リスクマネジメント リスクマネジメント記事一覧へ

[クラウドのセキュリティリスクを管理せよ]

【第8回】クラウドアプリケーションのためのセキュリティアーキテクチャーの確立を

2014年7月22日(火)日本クラウドセキュリティアライアンス(CSA)

クラウドコンピューティングのセキュリティ課題について、「Security Guidance for Critical Areas of Focus in Cloud Computing(略称CSAガイダンス)」では体系的に解説している。本連載では、CSAガイダンスに沿って、クラウド利用者が知っておくべき知識と、押えるべきポイントを解説する。前回、前々回は、クラウドにおけるセキュリティインシデントについて、そのライフサイクルに沿って説明した。今回は、アプリケーションのセキュリティについて、CSAガイダンスの第10章にそって、その要点を解説する。

 クラウド環境において、最終的な利用者が享受するのは“サービス”である。そのサービスを実現するためには、様々なアプリケーションプログラムおよび、その開発・運用基盤が必要になる。当然ながら、これらのアプリケーションとその基盤は、常に外部からの脅威にさらされるため、安全性の確保、とりわけ脆弱性などの排除が最も重要な課題になる。この点は、クラウドでもオンプレミスでも変わりはない。

 昨今、Web系アプリケーションを公開する際は、脆弱性検査などの手順が取り入れられるようになっている。だが、これらは対症療法に過ぎない。根本的に、脆弱性の排除といった問題に取り組むためには、アプリケーションの品質管理同様に、開発プロセスを見直し、上流レベルにおける対応が不可欠だ。

「SSDLC」でソフトウェア開発ライフサイクル自体をセキュアにする

図1:SSDLC(Secure Software Development Life Cycle)では、ソフトウェア開発ライフサイクルの全ステップでセキュリティを考慮する図1:SSDLC(Secure Software Development Life Cycle)では、ソフトウェア開発ライフサイクルの全ステップでセキュリティを考慮する
拡大画像表示

 ソフトウェアの開発・運用・保守・改良など、一連の流れをソフトウェアのライフサイクルとしてとらえ、体系的に管理していく考え方に、「SDLC(Software Development Life Cycle)」がある。CSA(Cloud Security Alliance:クラウドセキュリティアライアンス)では、クラウド事業者やアプリケーション開発者に対し、このSDLCにセキュリティ要素を加味した「セキュアSDLC」(以下、SSDLC)の導入を推奨している(図1)。

 例えば、企画・要件定義の段階では、システムに対するリスク評価を実施する必要がある。想定可能な脅威と、その影響をきちんと評価し、それに応じたセキュリティ要件を定義する。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

【次ページ】クラウド上のデータは完全削除も困難に
  • 1
  • 2
  • 3
バックナンバー
クラウドのセキュリティリスクを管理せよ一覧へ
関連記事

Special

-PR-

【第8回】クラウドアプリケーションのためのセキュリティアーキテクチャーの確立をクラウドコンピューティングのセキュリティ課題について、「Security Guidance for Critical Areas of Focus in Cloud Computing(略称CSAガイダンス)」では体系的に解説している。本連載では、CSAガイダンスに沿って、クラウド利用者が知っておくべき知識と、押えるべきポイントを解説する。前回、前々回は、クラウドにおけるセキュリティインシデントについて、そのライフサイクルに沿って説明した。今回は、アプリケーションのセキュリティについて、CSAガイダンスの第10章にそって、その要点を解説する。

PAGE TOP