アプリケーションセキュリティプラットフォームを拡張し、Contrast Serverlessをリリース

〜サーバーレスアプリケーションのセキュリティ戦略において、回答者の3分の2がセキュリティ対応が重要または非常に重要であるという調査結果を受け、AWS Lambdaのサポートから開始〜

2021年10月19日、カリフォルニア州ロスアルトス —
次世代ソフトウェアセキュリティのリーディングカンパニーであるContrast Securityは、サーバーレスアプリケーション開発用に特別に設計された革新的なアプリケーションセキュリティソリューションである「Contrast Serverless Application Security」（以下Contrast Serverless）のリリースを発表しました。 この新しいセキュリティソリューションは、リリースと同時にまずはAWS Lambdaをサポートし、順次他のサーバレスにも対応していきます。このソリューションにより2026年までに254.9億ドル(日本円で約2.9兆円)に達すると報告されているグローバルのサーバーレスアーキテクチャ市場を開拓します。

ContrastのアプリケーションセキュリティプラットフォームにContrast Serverlessを追加することにより、開発者はサーバーレス環境内でアプリケーションの脆弱性を自動的に検出および精査し、修正の優先順位付けを行うことが出来ます。Contrast Serverlessは、クエリー実行の前後関係を静的および動的エンジンを組み合わせて調査し、開発リリースサイクルを加速しながら、サーバーレスセキュリティの運用効率を50％向上させることが出来ます。

クラウドネイティブとサーバーレスの急速な成長
Contrastの新しい調査レポート「State of Serverless Application Security Report（サーバーレスアプリケーションセキュリティの現状）」によると、サーバーレスコンピューティングは、ソフトウェア開発ライフサイクル（SDLC）の摩擦を取り除き、ソフトウェア開発の速度、拡張性、およびコスト効率を向上させるという、20年来にわたるプロセスの次のステップです。新型コロナウイルスCOVID-19の感染拡大の中、サーバーレスコンピューティングが主流になり、弊社の調査によると回答者の70％以上が、社内の6つ以上の開発チームがサーバーレスアプリケーションの開発に取り組んでいると回答しています。

この調査結果によると、企業はアプリケーションのセキュリティ、特にサーバーレスアプリケーションのセキュリティに懸念を抱いていることを示しており、回答者の3分の2が、サーバーレスセキュリティがクラウドネイティブ戦略にとって非常に重要であると述べています。ただし、54％は、企業のサーバーレスセキュリティを完全に監視できていないことを示す検査の失敗について回答しています。さらに、回答者の60％近くが、専用のセキュリティツールの欠如が大きな問題であると認めています。

主な理由は、サーバーレスセキュリティの問題がWebアプリケーションの問題とは根本的に異なることです。 具体的には、サーバーレスのリスクはコードレベルの脆弱性を超えています。これは、すべてのサーバーレス関数が独自の境界と権限を備えた自己完結型であるためです。アプリケーションで通常使用される多数の機能が組み合わさり、攻撃対象が幅広くなります。従来のアプリケーションセキュリティツールはWebアプリケーション用に構築されており、上記の様なサーバーレスアプリケーション固有のリスクは見逃されてしまいます。

「サーバーレス環境を実行時に保護することに重点を置いているスタートアップをいくつも見てきましたが、Contrast Securityは、開発パイプラインでサーバーレスを保護することを提案した最初の企業だと思います。開発パイプラインでの保護は重要な要件ですが、これまでのところほとんど対処されていません。最小権限の使用の追跡も、もう1つの重要な機能です」と、Omdiaのサイバーセキュリティ担当主席アナリストであるRik Turner氏は述べています。

Contrast Securityのサーバーレスアプリケーションセキュリティへのアプローチ
Contrast Securityによる「サーバーレスアプリケーションセキュリティの現状」レポートでも、殆どの企業が4つの主要なクラウドコンテナサービスを利用していることが分かりましたが、Amazonが提供するサービスは、ほとんどの企業において最も重要度が高いものとなっています。その点で、回答者の半数は、典型的なアプリケーションには10を超えるAWS Lambda関数があると報告しています。残念ながら、サーバーレステクノロジーの急速な革新にセキュリティが追いついていません。多くの開発者がアプリケーションのデプロイにAWS Lambdaを採用していることを認識しています。新しいContrast Serverless は最初にAWS Lambdaのデプロイをサポートし今後は他のサーバーレスに対応していきます。Contrast Serverlessは起動から実行までわずか数分しかかかりません。

従来のサーバーレスアプリケーションセキュリティのソリューションは、セキュリティチームと開発チームにとって、リリースサイクルを遅らせるようなものでした。Contrast Serverlessにより効率化を図り、必要なテストや保護機能を利用出来ます。 Contrast Securityのソリューションは、サーバーレスアーキテクチャの性能とデータを活用して、サーバーレス環境内の全てのリソースをマッピングし、静的コードスキャンを実行し、動的な攻撃をシミュレートします。 テスト結果は自動的に高精度な検証が行われ、優先順位が付けられます。これにより、従来のアプリケーションセキュリティの方法による誤検知やアラートで悩まされる事がなくなります(従来のソリューションのアラートの85％以上が誤検知と判明しています)。

インストールは3クリック、ゼロ・コンフィギュレーション、自動化された操作などにより、開発者が容易にデプロイ出来ます。 Contrast Serverlessソリューションの機能は次の通りです。

• 動的環境スキャン：テスト環境に導入された特定の更新に基づいて、カスタマイズした動的なセキュリティ評価をリアルタイムで自動的に開始します。従来の手動によるアプローチと比較して、侵入テストが飛躍的に簡素化されます。動的スキャンは、SQLインジェクション、コードインジェクション、コマンドインジェクション、ローカルファイルインクルードなど、OWASPトップ10ベンチマークの解釈に基づいています。
• リソースマッピング：テストされた環境内のすべてのリソース（S3バケット、APIゲートウェイ、DynamoDBなど）とそれらの関係をセッション毎に数分で自動的に検出し、マッピングして可視化します。
• コードスキャン：関連するコードと構成の評価を自動的に実行し、ほぼリアルタイムで新たな脆弱性を検出し、推奨されるコンテキストに基づいた修復ガイダンスを提示します。検査対象となる脆弱性の種類には以下が含まれます。
  • 最小権限：デプロイ前のサーバーレスワークロード内のIDおよびアクセス管理（IAM）の（パーミッション機能に関する）脆弱性
  • ソフトウェア構成分析（SCA）：Contrast独自のオープンソースセキュリティエンジンを使用したオープンソースライブラリの分析

Contrast Securityの最高製品責任者、Steve Wilsonは次のように述べています。 「Contrastの新しいサーバーレスセキュリティ機能により、開発者は深刻なセキュリティの脆弱性を簡単かつ迅速に検出および修正出来ます。 結果としてクラウドとサーバーレスの可能性を最大限に引き出しながら、これらの環境における脆弱性のリスクを劇的に削減します。」

Contrast Serverlessの製品詳細については、下記Webページおよび資料をご参照ください。
Webページ：https://www.contrastsecurity.com/ja/contrast-serverless-application-security
レポート（英語）: State of Serverless Application Security Report
ポッドキャスト（英語）: Key Takeaways From a New Serverless Application Security Report - New Serverless Application Security Solution Is a Transformative Breakthrough
ホワイトペーパー（英語）: Contrast Serverless Application Security White Paper