、
システムツール、ライブラリ、設定)を含む、軽量でスタンドアロンの実行可
能なソフトウェアパッケージ
・コンテナイメージは、通常Dockerfileで定義された一連の指示から作成され、
ベースOS、依存関係、アプリケーションコードを指定する。これらのイメージは、
異なる環境間で簡単に共有および展開でき、アプリケーションの一貫性と移植性
を確保する。
・コンテナは、安全で承認されたベースイメージを使用して構築する必要がある。
追加のセキュリティは、指示(Dockerfile)を評価するツールを使用して追加・評
価できる。また、コンテナイメージが登録および保存されるアーティファクト
リポジトリのセキュリティを確保することも重要である。
・コンテナは本質的に不可変インフラストラクチャの概念を促進する。コンテナイメー
ジが一度構築され展開されると、それは変更されない。更新や変更は、新しいイ
メージでコンテナを置き換えることで行われる。

30
・コンテナネットワーキング
・コンテナネットワーキングは、ホストOS(多くの場合Linux)のネットワーキングの
拡張である。
・Kubernetesのネットワーキングやネットワークの分離は、個々のコンテナ
からアプリケーション対応のロードバランサー(例:Ingress Controller)に至る
まで、複数のレベルで行われる。
・ネットワークポリシーを定義するためのさまざまな技術が存在する。これらの技術
の一部はプロバイダーの提供するものもあれば、自己管理されるものもある。

31
・コンテナオーケストレーション＆管理システム(1)
・コンテナオーケストレーションシステム: コンテナ化されたアプリケーションの複雑な
ライフサイクルを管理するための重要なツール
・Kubernetes(K8s): 代表的なオープンソースのコンテナオーケストレーション
システムで、マシンクラスター全体にわたるアプリケーションのデプロイ、スケーリング、
管理をオーケストレーションし、シームレスな自動化と一貫した運用を可能にする。
・コンテナはマイクロサービス(アプリケーションコンポーネント)をホストし、コンポーネ
ントが一貫した環境で実行されることを保証する。
・Kubernetesのデフォルト設定の留意点:
・オープンダッシュボードが、適切に保護されていない場合、貴重な情報を意図
せずに露出させる可能性がある
・デフォルトのサービスアカウントは、広範な権限を持ち、必要以上のアクセスを
許可する可能性がある
・ネットワーク構成が、特定のデプロイの厳格なセキュリティ要件を満たさない

32
・コンテナオーケストレーション＆管理システム(2)
ロードバランサーやポッドによるKubernetesの基本設定

33
・コンテナオーケストレーションのセキュリティ(1)
考慮事項
ベストプラクティス
・コンテナ化されたアプリケーションをデプロイする際には、利用可能な場合はCSP(クラウドサービスプロバイ
ダー)のサービスを利用するのが最善である。CSPは通常提供する、自動化とセキュリティ強化のためのツールに
は、Kubernetes-as-a-Serviceのようなオーケストレーションのためのマネージドサービスが含まれており、セ
キュリティに重点を置いたコンプライアンス対応のデフォルト設定が付属している。
CSPサービスの利用
・サービスのハードニングは、システムの攻撃面を最小限に抑えるためのプロアクティブなアプローチである。これ
には、不要な機能を無効化し、最小特権アクセスを確保し、コンテナ間のトラフィックを制限するネットワークポリ
シーやファイアウォールを実装することにより、オーケストレーターを保護することが含まれる。
・ハードニングには、コンテナのための安全なベースイメージの使用、Kubernetes内でのセキュリティコンテキス
ト設定の採用、アドミッションコントローラーを利用して良好なセキュリティプラクティスを強制することも含まれる
べきである。
ハードニングサービス
・コンテナエコシステムのすべてのコンポーネントを定期的にパッチ適用／アップデートすることは重要である。これ
には、コンテナ自体だけでなく、ホスト、Kubernetesのようなオーケストレーションプラットフォームおよびその他
のサポートサービスも含まれる。
・パッチ管理プロセスの自動化により、パッチが利用可能になった時点で迅速に適用されることが保証され、脆弱
性が悪用されるリスクを軽減できる。
パッチ／アップデート

34
・コンテナオーケストレーションのセキュリティ(2)
考慮事項
・Kubernetes Security Policies、Network Policiesなどのツールを使用して、ポッド間の
ネットワークアクセスを制限・監視するためのセキュリティポリシーを定義および実施する。
コンテナセキュリティ
ポリシー
・Kubernetes向けCISベンチマークなどの標準規格および標準化ツールは、不適切なデフォルト
設定を検出・修正するための体系的なアプローチを提供する。
セキュリティベンチマー
クとツールの有効活用
・セキュアなイメージリポジトリはコンテナセキュリティの中核である。プライベートリポジトリを使用し、
ロールベースのアクセス制御(RBAC)を実装して、誰がイメージをプッシュ／プルできるかを管理
する。
・コンテナイメージのスキャンと脆弱性検出を、デプロイ前および本番環境で定期的に実施する。
イメージ署名を利用して信頼の連鎖を確立し、イメージが作成されてからデプロイされるまでの間に
改ざんされていないことを確認する。
セキュアなイメージ
リポジトリ
コンテナ化された環境の整合性とセキュリティを確保するためには、堅牢で安全な設定から始める
ことが重要である。これらの基本設定はコンテナ環境のあらゆる側面をカバーしており、安全な環境
を提供するために不可欠である。
セキュアな構成

35
・アーティファクトリポジトリのセキュア化
・リポジトリは、コンテナイメージの真正性と整合性を保証するために、デジタル署名
や検証などのコンテンツ信頼メカニズムを強制する。
・アクセスは厳格に管理されており、認証されたユーザーのみがイメージのpushや
pullを行うことができる。これは、銀行が認証された顧客のみからの取引を行える
ようにするのと同じである。
・病気の兆候を早期に発見するための定期健康診断のように、イメージは定期的
に脆弱性をスキャンされる。
・コンテナイメージは、不可変的であるべきである。
・イメージの来歴は徹底的に記録され保護されており、その由来や作者の系譜が
明確に示されている。これは、よく管理された公的な登録簿に似ている。
・セキュアなアーティファクトリポジトリは、継続的インテグレーション／デプロイメント
パイプラインとシームレスに統合され、デプロイメント前にコンテナイメージのスキャン
と検証を自動化する。

36
・セキュアなリポジトリ利用に関するベストプラクティス
考慮事項
・重要な機械に由来が未知の怪しい部品を使うことを避けるように、開発者は安全で信頼できる
ソースからのみイメージを使用すべきである。
セキュアなソースのみを
可能にする
・デジタル署名は、画像が本物であり、改ざんされていないことを確認するための認証の印として機
能する。これは、歴史的な時代における手紙の封蝋に似ている。
イメージに署名し、
検証する
・デプロイ前に、イメージは徹底的な脆弱性スキャンを受けるべきであり、これは航空機の包括的な
出発前点検に例えられる。
脆弱性のスキャン
・リポジトリへのアクセスを制限することにより、正当な必要性がある人だけがイメージを取得または
変更できるようになり、これは安全な施設で機密情報にアクセスすることに例えられる。
アクセス制御
・リポジトリの内容にアクセスしたり変更したりした人物の記録を詳細に保持することは非常に重要
である。これは透明性を提供し、コンプライアンスを支援するものであり、船の航海日誌が船上で発
生した出来事を記録するのと同じである。
監査証跡
・既知の脆弱性から保護し、イメージを保存するための安全な環境を維持するために、リポジトリソ
フトウェアを継続的にアップデートし、パッチを適用する。
定期的なアップデート

37
・コンテナ脆弱性の管理
内容
考慮事項
・脆弱性管理ツールのCI/CDパイプラインへの統合は、厳格な品質保証プロセスの生産ラインへの組み込みに
似ている。この統合により、コンテナの開発および展開の各段階で、製品の各コンポーネントが次の工程に進む
前に綿密な検査を受けるのと同様に、徹底的なセキュリティチェックが行われる。
CI／CDパイプラインの
統合
・コンテナイメージとその依存関係を最新の状態に保つことが不可欠である。
定期的なアップデート
・コンテナ管理における不可変性の原則は、重要な防御戦術である。一度コンテナがデプロイされると、それは
変更されない。必要なアップデートがある場合、新しいコンテナのデプロイが行われる。この方法は、機械の最適
な性能を確保するためにアドホックな修正を行うのではなく、交換可能な部品を使用することに似ている。
不可変的なコンテナ
・事前にスキャンされ承認されたイメージの使用を規定するセキュリティポリシーの実施および強制は、選別され
たゲストのみが会場への入場を許可されることを保証する、厳選された警備員のように、セキュリティゲートを作
成することに似ている。
セキュリティポリシーの
強制
・RBACは、コンテナ管理ツールやリソースへのアクセスを規制する。それは、チームメンバーに、役割を果たすため
に必要なアクセス権のみが付与されることを保証するーそれ以上でもそれ以下でもない。これは、責任に応じてア
クセスを制限するために、セキュリティ施設内の異なるエリアに対して異なる鍵を発行することに似ている。
ロールベースのアクセス
制御(RBAC)
・ABACは、コンテナ化された環境特有の柔軟性と動的な性質によって、より詳細なアプローチを提供する。
ABACでは、役割に加えて属性を考慮してアクセス決定が行われる。これらの属性には、ユーザーの位置、デバ
イスタイプ、データ分類(例:機密、公的)、コンテナ内に保存されている情報およびその他の関連する特性が含
まれる。これにより、コンテナ化されたクラウド環境内でより柔軟で動的なアクセス制御が可能となる。
属性ベースのアクセス
制御(ABAC)

38
・コンテナ向けのランタイム保護
内容
考慮事項
・効果的なランタイム保護はリアルタイムの可視性から始まる。監視ツールはコンテナの活動を継続的に観察し、
セキュリティ脅威や運用上の異常を示す可能性のある異常な行動をスキャンする見張り役である。
リアルタイムの可視性
・緻密なログ記録と監査は、コンテナの活動やユーザーのやり取りに関する詳細な記録を作成する。ログ記録は、
インシデント後の分析において非常に貴重であり、犯罪捜査における防犯カメラ映像と同じ役割を果たす。
ロギングと監査
・侵害の影響を最小限に抑えるために、ネットワークセグメンテーションが施され、コンテナのために隔離された
区画が作成される。これは、船の防水区画に似ている。水と同様に、侵害が発生した場合、脅威はその区画内
に封じ込められる。
マイクロセグメンテーション
・これらのファイアウォールは、ネットワークトラフィックの流れを管理するルールを確立し、交通規制者として活動
する。これは、車両の出入りを制御し、秩序と安全を確保するために戦略的に配置されたチェックポイントに似て
いる。
コンテナ専用ファイア
ウォール
・最終的な側面は、自動応答の能力である。この緊急プロトコルは、脅威が検出された時、即座に作動し、侵
害されたコンテナを隔離し、アクセスを拒否し、システムを既知の良好な状態に戻すことができる。これは、人間の
介入なしに侵入に反応する自動防御システムのようなものである。
対応の自動化

39
2-5. PaaSセキュリティ(1)
・一般的なPaaS向けのセキュリティプラクティス
考慮事項
・PaaSコンポーネントの定期的な脆弱性評価やヘルスチェックは、潜在的なセキュリティ脅威を
特定し、軽減するために不可欠である。これらの監査は、進化する脅威やPaaS環境内の変化に
適応するために、定期的に実施されるべきである。
セキュリティ監査
・効果的なセキュリティは可視性にかかっている。PaaSプラットフォーム内の活動を包括的にログを
記録し、リアルタイムで監視することによって、疑わしい行動や潜在的な侵害を早期に検出し、迅速
な対応と緩和措置を可能にする。
ロギングとモニタリング
・最小権限の原則を遵守することによって、不正アクセスやデータ漏洩のリスクを最小限に抑える
ことができる。組織は、ユーザーやサービスに対してその役割に必要な最小限のアクセスレベルのみを
付与することにより、攻撃対象領域を大幅に減らすことができる。
最小特権
・MFAを利用してアクセス制御を強化すると、不正アクセスを試みる攻撃者に対して追加のセキュリ
ティ階層が提供され、不正アクセスを困難にする。これは、銀行が取引にカードと暗証番号の両方
を要求するのと似ており、機密操作のセキュリティを向上させる。
多要素認証(MFA)
・定期的なアクセス権限の再評価は、適切な個人やサービスのみが重要なリソースにアクセスできる
ようにすることを保証する。このプロセスは、もはや必要でないアクセスを迅速に取り消すのに役立ち、
セキュリティ体制をさらに強化する。
アクセスレビュー

40
・暗号化とアクセス制御
暗号化
アクセス制御
・データを保存時および転送時に堅牢な暗号化方法を使用して保護する。
・暗号鍵を最善の注意を払って管理するにより、認可されたエンティティのみが
暗号化されたデータにアクセスできることが保証される。
考慮事項
・ネットワークセグメンテーションを実装し、ファイアウォールを展開することによって、PaaS環境内
にセキュアなゾーンを作成し、トラフィックの流れを制御し、侵害の影響を軽減することができる。
ネットワークセグメンテー
ションとファイアウォール
・システムは特定の役割に基づいてアクセスを割り当て、個人やサービスが割り当てられた機能に
必要なリソースにのみアクセスできるようにする。
RBAC
・クラウド環境において、属性に基づきアクセスを割り当てることにより、より柔軟で動的なアクセス
決定を可能にする。
ABAC
・厳格なポリシーにより、APIゲートウェイは外部の主体がPaaSとどのようにやり取りするかを
制御する。これは、クラブの入口で入場を管理する警備員のようなものである。
APIゲートウェイ
ポリシー

41
・特定のPaaSのセキュア化
考慮事項
・CDNを通じて移動するデータのためのSSL(Secure Sockets Layer)または
TLS(Transport Layer Security)による暗号化は、情報が機密で改ざんされない
ことを保証する。強力なアクセス制御と認証メカニズムにより、保存されたコンテンツへの
アクセスが制限される。
コンテンツデリバリー
ネットワーク(CDN)
・通知を暗号化し、安全な配信チャネルを使用することによって、情報を保護する。これは、
信頼できる宅配便を通じて機密文書を送るのと似ている。強力な認証方法は、通知を送
信するサービスやユーザーの正当性を確認する。
通知サービス
・メッセージの保存時および転送時の暗号化、そしてセキュアなアクセスポリシーとRBAC
は、メッセージキュー内の機密データを保護する。これにより、認可されたエンティティのみ
がキューに公開または購読できるようになり、通信の完全性が維持される。
メッセージクエリ

42
2-6. サーバーレス／FaaSのセキュア化(1)
・FaaS(Function as a Service):
・開発者が基盤となるインフラを扱うこと
なくコードを書いてデプロイする方法
・クラウドプロバイダーがサーバーを管理
し、サーバーのプロビジョニング、異なる
負荷に対応するためのスケーリング、
メンテナンスを行う
・開発者はサーバー管理業務を心配
することなく、純粋にコーディングに集中
できる

43
・FaaSセキュリティの課題
内容
課題
・攻撃の可能性を創り出す。これらのインターフェースが侵害されると、攻撃者は不正な構成を
行ったり、クラウド環境をスパイしたりする権限を得る可能性がある。
サードパーティ
サービスとAPI
・サーバーレスの機能は、しばしば外部ライブラリに依存しており、これらのライブラリには脆弱
性や悪意のあるコードが含まれている可能性がある。これらの依存関係が厳密にチェックされ、
アップデートされない場合、攻撃者のバックドアとして機能する可能性がある。
脆弱な依存関係
・不適切または過剰に認可された設定は、サーバーレスアーキテクチャ内の機密リソースへのア
クセスを意図せずに開く可能性がある。機能を実行できる人とその機能がアクセスできるもの
に関連するセキュリティ設定は、アクションを制限するために厳密に管理されなければならない。
設定ミス
・機能に過剰な権限が付与されると、不正アクセスやデータ漏えいのリスクが大幅に高まる。こ
のような設定は、機能に必要以上のアクセスを許可し、攻撃者がこれらの権限を悪用する可
能性を高める。
機能向けの過剰
特権IAM
・機能は、ネットワークセグメンテーションやACL(アクセス制御リスト)などの適切なネットワーク
制御なしに直接インターネットにアクセスできる場合がある。この制限の欠如は、機能を外部
の脅威にさらすだけでなく、外部のエンティティによるデータ流出の潜在的なチャネルにもなる。
機能向けの直接
インターネット
アクセス

44
・FaaS固有のセキュリティ対策
内容
考慮事項
・持続的なサーバー環境を監視する必要がないため、コード自体とそのさまざまな依存関係の
セキュリティに焦点が当たる。コードの書き方、呼び出すライブラリ、処理するデータを十分に理解
することが要求される。
・開発者は、機能が自己完結型であり、実行環境に必要なすべてのセキュリティ対策が講じられ
ていることを確認する必要がある。
ステートレスな
特質
・サーバーレス機能は通常、ユーザーリクエストからスケジュールされたタスクまで、さまざまな
イベントに応じて実行される。このモデルでは、悪意のあるトリガーを防ぐために、イベントの厳格
な検証が必要となる。
・機能が正当で意図されたトリガーにのみ応答するようにするためには、イベント入力の慎重な
作成と検証が重要である。これらのイベントのセキュリティを確保するためには、イベントソースを
精査し、機能の実行を許可する前に厳格な検証チェックを実施することが必要となる。
イベント駆動型
セキュリティ
・サーバーレスでは、利用可能なセキュリティ対策はCSPの提供内容によって定義されることが
多いので、共有責任モデルを理解し活用することが重要である。
・CSC(クラウドサービス利用者)は、自分たちのコードとデータのセキュリティに焦点を当てる必要
がある。CSPがどのセキュリティ面を担当し、CSCにどの責任があるのかを知ることが重要である。
この共有された環境をナビゲートするには、CSPのツールやサービスについて情報を常に更新し、
それらを効果的に統合することが必要である。
CSP(クラウド
サービスプロバ
イダー)の依存
関係

45
・サーバーレス向けIAM
考慮事項
・サーバーレスコンピューティングでは、最小特権の原則を実装すべきである。これは、所与の機能に、運用に必要な、
最低限レベルのアクセスまたは許可を付与することを意味する。これらの許可を定期的にアップデートすることによって、
機能には、機微なシステムやデータを脅威に晒す可能性がある、不必要なアクセス権限がないことを保証する。
最小特権アクセス
・事前に定義された役割に基づいてアクセスを管理するRBACに加えて、サーバーレス環境は細かいアクセス制御の恩恵
を受ける。このアプローチにより、個々の機能やリソースのレベルで権限を正確に指定でき、最小特権アクセスを確保し、
攻撃対象領域を減らすことができる。
きめ細かいアクセス
制御
・サーバーレスアーキテクチャは、従来からのRBACを越えて、自らをコンテキストに応じた認可に向かわせる。ユーザーID、
機器の特徴、アクセス時間、環境要因などのコンテキスト属性は、アクセスに関する意思決定に動的な影響を及ぼす。
・コンテキストに応じた認可ポリシーは、リアルタイムの状況に基づいたアクセス制御に対応することによって、セキュリティを
強化する。
コンテキストに
応じた認可
・サーバーレス機能はステートレスで、一時的である。ベストプラクティスには、CSPが提供する秘密管理サービスの活用、
定期的な資格情報のローテーション、資格情報の露出リスクを軽減するための不可変インフラストラクチャの原則の採
用が含まれる。
不可変インフラスト
ラクチャと秘密管理
・IAMポリシーを定期的に見直し、更新することも重要である。これにより、権限が現在の要件に合致していることを確認
できる。サーバーレスアプリケーションが進化するにつれて、そのアクセスニーズも変化する。これらのポリシーを定期的に
監査することによって、権限が緩すぎず、または不必要に厳しくないことを確認し、運用効率とセキュリティのバランスを
取ることができる。
IAMポリシーの
レビューと更新

46
・ネットワーク接続とアクセスパターン
・ネットワーク設計:
 サーバーレス機能を仮想ネットワーク内に隔離して、不正アクセスのリスク
を減らし、セキュリティを強化できる。
 ACL(アクセス制御リスト)などの細かいアクセス制御を設定して、誰または
何がこれらの機能にアクセスできるか、どのような条件でアクセスできるかを
定義することができる。
・サーバーレス機能と他のサービス間の相互作用:
 APIゲートウェイは、しばしば受信リクエストのエントリーポイントとなり、
厳重に保護する必要がある。
 加えて、データの転送中の暗号化も重要である。
 ネットワークセキュリティは主にCSPの管理下にあるが、CSCはアプリケー
ション層のデータ移動を保護するためのセキュリティ設定を構成する必要が
ある。

47
・環境変数と秘密
・サーバーレスアプリケーション内での機密情報の取り扱い:
 パスワードやAPIキーなどの秘密情報をコードにハードコーディングするので
はなく、環境変数を利用すべきである。これらの変数は動的に管理され、
実行時に注入されるため、機密情報の露出を最小限に抑えることができる。
・秘密管理:
 クラウドサービス(AWS Secrets Manager、Azure Key Vaultなど)
は、秘密管理向けに信頼性の高いメカニズムを提供し、資格情報の安全な
保存、取得、ローテーションを可能にする。秘密を定期的にローテーション
することにより、古くなったり、侵害された可能性のある資格情報が悪用
されるリスクを減らす。
 IAMロールを通じて秘密へのアクセスを制御することで、認可されたエンティ
ティのみがそれらを取得または変更できるように保証する。

48
2-7. AIワークロード(1)
・AIシステムの脅威
脅威
カテゴリー
・データポイズニング:悪意を持って誤った情報を導入し、不正確なモデル出力を引き起こす。
・プライバシー侵害: 機微データへの不正アクセスは、プライバシー違反および関連する法的問題の結果を招く。
・データ漏えい: 偶発的な教育データの露出は、モデルのアウトプットを通して起きる場合があり、機密情報の公開のリスク
がある。
データセキュリティ
・モデルの窃盗: 機械学習モデルの不正コピーは、攻撃者が知的財産法を回避することを可能にし、モデルを騙す方法を
明らかにする可能性もあり、リスクが増大する。
・敵対的攻撃:入力は、設計上の弱点を悪用し、誤った予測を引き起こすように操作することが可能である。
・モデル反転攻撃:この攻撃はモデルの出力から入力データを再構築でき、トレーニングデータの機密性を脅かす。
・プロンプトインジェクション:悪意のある入力は、AIモデルの脆弱性を悪用して意図しない行動を引き起こしたり、
機密情報を漏洩させたりする可能性がある。これは、ソーシャルエンジニアリングが個人をだましてセキュリティを侵害
させる方法に似ている。
モデルセキュリティ
・不正アクセス: AIインフラストラクチャへの侵入は、データ窃盗、悪意ある変更、有害なソフトウェアのデプロイにつながる
可能性がある。
・DDoS攻撃:過剰なトラフィックはサービスを妨害するために利用される可能性がある。
・ハードウェアの脆弱性: GPUやTPUを標的とする悪用には、サイドチャネル攻撃が含まれ、機密情報の漏洩のリスクがある。
セキュリティ
・ソフトウェアの依存関係: サードパーティライブラリが、脆弱性や悪意あるコードを導入する可能性がある。
・サードパーティサービス: 外部のデータ処理やストレージサービスへの依存が、脆弱性を導入する可能性がある。
サプライチェーン

49
2-7. AIワークロード(2)
・AI低減戦略
低減策
カテゴリー
・暗号化: 転送時および保存時の間、データの機密性を保護する。
・差分プライバシー: 個々の記録が個人に遡れないように、データやクエリに、ランダム性を導入する。
・セキュアマルチーパーティ計算: 機微情報をフローの一部として、匿名化やトークン化を行うことによって、機微情報を露出
することなしに、複数ソースからデータを処理する。
・秘密計算: 処理中のデータを保護し、AIモデルの展開を守るために、高信頼実行環境(TEE)を利用する。
データセキュリティ
・モデルのハードニング: モデルのレジリエンスを強化するために、敵対的攻撃に対して防御する。
・堅牢なトレーニング:一般化能力を向上させ、過学習を減らすための手法を採用する。
・敵対的トレーニング:攻撃に対抗するために、操作された例をトレーニングデータに組み込むことによってAIモデルを強化し、
さまざまな動きに対抗する方法を学ぶ格闘家のように、そのレジリエンスを高める。
・モデルの透かし:所有権を主張し、盗難を防止するためにユニークな識別子を埋め込む。
・出力操作: AIの応答を変更してその意思決定プロセスを隠すことによって、ポーカープレイヤーのブラフのように、潜在的な
盗難者を阻止することができる。
モデルセキュリティ
・GPUとTPU: システムの完全性を維持するために、ハードウェアベースのセキュリティ機能や、定期的なファームウェアの
アップデート、ネットワーク・セキュリティ対策を有効活用する。
・AIサービス:クラウドサービスのベストプラクティスに従い、アクセス制御とリアルタイムモニタリングを含める。
・割り当てとレート制限: DoSおよびDDoS攻撃を識別し防止するために、割り当てとレート制限を適用する。
セキュリティ
・ポリシー: サプライチェーン向けのサイバーセキュリティポリシーを定義し、承認する。
・ソフトウェアサプライチェーンリスク管理: サードパーティに対して、定期的に監査し、更新する。
・サードーパーティサービスの調達: 統合前にセキュリティ評価を実施する。
・信頼されたソース:ソフトウェアの依存関係について、信頼できるソースに依存し、承認されたリストを維持する。
サプライチェーン

50
2-8. クラウドワークロードセキュリティの推奨事項(1)
推奨事項
項目
・集中型クラウドデプロイメントレジストリの生成:効率的なトラッキングと管理のために、すべてのクラウドワークロード
およびデプロイメントの包括的なインベントリを維持する
・複数のデプロイメントを利用した組織階層の定義:セキュリティおよび管理の制御の向上のために組織ユニットを反映
するクラウド環境を構築する
・新たなデプロイメント生成のための低摩擦プロセスのサポート:運用効率性を妨げることなくセキュリティポリシーの遵守
を保証するためにプロセスを簡素化する
クラウドワーク
ロード管理
・安全なベースVMイメージの強制:すべてのデプロイメント向けに、集中管理でバージョン化された、不可変なベース
イメージを利用する
・イメージファクトリーの実装:一貫性とセキュリティを保証するために、VMイメージの生成、テスト、デプロイメントを自動
化する
・VMイメージの脆弱性スキャン:セキュリティリスクを低減するために、定期的にスキャンし、VMイメージをアップデートする
・短期間稼働のVMの採用:⾧期間稼働のインスタンスに関連するリスクを低減するために、不可変的なインフラストラク
チャと一時的なVMを利用する
・構成管理とIaC(Infrastructure as Code)の利用:望ましい状態を維持し、構成逸脱を防止する
・ホストベースのファイアウォールとSSHハードニングの実装:ネットワークアクセスを制御し、VMインスタンス上のSSH
(Secure Shell)構成をセキュアにする
仮想マシン
セキュリティ

51
推奨事項
項目
・オーケストレーション向けのCSPサービス利用:セキュリティ強化のためにKubernetes-as-a-Serviceのような
マネージドサービスを有効活用する
・オーケストレーションサービスのハードニング:不必要な機能を無効化し、最小特権アクセスを保証して、ネットワーク
ポリシーおよびファイアウォールを実装する
・定期的なパッチ当てとアップデート:コンテナ、ホスト、オーケストレーションプラットフォーム向けパッチ管理の自動化
・セキュリティポリシーの定義と強制:Kubernetes Security Policy、NetworkPolicyのようなツールを利用する
・セキュリティベンチマークとツールの有効活用:Kubernetesの安全な構成を保証するために、CISベンチマークを
フォローする
・クラスターのホストとストレージの保護:ホストOSをハードニングし、保存時および転送時のデータの暗号化を適用して、
アクセス制御リスト(ACL)を利用する
コンテナオーケスト
レーションセキュリティ
・CSPMツールの有効活用:クラウドセキュリティポスチャー管理(CSPM)ツールを利用して、クラウドセキュリティポス
チャーを継続的にモニタリングする
・継続的モニタリングの実装:ワークロードの活動を追跡し、潜在的なセキュリティインシデントを迅速に検知するために、
リアルタイムモニタリングツールを利用する
・SCAツールの利用:依存関係を管理し、脆弱性を早期に特定するために、ソフトウェア構成分析(SCA)ツールを
CI/CDパイプラインに統合する
・SBOMの生成と維持:透明性、セキュリティ対応、規制遵守を強化するために、すべてのワークロード向けにソフトウェア
部品表(SBOM)を生成する
・エンドポイント検知・対応(EDR)エージェント:ランタイムモニタリングを実行し、脆弱性評価をサポートする
・セキュリティ情報・イベント管理(SIEM):リアルタイムのモニタリングとレポーティングを提供する
モニタリングと評価

52
推奨事項
項目
・定期的なセキュリティ演習の実行:チームがリアルワールドインシデントの準備をするために、シナリオベースの演習や机上
訓練を実行する
・安全文化アプローチの推奨:セキュリティインシデントに関して過度の責任を負わせることなく、全体的な向上と説明責任
に焦点を当てる
トレーニングと意識
・定期的なセキュリティ監査:潜在的脅威を特定し低減するために、脆弱性評価を実行する
・包括的なロギングとモニタリング:疑いのある行動を検知して対応する
・最小特権の原則:ユーザーやサービスに必要最小限のアクセスレベルを付与する
・多要素認証(MFA):MFAでアクセス制御を強化する
・定期的なアクセスレビュー:適正なアクセスレベルを保証するために、定期的に、アクセス許可を再評価する
PaaSセキュリティ
・サードパーティサービスとAPIの点検:不正な構成やデータ漏えいを回避するために、それらがセキュアで信頼できること
を保証する
・脆弱な依存関係の管理:脆弱性や悪意のあるコードに関して、外部ライブラリを定期的にアップデートし、チェックする
・設定ミスの修正:セキュリティ設定が機能の展開およびアクセスを適切に制限していることを保証する
・機能に関するアイデンティティ／アクセス管理(IAM)特権の制限:不正アクセスやデータ漏えいのリスクを低減するため
に、必要最小限の許可を付与する
・インターネットへの直接アクセスの制御:機能が直接インターネットにアクセスすることを防止するために、ネットワーク
セグメンテーションとACLを実装する
サーバーレス／FaaS
セキュリティ
・データセキュリティ:データを保護するために、暗号化、差分プライバシー、セキュアなマルチパーティ計算を利用する
・モデルセキュリティ:敵対的な攻撃に対してモデルをハードニングし、堅牢なトレーニング手法を利用し、盗難防止のために
固有識別子を組み込む
・インフラストラクチャセキュリティ:割当・レート制限を実装し、クラウドサービスに関するベストプラクティスをフォローする
・サプライチェーンセキュリティ:サイバーセキュリティポリシーを定義し、定期的にサードパーティの依存関係を監査し、信頼
されたリソースを利用する
AI低減戦略

53
AGENDA
アプリケーションセキュリティ
3-1. CSAクラウドセキュリティガイダンスV5:アプリケーションセキュリティ
3-2. セキュアソフトウェア開発ライフサイクル(SSDLC)
3-3. 脅威モデリング
3-4. セキュアな設計と開発
3-5. テスト
3-6. セキュアなクラウドアプリケーションアーキテクチャ
3-7. アイデンティティ／アクセス管理のアプリケーションセキュリティ
3-8. DevSecOps:CI／CDとアプリケーションテスト
3-9. サーバーレスの考慮事項
3-10. コンテナの考慮事項
3-11. アプリケーションセキュリティの推奨事項

54
3-1. CSAクラウドセキュリティガイダンスV5:アプリケーションセキュリティ
1. クラウドコンピューティングの概念と
2. クラウドガバナンスと戦略
3. リスク、監査とコンプライアンス
4. 組織管理
5. アイデンティティ／アクセス管理
6. セキュリティモニタリング
7. インフラストラクチャとネットワーク
9. データセキュリティ
10.アプリケーションセキュリティ
11.インシデント対応とレジリエンス
12.関連技術・戦略
10. アプリケーションセキュリティ
10.1 セキュアな開発ライフサイクル
10.1.1 CSAセキュア開発ライフサイクル
10.1.2 脅威モデリング
10.1.3 セキュアな設計と開発
10.1.4 テスト:デプロイ前
10.1.5 テスト:デプロイ後
10.2 セキュアなクラウドアプリケーションアーキテクチャ
10.2.1 クラウドのアーキテクチャレベルのセキュリティへの影響度
10.2.2 クラウドのアプリケーション設計とアーキテクチャへの影響度
10.2.3 Infrastructure as Codeとアプリケーションセキュリティ
10.2.4 APIセキュリティのベストプラクティス
10.3 アイデンティティ／アクセス管理のアプリケーションセキュリティ
10.3.1 アプリケーションコンポーネント上での許可の設定
10.3.2 秘密管理
10.4 DevSecOps:CI／CDとアプリケーションテスト
10.4.1 DevSecOps
10.4.2 DevSecOpsの6つの柱
10.4.3 実用的なDevSecOps
10.4.3.1 シフトレフトとセキュリティの組込
10.4.3.2 SecOps:WebアプリケーションファイアウォールとDDoS
10.5 サーバーレスとコンテナ化されたアプリケーションの考慮事項
10.5.1 サーバーレスとコンテナのアプリケーションセキュリティへの影響度
10.5.1.1 サーバーレスの考慮事項
10.5.1.2 コンテナの考慮事項

55
3-2. セキュアソフトウェア開発ライフサイクル(SSDLC)
• セキュアなデザインとアーキテクチャ
• セキュアコーディング(Developer IDEとCode Repository)
• 継続的なビルド、統合、およびテスト
• 継続的なデリバリーとデプロイ
• 継続的なモニタリングとランタイムディフェンス
内容
フェーズ
デザインは、製品の設計時に適用できる技術やツールを参照している。設計は継続的なものであるため、新しい製品
機能や変更は設計活動を通じて進行する。設計段階でセキュリティを含めないと、セキュリティ対策は展開・実行時に
より高い運用への影響と費用を伴って導入されることになる。また、対策のスケーリングが難しくなり、セキュリティのボト
ルネックが開発速度を遅らせ、リリースのタイムラインに影響を与える。
1. セキュアなデザインと
開発段階でこの機能を適用することで、アプリケーションの構築中にセキュリティが統合されるようにする。自動化ツー
ルに依存したコーディングセキュリティコントロールは、手動の人間によるレビューと比較して、コードの弱点や脆弱性を
よりよく、一貫して特定できる。開発段階でセキュリティ分析と設計を含めないと、ソースコードの脆弱性が特定されず、
運用環境にデプロイされるリスクがあり、SSDLの後段階で修正するとより高価になる。
2. セキュアコーディング
(Developer IDEと
Code Repository)
統合とテストには、アプリケーションや製品のセキュリティ脆弱性をデプロイ前にテストするためのツールとプロセスが含ま
れる。これらがないと、セキュリティ脆弱性が悪用され、データ漏えい、不正アクセス、アプリケーション、サービスの可用
性に対するさまざまな影響などの悪用が発生する可能性がある。
3. 継続的なビルド、
統合、およびテスト
デプロイ前の安全チェックは、アプリケーションや製品が安全なインフラストラクチャにデプロイされることを保証する。
デプロイフェーズでセキュリティ分析を含めないと、脆弱性や不適切なセキュリティプラクティスにより、アプリケーション、
製品、サービスが本番環境での悪用や攻撃にさらされるリスクがある。
4. 継続的なデリバリー
とデプロイ
これらの機能とプラクティスは、アプリケーションや製品が本番環境にリリースされた後に適用される。ランタイムセキュリ
ティは、非効率性、脆弱性、弱点を特定し、インシデント対応を可能にすることで、継続的な改善を促進する。
5.継続的なモニタリング
とランタイム防御

56
3-3. 脅威モデリング
・STRIDEフレームワーク:セキュリティリスクを特定・分類する
内容
フェーズ
不正アクセスを行うために、ユーザーやシステムのように誰か他人のふりをする攻撃者が含まれる(例.
ログイン資格情報を盗み出すために、攻撃者が合法サイトを真似たところでのフィッシング攻撃)。
1. 偽造(Spoofing)
データやメッセージの不正な変更のこと。これが、転送時やストレージシステム内部で起きて、データの
完全性が損なわれる可能性がある。
2. なりすまし
(Tampering)
これは、そうしたにも関わらずエンティティが行為を否定した時に起きる。これにより、行為を正しいソース
に帰するシステムの能力が弱体化して、責任が複雑化する。
3. 否認
(Repudiation:)
これには、機密情報への不正アクセスが含まれる。手法には、セキュアでない通信上での盗み聞き、
機微データにアクセスする脆弱性の悪用が含まれる。
4. 情報開示
(Information
Disclosure)
これは、システムの可用性欠如につながるようなシステムリソースの消耗である。これにより、オペレーショ
ンが破壊され、重大なダウンタイムを招く可能性がある。
5. サービス拒否
(Denial of
Service)
攻撃者が、許可されたレベル以上の高度なアクセスを取得した場合、より特権の高いアカウント用に
指定した行動を実行するために、アクセス制御をバイパスする。
6. 特権昇格
(Elevation of
Privilege)

57
3-4. セキュアな設計と開発
・クラウドアプリケーション設計のセキュリティ原則
・PaaSサービスは、より多くのセキュリティ上の責任をCSPに委ねて、
顧客が、セキュアで、完全にパッチ当てされ、設定されたサーバーや
サービスを維持する必要性を減らすか、なくす可能性がある。
・すべてのアプリケーションコンポーネントおよびPaaSサービス向け
に最小特権のアイデンティティ／アクセス管理(IAM)を実装する。
・インターネットに面した露出を低減するために、ロードバランサーや
非常に制限されたセキュリティグループのようなCSPサービスを利用
する。

58
3-5. テスト(1)
・デプロイ前テスト:継続的インテグレーション(CI)フェーズ
・ソフトウェアが本番環境に移行する前にそのセキュリティと機能性を確保する
ための重要なステップ
・チームは、開発プロセスの初期段階でテストを統合することで、特にデプロイ前
に、時間とリソースを大幅に節約できる
・このアプローチにより、問題の早期発見と修正が可能となり、より安全で信頼性
の高いソフトウェア製品の提供に貢献する
デプロイ前テスト
1. 静的アプリケーションセキュリティテスト(SAST)
a. 手動セキュリティコードレビュー
2. ソフトウェア構成分析(SCA)
3. 静的脆弱性スキャニング

59
3-5. テスト(2)
・デプロイ後テスト:継続的デプロイ(CD)
・ソフトウェアがデプロイされた後にそのセキュリティと機能を検証し、特にクラウド
アプリケーションにおいて設計および統合時に行われた仮定を検証する
・このフェーズでは、ソフトウェアが実際の環境で効果的に動作することを確認し、
従来のデータセンターでのテストプロセスを反映する
デプロイ後テスト
1. 動的脆弱性スキャニング
2. 動的アプリケーションセキュリティテスト(DAST)
・動的分析(ファジング)
・インタラクティブアプリケーションセキュリティテスト(IAST)
3. ペネトレーションテスト
4. バグバウンティプログラム

60
3-6. セキュアなクラウドアプリケーションアーキテクチャ(1)
・クラウドのアーキテクチャレベルのセキュリティへの影響度
影響
アプローチ
・クラウドはインフラストラクチャとアプリケーションを統合し、サーバーやデータベースなどの要素をアプリケー
ションの機能に不可欠なものにする
・この統合により、シームレスな運用を通じてセキュリティが強化される可能性がある
・誤った権限設定が侵害につながる可能性があるアイデンティティ／アクセス管理(IAM)のリスクも生じる
・潜在的な脆弱性を軽減するために、アイデンティティとアクセスの管理を慎重に行うことが重要である
1.インフラストラク
チャとアプリケーショ
ンの統合
・クラウド環境では、マイクロサービスなどのコンポーネントが特定の権限や資格情報を使用して通信する
・資格情報が漏えいしたり、管理が不適切であったりすると、重大なセキュリティインシデントにつながる
可能性がある
・資格情報を安全に取り扱い、アクセスを厳密に制御することが、侵害を防ぐために重要である
2.アプリケーション
コンポーネントの
資格情報
・インフラストラクチャをコードで定義することにより、デプロイメントの一貫性と効率性を提供する
・これらのデプロイメントパイプラインは攻撃者を引き付ける可能性がある
・パイプラインの侵害は、ソフトウェアサプライチェーン全体を危険にさらす可能性がある
・パイプラインを保護することは、開発およびデプロイメントプロセスを守ることにつながる
3.Infrastructur
e as Codeと
パイプライン
・仮想化技術とIaaS技術の成熟に伴い、マシン構成の管理と展開を維持または改変しないというパラダイ
ムに移行した。アプリケーション、サーバー、システム構成のインスタンスが作成されると、変更されることは
ない。変更が必要な場合は、共通のテンプレートから新しいインスタンスを作成し、完全に置き換える。
4.不可変インフラス
トラクチャ

61
・クラウドのアプリケーション設計とアーキテクチャへの影響度
内容
アプローチ
・クラウドプラットフォームは、アプリケーションを別々の仮想ネットワークやアカウント/サブアカウントなどの隔
離された環境で実行することを可能にする。開発環境と本番環境を区分することでセキュリティを強化し、必
要に応じてより厳格なアクセス制御を可能にする。
・クラウドコンピューティングは、サービスを異なるサーバーやコンテナに分離することを促進し、スケーラビリティ
とセキュリティを向上させる。これにはマイクロサービスが含まれ、マイクロサービス間の通信セキュリティの管理
や、サービスディスカバリー、スケジューリング、およびルーティングの安全な設定を慎重に行う必要がある。
1.デフォルトの分離
・クラウドプラットフォームにおいて、組織はこれまで以上に迅速にソフトウェアを開発・展開することを目指して
いる。これにより、セキュリティチームや運用チームにとって、テスト環境の展開やアプリケーションコードのセキュ
リティテストなど、以前は手動で行っていた作業を効率とスピードのために自動化する必要がある。
・自動化の必要性は、新しいツールの採用とCI/CDパイプラインでの使用の増加につながる。
2.デプロイとテスト
の自動化
・リモートログインを無効化し、ファイル整合性監視を追加し、これらのプラクティスをインシデント復旧に組み
込むことで、不可変インフラストラクチャはセキュリティ侵害のリスクを軽減する。
3.不可変インフラス
トラクチャ
・PaaSやサーバーレスコンピューティングは、基盤となるサービスやオペレーティングシステムの管理をクラウド
プロバイダーにオフロードすることで、攻撃対象領域を減らす。
・これらのアーキテクチャのセキュリティは、クラウドプロバイダーがプラットフォームを安全に維持することと、
ユーザーのセキュリティ要件を満たすことに対するコミットメントに大きく依存する。
4.PaaSとサーバー
レスアーキテクチャ

62
・Infrastructure as Code(IaC)とアプリケーションセキュリティ
内容
アプローチ
・IaCは、インフラがプロビジョニングまたは変更されるたびに、セキュリティ基準や規制に対する自動検証を促
進し、コンプライアンスを確保する。この自動化は、セキュリティポリシーの遵守を常に確保するため、絶え間
ない監察官のように機能する。
1.コンプライアンス
チェックの自動化
・インフラのセットアップをコード化することで、IaCは、サーバーからデータベースに至るまで、すべての要素が
セキュリティのベストプラクティスに従って一貫して構成されることを保証する。これにより、手動設定に伴う人
的エラーが排除され、設定のドリフトが検出・排除され、すべてのリソースにわたって均一なセキュリティレベル
が維持される。
・IaCは、これらのセキュリティポリシーに対する例外の管理もサポートする。たとえば、特定のリソースが有効
なビジネスニーズにより標準設定からの逸脱を必要とする場合、これらの例外をIaCフレームワーク内で文書
化し管理することで、組織は、そのような逸脱が認識され、承認され、追跡されることを保証し、必要な運用
の柔軟性をサポートしながらセキュリティの監視を維持できる。
2.一貫したセキュリ
ティポスチャ
・IaCは、特定された脆弱性に対応してインフラコードを迅速に修正し、インフラ全体にわたるパッチやホット
フィックスの展開を可能にする。
3.迅速な脅威への
対応
・IaCは迅速なCI／CDロールバック機能をサポートし、運用の回復力を強化する。コンテナや仮想化環境の
更新が行われると、パフォーマンスはベンチマークと統計的に比較される。
・カナリアリリースなどの新しい自動展開がこれらのベンチマークを満たさない場合、IaCは以前の安定した
構成に自動的にロールバックすることができる。これにより、ダウンタイムを最小限に抑え、新しい変更によって
セキュリティや運用の安定性が損なわれることを防ぐ。
4.迅速なCI／CD
ロールバック

63
・Infrastructure as Code(IaC): 自動化によるセキュリティ強化

64
・APIセキュリティのベストプラクティス
・APIゲートウェイの利用:
APIゲートウェイは、認証、レート制限、アクセス制御を管理するための集中管理
ポイントとして機能し、APIリクエストを受け入れる。これにより、認可されたユー
ザーやシステムのみがAPIにアクセスできるようになる。
・サービスメッシュの実装:
サービスメッシュは、アプリケーション内の異なるサービス間の通信を保護することに
焦点を当てる。サービスメッシュは、組み込みの暗号化および認証メカニズムを
提供し、サービス間を移動する機密データを保護する。
・API契約の慎重な定義による機密情報の漏えい防止:
API契約は過度に許容的であってはならず、アクセスは必要なデータと機能に
限定するとともに、自動化されたAPIセキュリティテストをCI/CDパイプラインに
組み込むべきである。これにより、開発プロセスの早い段階で脆弱性を検出し、
迅速に修正することで、セキュリティ侵害のリスクを減らすことができる。

65
3-7. アイデンティティ／アクセス管理のアプリケーションセキュリティ(1)
・アプリケーションコンポーネント上での許可の設定
デジタル資産のゲートキーパーとしてのIAMの役割
内容
アプローチ
・アクセス権を割り当てる際には、役割に応じて必要な入口だけを開ける鍵を配布するようにし、機密エリア
への不正アクセスのリスクを最小限に抑える。
1.最小特権の原則
・CCTV映像を監視するセキュリティチームのように、異常なアクセスパターンを迅速に検出し対処するため
に、常に監視を続けて警戒を怠らないようにする。
2.継続的
モニタリング
・複数のセキュリティ階層を実装し、建物内のさまざまなチェックポイントのようにアクセス権限の集中を
分散させることで、潜在的な誤用や侵害を防ぐ。これには、開発者が異なる環境(例:開発環境と本番
環境)で異なる権限を使用することも含まれる。
3.職務分掌
・多様なシステムや組織間のアクセスを簡素化し、セキュリティを強化するために、普遍的に受け入れられる
キー・カードのようなユニバーサルアクセスプロトコルを実装する。
4.フェデレーション

66
・アプリケーションセキュリティのためのIAMと秘密管理

67
・秘密管理の機能
・秘密管理の実装方法
内容
機能
・信頼できるアシスタントが適切なタイミングで正しい鍵を提供し、人間の介入(および人為的ミス)なし
にサービスが必要なものにアクセスできるようにする。
1.資格情報供給の
自動化
・秘密は、貴重品が銀行の金庫に保管されるのと同じように、安全な方法で保管される。
2.セキュアなストレージ
・自らを証明する必要がある場合、尋ねられたらIDを示すように、秘密は、セキュアなチャネル経由で、
アプリケーションに提供される。
3.APIとの統合
・チームが同じ認証情報を使用する必要がある場合、秘密管理システムを使用することで、秘密を見ず
に使用することができる。
4.チーム全体での秘密
共有
内容
方法
・秘密管理がアプリケーションやシステムに直接組み込まれている。主にKubernetesのようなコンテナ化された
環境で見られ、アプリケーションはすべての依存関係(秘密を含む)と一緒にパッケージ化される。秘密は、一度
使用され、コンテナ環境内で広く共有されることがあるが、場合によって、オープンすぎる状態になることがある。
1.組込型モデル
・すべての秘密が保存されている中央サーバーがあり、クライアントが必要に応じてこれらの秘密にアクセスを
要求する。複数のサーバーに負荷を分散するように設計されているため、大量のリクエストを処理できる。秘密
を異なるサーバーに複製して、必要な時に利用可能であることを保証し、バックアップも提供する。
2.クライアント・
サーバー型
モデル

68
・IAMと秘密管理のプロセス
鍵ペアの生成証明書署名要求(CSR)の提出認証局(CA)による発行

69
3-8. DevSecOps:CI／CDとアプリケーションテスト(1)
・DevSecOps: SSDLCを通してセキュリティの統合を自動化するような
開発、セキュリティ、運用を短縮したもの
・継続的インテグレーション(CI): 開発者はしばしば、コード変更を共有リポジトリに
統合する
・継続的デプロイ(CD): CIを経て、コード変更は自動的・継続的にデプロイされる

70
・「DevSecOpsの6つの柱:セキュリティ、開発、運用の統合による
再帰的セキュリティの実現」(2019年8月7日)
原版:https://cloudsecurityalliance.org/artifacts/six-pillars-of-devsecops)
(日本語訳版:https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2023/11/The-Six-Pillars-of-
DevSecOps-Achieving-Reflexive-Security-Through-en_us-ja.pdf)
参照URL
柱
(原版:https://cloudsecurityalliance.org/artifacts/devsecops-collective-
responsibility)
1.集団的責任
(原版:https://cloudsecurityalliance.org/artifacts/six-pillars-devsecops-
collaboration-integration)
2.コラボレーションと統合
(原版:https://cloudsecurityalliance.org/artifacts/six-pillars-devsecops-
pragmatic-implementation)
3.実践的な実装
(原版:https://cloudsecurityalliance.org/artifacts/devsecops-pillar-4-bridging-
compliance-and-development)
4.コンプライアンスと開発の
橋渡し
(原版:https://cloudsecurityalliance.org/artifacts/devsecops-automation)
(日本語訳版:https://www.cloudsecurityalliance.jp/site/wp-
content/uploads/2023/04/DevSecOps-Automatio-ja.pdf)
5.自動化
(原版:https://cloudsecurityalliance.org/artifacts/the-six-pillars-of-devsecops-
measure-monitor-report-and-action)
6.測定、監視、報告および
行動

71
・実用的なDevSecOps:
セキュリティをDevOpsプロセスに統合するための構造化アプローチ
内容
アプローチ
警戒する見張り役のように行動するリアルタイムモニタリングシステムを実装
して、セキュリティの課題や脅威、設定ミスをできるだけ早くスキャン・特定し、
迅速な対応を保証する。
検知
(Detect)
技術を活用して、パッチのデプロイから構成管理まで、独立して運用する
スマートシステムのように、繰り返されるセキュリティタスクを自動化し、
セキュリティ対策が常に最新で一貫して強制されていることを保証する。
自動化
(Automate)
馴染のツールを通して、セキュリティアラートが適切な専門家に到達することを
保証する、効率的で直接的な通信プロトコルを確立し、反応時間やチームの
活動の効率性を最適化する。
配備
(Deliver)
ルーティンの清掃が、レストランの衛生基準を維持しているのと同じように、
セキュリティの維持を毎日のルーティンに統合し、定期的でプロアクティブな
運用の一部として、セキュリティ課題を解決する。
修復
(Fix)

72
・シフトレフトとセキュリティの組込
～開発フェーズ全体に渡るセキュリティの統合

73
・SSDLC全体を通じたプロアクティブなセキュリティ対策

74
・IaaS／PaaSサービスにおけるWAF／DDoS保護の共通シナリオ
内容
シナリオ
IaaSの仮想マシンをWebサーバーとして利用する時、WAFエージェントを、
OSの上位にインストールすることができる。通常、このオプションには、DDoS
低減機能はない。
1. エージェント
のデプロイ
IaaS／PaaSプロバイダーは、通常ロードバランサーサービス上にデプロイ
される、WAFとDDoS保護の統合型サービスを提供する。
2. クラウドプロ
バイダーサービス
IaaS／PaaSマーケットプレイスは、専用VMにデプロイされた、様々なサード
パーティ製商用WAFソフトウェアを提供する。WAFをデプロイし、ルーティング
やリダンダンシー、ロードバランシングを保証するのは、顧客の責任である。
3. サードパー
ティマーケットプ
レイスサービス
DNSリダイレクトを利用して、消費者のトラフィックは、サードパーティWAFに
ルーティングされ、検証・フィルタリングした上で、クラウドプロバイダー環境に
ルーティングされる。
4. WAF／
DDoS as a
Service

75
・SecOps:WebアプリケーションファイアウォールとDDoS

76
3-9. サーバーレスの考慮事項
(参考文献) CSA Serverless WG
・「サーバレスアプリケーションの12の最も重大なリスク2019」(2019年2月11日)
(https://cloudsecurityalliance.org/artifacts/the-12-most-critical-risks-for-serverless-applications)
(日本語訳版:https://cloudsecurityalliance.org/artifacts/the-12-most-critical-risks-for-serverless-applications-japanese-translation)
・「安全なサーバーレスアーキテクチャを設計するには 2021年版」(2021年9月14日)
(https://cloudsecurityalliance.org/artifacts/serverless-computing-security-in-2021)
(日本語訳版:https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2022/01/How-to-Design-a-Secure-Serverless-Architecture-091321-J.pdf)
「サーバーレスアーキテクチャのセキュリティを確保するためのCレベルへのガイダンス」(2022年4月19日)
(https://cloudsecurityalliance.org/artifacts/c-level-guidance-to-securing-serverless-architectures)
(日本語訳版:https://cloudsecurityalliance.org/artifacts/c-level-guidance-to-securing-serverless-architectures-japanese-translation)
・「NIST 800-53 R5のコントロールに基づくFaaSサーバーレスコントロールフレームワーク」(2023年8月30日)
(https://cloudsecurityalliance.org/artifacts/faas-serverless-control-framework-set-based-on-nist-800-53-r5-controls)
・「安全なサーバーレスアーキテクチャを設計するには 2023年版」(2023年10月23日)
(https://cloudsecurityalliance.org/artifacts/how-to-design-a-secure-serverless-architecture)
(日本語訳版:https://cloudsecurityalliance.org/artifacts/how-to-design-a-secure-serverless-architecture-japanese-translation)
内容
考慮事項
・サーバーレス機能の一時的な性質は、単独で、持続的なストレージのない短期運用を行い、
本質的に攻撃に対する露出を抑制する。
攻撃対象領域の
削減
・製品製造時の既知の安全性記録を有するサードパーティコンポーネント利用に似たような、
外部のコードまたはサービスへの依存。
依存関係のリスク
・サーバーレス機能の一時的で分散化した性質は、多数の継続的に変化するアクセスポイント
全体のセキュリティ維持に匹敵する、複雑なアクセス管理を必要とする。
IAMの複雑性

77
3-10. コンテナの考慮事項
内容
考慮事項
・侵入者が簡単に入れる通路を可能にするコネクテッドルームの不適正な分離と同様に、コンテ
ナ化環境における不十分な分離は、セキュリティ侵害をもたらし得る。
分離のリスク
・コンテナは、デプロイ後不可変的になるように設計されており、一貫性を促進し、証拠改ざん
防止パッケージのようにリスクを低減する。
不可変インフラス
トラクチャ
・スケールが拡大するにつれて、コンテナの複雑なセキュリティ構成が課題となっており、複数施
設に渡る先進的なセキュリティシステムの複雑なネットワークを監視するのに似ている。
複雑な構成管理
出典:Cloud Security Alliance
「Security Guidance For Critical Areas
of Focus in Cloud
Computing v5」(2024年7月15
日)(https://cloudsecurityalliance.org/arti
facts/security-guidance-v5)

78
3-11. アプリケーションセキュリティの推奨事項(1)
推奨事項
項目
・セキュアな設計とアーキテクチャ: 早期段階でセキュリティを統合する設計フェーズの間、技術やツールを適応して、費用の高
騰や後工程でのボトルネックを回避する
・継続的ビルド、統合、テスト: セキュリティ侵害を防止するために、デプロイ前に脆弱性をテストするためのツールとプロセスを
導入する
・継続的デリバリーとデプロイ: アプリケーションがセキュアなインフラストラクチャ上にデプロイされていることを保証するために、
デプロイ前の安全性チェックを実施する
・ランタイム防御とモニタリング: デプロイ後の脆弱性や非効率性を継続的に特定・低減するためのプラクティスを実装する
CSAセキュア
開発
ライフサイクル
(SSDLC)
・脅威を分類するためにSTRIDEフレームワークを適用する:偽造、なりすまし、否認、情報開示、サービス拒否、特権昇格
構造化脅威モデリ
ングの採用
・セキュリティの責任をプロバイダーに引き渡すために、PaaS(Platform as a Service)およびその他のCSPサービスを
利用する。
・すべてのコンポーネントについて、最小特権およびアイデンティティ／アクセス管理(IAM)を実装する。
・インターネットへの露出を最小化するために、ロードバランサーやセキュリティグループのようなCSPサービスを利用する
セキュアなクラウド
設計へのフォーカ
ス
・静的アプリケーションセキュリティテスト(SAST):デプロイ前に脆弱性や論理的エラーを特定するために、コードレビューを
自動化する
・ソフトウェア構成分析(SCA):脆弱性やライセンシングのリスクに関して、外部コンポーネントを監査し、透明性のために、
ソフトウェア部品表(SBOM)を生成する。
セキュリティテスト
手法の統合

79
推奨事項
項目
・動的アプリケーションセキュリティテスト(DAST):外部の観点から、アプリケーションのセキュリティポスチャーを評価するために、
ブラックボックステストを実行する。
・動的分析(ファジング):運用中にエラーや脆弱性を特定するために、予測不能なデータを入力する。
・インタラクティブアプリケーションセキュリティテスト(IAST):コードおよびランタイム双方における脆弱性を特定するために、
SASTとDASTを組み合わせる。
・ペネトレーションテスト:既知の脆弱性を悪用して、システムのレジリエンスをテストするために、攻撃シミュレーションを実行する。
・バクバウンティプログラム:脆弱性を発見して報告するために、エシカルハッカーコミュニティを有効活用する。
包括的な
デプロイ後
テストの実行
・不正アクセスを最小化するために、最小特権原則を適用する。
・異常なアクセスパターンを検知して処理するために、継続的モニタリングを実装する。
・アクセス力を希薄化し、誤用を防止するために、職務分離を利用する。
・プラットフォーム間の相互作用を簡素化・セキュア化するために、フェデレーションを採用する。
アクセス制御の
強化
・人的エラーを最小化するために、資格情報を自動的に供給する。
・金庫の貴重品のように、鍵をセキュアに保存する。
・セキュアなチャネルを介して秘密をAPIと統合する。
・共有銀行口座のように、暴露なしの秘密の共有を促進する。
秘密管理
・組込型セキュリティチェックで、継続的な統合・デプロイを実装する。
・SSDLCにおいて早期に脆弱性を特定して処理するために、シフトレフト戦略を利用する。
・一貫した強制と迅速なアップデートを保証するために、繰り返されるセキュリティタスクを自動化する。
・開発、運用、セキュリティチーム間のコラボレーションを促進する。
秘密のCI／
CDパイプライン
への統合

80
推奨事項
項目
・サーバーレスの考慮事項
・一時的なサーバーレス機能による攻撃面の削減を活用する。
・依存関係リスクを処理し、複雑なIAM環境を管理する。
・コンテナの考慮事項
・侵害を防止するために堅牢な分離を保証する。
・一貫性とセキュリティを促進するために、不可変的なインフラストラクチャを利用する。
・コンテナのデプロイの規模で複雑なセキュリティ構成を管理する。
現代的なデプロ
イのための
セキュリティ
戦略の適応

81
AGENDA
• 4. OWASP DevSecOps／API関連ガイドライン
4-1.OWASP DevSecOpsガイドライン v-0.2
4-2.OWASP APIセキュリティトップ10 2023

82
4-1. OWASP DevSecOps ガイドライン v-0.2(1)
[構成]
0 – イントロダクション
0-a – 概要
0-b – 脅威モデリング
1 – コミット前
1-a – 秘密管理
1-b – コードの検査(Linting)
2 – 脆弱性スキャン
2-a – 静的(Static)アプリケーションテスト
2-b – 動的(Dynamic)アプリケーションテスト
2-c – インタラクティブな(Interactive)アプリケーションテスト
2-d – ソフトウェア構成分析
2-e – インフラストラクチャ脆弱性スキャン
2-f – コンテナ脆弱性スキャン
2-g – プライバシー
3 – コンプライアンス監査

83
・目標:できるだけ早く、セキュリティ課題(Security by Design、
アプリケーション脆弱性)を検知する
・基礎的パイプラインにおける実装のステップ:
・潜在的な資格情報の漏えいを見つけるためのgitスキャン
・SAST(静的アプリケーションセキュリティテスト)
・SCA(ソフトウェア構成分析)
・IAST(インタラクティブなアプリケーションセキュリティテスト)
・DAST(動的アプリケーションセキュリティテスト)
・IaCスキャンニング(構成ミスを見つけるためのTerraform、HelmChartコードのスキャン)
・インフラストラクチャスキャンニング
・コンプライアンスチェック

84
・集中型脆弱性管理ソリューション
出典:OWASP Foundation, Inc.「OWASP DevSecOps Guideline - v-0.2」(2024年8月時
点)(https://github.com/OWASP/DevSecOpsGuideline)

85
4-2. OWASP APIセキュリティトップ10 2023(1)
説明
項目
番号
APIはオブジェクト識別子を扱うエンドポイントを公開する傾向があり、これによりオブジェクトレベ
ルのアクセス制御問題の広範な攻撃対象領域が生じる。ユーザーからのIDを使用してデータ
ソースにアクセスするすべての機能で、オブジェクトレベルの認可チェックを考慮する必要がある。
壊れたオブジェクトレベル
認可
API1:2023
認証メカニズムはしばしば誤って実装され、攻撃者が認証トークンを侵害したり、実装の欠陥を
悪用して他のユーザーの身元を一時的または永久に乗っ取ることができる。システムのクライアン
ト/ユーザーを識別する能力が損なわれると、APIセキュリティ全体が危険にさらされる。
壊れた認証
API2:2023
このカテゴリは、API3:2019 過剰なデータ露出と API6:2019 大量割り当てを組み合わせた
もので、根本的な原因に焦点を当てている。それは、オブジェクトのプロパティレベルでの認可検
証の欠如または不適切な認可検証である。これにより、認可されていない第三者による情報の露
出や操作が引き起こされる。
壊れたオブジェクトプロパ
ティレベル認可
API3:2023
APIリクエストを満たすには、ネットワーク帯域幅、CPU、メモリ、ストレージなどのリソースが必要
である。メール、SMS、電話、生体認証の検証など、他のリソースは、サービスプロバイダーによっ
てAPI統合を通じて提供され、リクエストごとに料金が発生する。攻撃が成功すると、サービス拒
否(DoS)や運用コストの増加につながる可能性がある。
制限のないリソース消費
API4:2023
複雑なアクセス制御ポリシーは、異なる階層、グループ、役割を持ち、管理機能と通常の機能の
区別が不明確な場合、認可の欠陥を引き起こす傾向がある。これらの問題を悪用することで、攻
撃者は他のユーザーのリソースや管理機能にアクセスすることができる。
壊れた機能レベル認可
API5:2023
出典:OWASP Foundation, Inc.「API Security Top 10 2023」(2023年)(https://owasp.org/API-
Security/editions/2023/en/0x00-header/)を基にヘルスケア研究会作成

86
4-2. OWASP APIセキュリティトップ10 2023(2)
説明
項目
番号
このリスクに対して脆弱なAPIは、チケットの購入やコメントの投稿などのビジネスフローを公開す
るが、その機能が自動化された形で過度に使用された場合、ビジネスにどのような害を及ぼすかに
ついては補償しない。これは必ずしも実装上のバグに起因するものではない。
機微なビジネスフローへの
制限のないアクセス
API6:2023
Server-Side Request Forgery (SSRF)の脆弱性は、APIが、ユーザーに指定された
URIを検証せずにリモートリソースを取得する際に発生する可能性がある。これにより、攻撃者は
アプリケーションに細工されたリクエストを送信させ、ファイアウォールやVPNで保護されている場
合でも予期しない宛先にリクエストを送信させることができる。
Server-Side
Request Forgery
(SSRF)
API7:2023
APIとそれをサポートするシステムは、通常、APIをよりカスタマイズ可能にするために複雑な設定
を含む。ソフトウェアエンジニアやDevOpsエンジニアは、これらの設定を見逃したり、設定に関す
るセキュリティのベストプラクティスに従わなかったりすることがあり、さまざまな種類の攻撃のリスク
を高める。
セキュリティの設定ミス
API8:2023
APIは従来のWebアプリケーションよりも多くのエンドポイントを公開する傾向があるため、適切
で最新のドキュメントがとても重要である。また、ホストとデプロイされたAPIバージョンの適切な
インベントリを持つことも、廃止されたAPIバージョンや公開されたデバッグエンドポイントなどの問
題を軽減するために重要である。
不適切なインベントリ管理
API9:2023
開発者はユーザー入力よりもサードパーティAPIから受け取るデータを信頼する傾向があり、その
ためセキュリティ基準が弱くなることがある。攻撃者はターゲットAPIを直接攻撃するのではなく、
統合されたサードパーティサービスを狙ってAPIを侵害しようとする。
APIの安全でない消費
API10:2023
出典:OWASP Foundation, Inc.「API Security Top 10 2023」(2023年)(https://owasp.org/API-
Security/editions/2023/en/0x00-header/)を基にヘルスケア研究会作成

87
AGENDA
• 5. まとめ／Q&A
https://www.linkedin.com/in/esasahara
https://www.facebook.com/esasahara
https://twitter.com/esasahara

クラウドワークロードセキュリティと 新FedRAMPガイダンス September 24, 2024

More Related Content

Similar to クラウドワークロードセキュリティと 新FedRAMPガイダンス September 24, 2024

More from Eiji Sasahara, Ph.D., MBA 笹原英司