PaaSとは？IaaSやSaaSとの違い

クラウド コンピューティングにより、チームは数か月ではなく数日で新しいアプリを立ち上げることが可能になりました。そのスピードはアタックサーフェスを拡大させ、セキュリティリーダーに警戒を促しています。PaaS（パース）は、開発者にソフトウェア向けの既製の構成要素を提供するため、この変化の中心に位置しています。IBMのレポートによると、現在、データ侵害の45%にクラウド上のデータが関与しており、設定ミスのあるPaaS環境によって、わずか1件のインシデントで3,800万件もの顧客レコードがすでに流出しています。

PaaSとは、アプリケーションを動かすためのプラットフォームを提供するクラウド サービス モデルです。プロバイダーがコンピュート、ストレージ、ミドルウェア、開発ツールを提供し、顧客がコードを持ち込みます。プラットフォームがパッチ適用、スケーリング、その他の運用タスクを処理するため、開発者は機能に集中できます。

このスピードには、セキュリティ上のトレードオフが伴います。PaaSは、セキュリティチームが従来監視・制御してきた基礎となるインフラストラクチャ層を抽象化します。開発を加速させるその利便性は、セキュリティ コントロールが適切に設定されていない場合、脅威が潜むブラインドスポットを生み出す可能性があります。

ほとんどのPaaS製品は、クラウドの連続体においてIaaSとSaaSの中間に位置します。これらは基礎となる仮想マシンを抽象化しますが、アプリケーション自体のパッケージ化までは行いません。ワークロードがプラットフォームに移動すると、OSやネットワーク層への可視性が失われるため、その境界線はセキュリティにおいて極めて重要です。

PaaSでは、「クラウドプロバイダーが顧客に対し、クラウド上でアプリケーションを実行するためのフレームワークへのアクセスを提供します」と、プルーフポイントのソフトウェアエンジニアであるカイル・ソープは述べています。「開発者がアプリケーションを保守し、クラウド サービス プロバイダーがサーバー、ストレージ、ネットワーキングなどを管理します」（例：AWS Elastic Beanstalk、Google App Engine、SAP Cloud Platform、Salesforce）

PaaSにおいても、責任共有モデルがなくなるわけではありません。プロバイダーはインフラストラクチャとミドルウェアを保護します。顧客側のセキュリティチームは、引き続きアイデンティティ、設定、およびプラットフォーム上で実行されるコードを厳重に管理しなければならず、ベンダーが実際にどのコントロールを適用しているかを確認する必要があります。

PaaSプラットフォームは、開発を加速させるいくつかのコア機能を統合していますが、それぞれにチームが対処すべき固有のセキュリティ上の考慮事項が伴います。

• アプリケーション ホスティングとデプロイ：PaaSプロバイダーは、セキュリティ スキャニングやコンプライアンス チェックを含めることができる自動化されたデプロイメント パイプラインを提供しています。しかし、これらの「セキュア バイ デフォルト」設定が効果を発揮するには、多くの場合、手動での有効化と適切なセットアップが必要です。
• ミドルウェア サービス：プラットフォームは、パッチ適用スケジュールや脆弱性ステータスを公開することなく、アプリケーション サーバー、メッセージキュー、およびランタイム環境を処理します。この不透明性により、セキュリティチームは重要なミドルウェア コンポーネントの実際のセキュリティ体制を把握できなくなる可能性があります。
• APIと統合：PaaSプラットフォームは、開発を加速させる広範なAPIライブラリとサードパーティ サービス コネクターを提供します。外部サービスに脆弱性が含まれている場合や、サービスが侵害されている場合、各統合ポイントが潜在的なアタックベクターとなります。
• DevOpsツールチェーン：組み込みのCI/CDパイプライン、コードリポジトリ、および監視ツールは、開発ワークフローを効率化します。これらのツールにおける不適切な認証情報管理や設定ミスのアクセス制御は、ソースコードやデプロイメント シークレットを露呈させる恐れがあります。
• データベース サービス：マネージド データベース製品は、メンテナンスとスケーリングを自動的に処理します。セキュリティチームは、規制コンプライアンスの要件を満たすために、適切なアクセス制御の設定、保存時および転送時の暗号化の有効化、および監査ログの設定を継続して行う必要があります。

クラウド サービス モデルIaaS・PaaS・SaaSにおけるセキュリティ責任の範囲を理解することは、チームがリソースを適切に配分し、危険なカバレッジギャップを回避するのに役立ちます。

IaaS

IaaS（イアース/アイアース）は、最も強力な制御権を提供しますが、同時にセキュリティ責任も最大になります。オペレーティング システムから、アプリケーション、データ、およびネットワーク設定に至るまで、すべてをユーザーが管理します。プロバイダーは物理的なインフラストラクチャとハイパーバイザー層を保護しますが、サーバーへのパッチ適用、ファイアウォールの設定、およびソフトウェア スタック全体の管理はユーザーが行う必要があります。このモデルは、セキュリティ体制をきめ細かく制御したいチームに適していますが、適切に運用するには高度な社内専門知識が必要です。

PaaS

PaaSのセキュリティは、責任の範囲のちょうど中間に位置します。プロバイダーがOSのパッチ適用、インフラストラクチャ管理、およびランタイム環境のセキュリティを処理する一方で、ユーザーは自社のアプリケーション、データ、およびユーザーアクセスの保護に集中します。基盤となるシステムへの可視性は失われますが、スピードが向上し、運用のオーバーヘッドが削減されます。ID管理は責任共有の対象となり、アプリケーション内でのセキュア コーディング プラクティスの導入や適切なデータ暗号化を依然として実施する必要があります。

SaaS

SaaS（サース/サーズ）は、インフラストラクチャ、プラットフォーム、およびアプリケーション セキュリティを管理するプロバイダーに、最も重いセキュリティ負担を転嫁します。顧客の主な責任は、ユーザー アクセス コントロール、データガバナンス、およびアプリケーションのセキュリティ設定を適切に構成することに集約されます。プロバイダーは物理的なセキュリティからアプリケーション レベルの保護まであらゆる事項を処理しますが、顧客は引き続き強力な認証を確保し、誰がどのデータにアクセスしているかを監視する必要があります。このモデルは制御できる範囲が最小限ではあるものの、最も少ない社内セキュリティ担当者で効果的に管理することが可能です。

PaaSは、企業における急速な普及を後押しする非常に魅力的な利点を提供します。しかし、新たな脆弱性を生じさせないためには、それぞれの利点に対して慎重なセキュリティ ガバナンスが必要です。

• 開発サイクルの高速化：PaaSはインフラストラクチャ セットアップの遅延を解消し、チームがすぐにコーディングを開始できる事前設定済みの開発環境を提供します。しかし、このスピードによって開発者がセキュリティ レビューを省略し、適切なテストを行わずに脆弱なコードを本番環境にプッシュしてしまうプレッシャーが生じる可能性があります。
• インフラストラクチャ 管理の簡素化：プラットフォームがサーバー プロビジョニング、ロードバランシング、およびシステムメンテナンスを自動的に処理するため、チームは運用上のオーバーヘッドから解放されます。この利便性の一方で、特定のコンプライアンス要件に合わせてカスタマイズが必要になる可能性のある、基盤となる設定やセキュリティ コントロールへの可視性が低下します。
• 統合されたサービスとAPI：組み込みデータベース、メッセージング システム、およびサードパーティ コネクターにより、これらのコンポーネントを一から構築する必要がなくなります。チームが、データフローやアクセスパターンを監視せずにプロバイダーがすべてのセキュリティ側面を処理していると想定した場合、これらの統合がセキュリティ ブラインド スポットになる可能性があります。
• オートスケーリングとリソースの最適化：PaaSプラットフォームは需要に基づいてコンピュートリソースを自動的に調整し、オーバー プロビジョニングを防止してコストを削減します。オートスケーリングの設定が不適切な場合、侵害されたコンテナを急速に展開したり、スケーリング イベント中に機密データを露呈させたりすることで、セキュリティ インシデントを増幅させる可能性があります。
• コスト効率：従量課金制の料金体系と共有インフラストラクチャ リソースにより、従来のオンプレミス デプロイメントと比較して資本支出を削減できます。適切なガバナンスがなければ、このモデルはリソース スプロールを招き、忘れ去られたアプリケーションが古いセキュリティ設定のまま実行され続けることにつながる可能性があります。
• 組み込みのコンプライアンス機能：多くのPaaSプロバイダーは、規制要件をサポートするコンプライアンス フレームワークや監査ログ機能を提供しています。これらの機能は、適切に設定および監視されて初めて価値を提供できるものであり、能動的な管理なしにデフォルトでコンプライアンスが確保されているとチームが想定することはできません。

PaaSプラットフォームは、インフラストラクチャの脆弱性とアプリケーション レベルのリスクを融合させた独自のアタックベクターを生み出し、攻撃者にエンタープライズ環境を侵害するための複数の経路を提供します。

設定ミス

PaaS環境は、アプリケーションやデータを不正アクセスにさらす設定エラーに対して特に脆弱です。McAfeeの「クラウド アダプション アンド リスク レポート」の調査によると、PaaSプラットフォームを使用している企業では、常に平均14件の設定ミスのあるサービスが稼働しており、その結果、月に2,269件の設定ミスによるインシデントが発生しています。

注目すべき事例が2020年7月に発生しました。ある大手PaaSプロバイダーが、攻撃者が設定ミスのあったAmazon S3バケットにアクセスし、開発コードを書き換えたことを明らかにしました。これらの設定ミスは、多くの場合、セキュリティよりもデプロイの容易さを優先するデフォルト設定に起因しており、本来は内部限定であるべきアプリケーションがパブリックにアクセス可能な状態になってしまいます。

脆弱なAPI接続

PaaSプラットフォームはサービスの統合をAPIに大きく依存していますが、これらの接続には適切な認証や暗号化コントロールが欠けていることが頻繁にあります。APIは、脆弱な認証、暗号化の欠如、不適切なセッション管理、不十分な入力検証などの脅威に対して特に脆弱です。

APIにおけるオブジェクトレベルの認可の不備は、広範なアタックサーフェスを生み出し、攻撃者はオブジェクト識別子を操作することで不正なデータにアクセスできるようになります。PaaSが可能にする迅速なデプロイメントサイクルによって、チームがAPIセキュリティレビューを省略せざるを得ない状況に追い込まれることが多く、これらの重要な統合ポイントがセキュリティチェーンにおける脆弱なリンクとなっています。

クラウド環境内での権限昇格

PaaS環境は、攻撃者が一度クラウドリソースへの初期アクセスを取得すると、権限を昇格させるための複数の経路を提供します。セキュリティ研究者は、AWSだけでも、直接的な自己昇格から複雑な継承パターンに至るまで、21種類の異なるIAM権限昇格手法を特定しています。

攻撃者は、iam:AttachUserPolicyなどの権限を悪用して自身に管理者アクセス権を付与したり、ロールの割り当てを操作して意図しない権限を継承したりすることができます。PaaS環境におけるロール、ポリシー、および信頼関係の複雑なネットワークは、セキュリティチームが見落としがちな、意図しない権限継承の機会を生み出します。

PaaS接続サービスを介したラテラルムーブメント

一度PaaS環境内に侵入すると、攻撃者はプラットフォームの相互接続されたサービスを悪用して、より広範なインフラストラクチャ全体を横方向に移動（ラテラルムーブメント）することができます。現在、侵害に成功した事例の70%以上がラテラルムーブメントの手法を悪用しており、攻撃者は正当な認証情報や組み込みツールを使用して、相互接続されたシステム間を移動しています。

PaaSプラットフォームがサービス統合を重視していることは、一つのコンポーネントが侵害されると、データベース、メッセージング システム、およびその他の接続されたリソースに迅速に広がる可能性があることを意味します。責任共有モデルは、セキュリティチームがサービス同士の通信や認証方法に関する可視性を失うブラインドスポットを生み出す可能性があります。

内部リスク

DevOpsプラクティスは、不適切な認証情報管理や安全でない開発プラクティスを通じて、セキュリティ エクスポージャーの重大な原因となっています。最近の調査では、インターネット上の.envファイルで60万件以上のシークレットが公開されていることが判明しました。これには、完全なアカウント乗っ取りにつながる可能性のあるクラウド サービス プロバイダーのアクセスキーも含まれています。

DevOpsプラットフォームに関する包括的な調査では、GitHub、GitLab、Atlassian、およびAzure DevOps環境において502件のセキュリティ インシデントが明らかになり、結果として955時間に及ぶ重大な混乱を招きました。環境変数や設定ファイルの利便性により、開発者が不注意に機密性の高い認証情報を露呈させてしまい、研究者が「DevOpsプラクティスの奥深くに根ざした時限爆弾」と表現する状況を作り出しています。

PaaSデプロイメントを保護するには、技術的なコントロールと人間中心のセキュリティ プラクティスを組み合わせ、これらのプラットフォームがもたらす独自のリスクに対処するバランスの取れたアプローチが必要です。

• 最小権限とゼロトラスト アクセスの徹底：ユーザーやアプリケーションに対して、機能を実行するために必要な最小限の権限のみを付与する、きめ細かなIDと アクセス管理ポリシーを適用します。ゼロトラストの原則は、PaaS環境内のサービス間通信にも適用されるべきであり、ネットワーク上の場所に関係なく、すべての接続に対して認証と認可を要求する必要があります。
• セキュア コーディング プラクティス とCI/CD パイプライン セキュリティ の活用：コードが本番環境に到達する前に脆弱性を特定できるよう、開発パイプラインに セキュリティ スキャニング ツール を直接統合します。安全なCI/CDプラクティスには、コードコミットへの署名、既知の脆弱性に関する コンテナイメージ のスキャン、機密性の高い変更に対してセキュリティレビューを義務付ける承認ワークフローの実装などが含まれます。
• ロギング、監視、クラウドネイティブ検出の有効化：すべてのPaaSサービスとアプリケーションに包括的なロギングを導入し、ユーザーアクティビティ、データ アクセス パターン、およびシステムの動作に対する可視性を維持します。クラウドネイティブのセキュリティ ツール は、従来の境界型監視では見逃される可能性のある、異常なAPI呼び出しや権限昇格の試行などの異常なアクティビティを検出できます。
• API使用状況の監査と制限：APIのアクセス パターンを定期的にレビューし、悪用を防ぐために厳格な認証、レート制限、および入力検証コントロールを実装します。APIゲートウェイは、接続されたアプリケーション間のデータフローを集中監視しながら、すべてのサービス統合において一貫したセキュリティポリシーを適用する必要があります。
• コンテナ および シークレット 管理 ツールの使用：認証情報を環境変数や設定ファイルに保存するのではなく、自動的に暗号化およびローテーションする専用のシークレット管理ソリューションを導入します。コンテナ セキュリティ ツール は、イメージの脆弱性スキャン、ランタイムポリシーの適用、および本番環境における不審なコンテナの動作監視を行う必要があります。
• クラウドサービスの安全な利用に関する開発者トレーニング：クラウド固有のセキュリティリスク、安全な設定プラクティス、およびPaaS環境の責任共有モデルを網羅したセキュリティ トレーニングを定期的に提供します。セキュリティ意識向上プログラムには、一般的な設定ミスがどのように実際の侵害につながるかを示すハンズオン演習を含め、開発プロセス中に開発者が潜在的なセキュリティ問題を認識できるように教育する必要があります。

さらに詳しく知りたい方は、現場で実証済みのSaaSデータを強固に保護する手順をまとめた「SaaSデータの侵害を回避するためのベストプラクティス」をご覧ください。

強固なセキュリティ体制を維持しながらPaaSを採用する組織は、イノベーション サイクルの高速化と運用オーバーヘッドの削減を通じて、競争上の優位性を獲得できるでしょう。しかし、「セキュア バイ デフォルト」という約束は、ほとんどのPaaS製品において、いまだ十分には果たされていません。スピードとシンプルさが設計上の優先事項となっていますが、セキュリティには依然として意図的な設定、継続的な監視、およびプロアクティブなリスク管理が必要です。責任共有モデルにおいては、プロバイダーがインフラストラクチャのセキュリティを処理する一方で、顧客はID管理、セキュア コーディング プラクティス、および適切なサービス設定に責任を持つ必要があります。

開発者の意識とセキュリティの可視性は、効果的なPaaSセキュリティ プログラムの基盤となります。チームは、プラットフォームが何を保護し、何が自分たちの責任として残っているのかについて、明確な可視性を必要としています。教育、自動化されたコントロール、および継続的な監視に重点を置いたセキュリティ プログラムは、組織を不必要なリスクにさらすことなく、PaaSの機能を正常に活用することができます。このバランスを極めた組織は、イノベーションのスピードとセキュリティ レジリエンスの両面で、業界をリードすることになるでしょう。

プルーフポイントの包括的なクラウド セキュリティ ソリューションは、スピードやイノベーションを犠牲にすることなく、セキュリティチームがPaaS環境を安全に導入するために必要な可視性とコントロールを提供します。当社の高度な脅威検出およびデータ保護機能は、組織が侵害に至る前にリスクを特定しながら、ハイブリッド クラウド インフラストラクチャ全体に一貫したセキュリティポリシーを適用できるよう支援します。統合されたメールセキュリティ、クラウド アクセス セキュリティ ブローカー、および人中心のセキュリティ トレーニングを通じて、プルーフポイントはセキュリティチームが最新のクラウド プラットフォームへと拡張する際に、最も重要な資産である「人」と「データ」を保護することを可能にします。詳細については、プルーフポイントまでお問い合わせください。