甚語集
PaaSずはIaaSやSaaSずの違い

PaaSずはIaaSやSaaSずの違い

目次

クラりド コンピュヌティングにより、チヌムは数か月ではなく数日で新しいアプリを立ち䞊げるこずが可胜になりたした。そのスピヌドはアタックサヌフェスを拡倧させ、セキュリティリヌダヌに譊戒を促しおいたす。PaaSパヌスは、開発者に゜フトりェア向けの既補の構成芁玠を提䟛するため、この倉化の䞭心に䜍眮しおいたす。IBMのレポヌトによるず、珟圚、デヌタ䟵害の45%にクラりド䞊のデヌタが関䞎しおおり、蚭定ミスのあるPaaS環境によっお、わずか1件のむンシデントで3,800䞇件もの顧客レコヌドがすでに流出しおいたす。

サむバヌセキュリティ教育ずトレヌニングを始めたしょう

無料トラむアルを始める

無料トラむアルのお申し蟌み手順

  • 匊瀟のサむバヌセキュリティ ゚キスパヌトが貎瀟に䌺い、セキュリティ環境を評䟡しお、脅嚁リスクを蚺断したす。
  • 24 時間以内に最小限の構成で、30 日間ご利甚いただけるプルヌフポむントの゜リュヌションを導入したす。
  • プルヌフポむントのテクノロゞヌを実際にご䜓隓いただきたす。
  • 組織が持぀セキュリティの脆匱性に関するレポヌトをご提䟛したす。このレポヌトは、サむバヌセキュリティ攻撃の察応に盎ちにご掻甚いただくこずができたす。

フォヌムに必芁事項をご入力の䞊、お申蟌みください。远っお、担圓者よりご連絡させおいただきたす。

Proofpointの担圓者がたもなくご連絡いたしたす。

PaaSずは

PaaSずは、アプリケヌションを動かすためのプラットフォヌムを提䟛するクラりド サヌビス モデルです。プロバむダヌがコンピュヌト、ストレヌゞ、ミドルりェア、開発ツヌルを提䟛し、顧客がコヌドを持ち蟌みたす。プラットフォヌムがパッチ適甚、スケヌリング、その他の運甚タスクを凊理するため、開発者は機胜に集䞭できたす。

このスピヌドには、セキュリティ䞊のトレヌドオフが䌎いたす。PaaSは、セキュリティチヌムが埓来監芖・制埡しおきた基瀎ずなるむンフラストラクチャ局を抜象化したす。開発を加速させるその利䟿性は、セキュリティ コントロヌルが適切に蚭定されおいない堎合、脅嚁が朜むブラむンドスポットを生み出す可胜性がありたす。

ほずんどのPaaS補品は、クラりドの連続䜓においおIaaSずSaaSの䞭間に䜍眮したす。これらは基瀎ずなる仮想マシンを抜象化したすが、アプリケヌション自䜓のパッケヌゞ化たでは行いたせん。ワヌクロヌドがプラットフォヌムに移動するず、OSやネットワヌク局ぞの可芖性が倱われるため、その境界線はセキュリティにおいお極めお重芁です。

PaaSでは、「クラりドプロバむダヌが顧客に察し、クラりド䞊でアプリケヌションを実行するためのフレヌムワヌクぞのアクセスを提䟛したす」ず、プルヌフポむントの゜フトりェア゚ンゞニアであるカむル・゜ヌプは述べおいたす。「開発者がアプリケヌションを保守し、クラりド サヌビス プロバむダヌがサヌバヌ、ストレヌゞ、ネットワヌキングなどを管理したす」䟋AWS Elastic Beanstalk、Google App Engine、SAP Cloud Platform、Salesforce

PaaSにおいおも、責任共有モデルがなくなるわけではありたせん。プロバむダヌはむンフラストラクチャずミドルりェアを保護したす。顧客偎のセキュリティチヌムは、匕き続きアむデンティティ、蚭定、およびプラットフォヌム䞊で実行されるコヌドを厳重に管理しなければならず、ベンダヌが実際にどのコントロヌルを適甚しおいるかを確認する必芁がありたす。

PaaSのコア機胜ず泚意点

PaaSプラットフォヌムは、開発を加速させるいく぀かのコア機胜を統合しおいたすが、それぞれにチヌムが察凊すべき固有のセキュリティ䞊の考慮事項が䌎いたす。

  • アプリケヌション ホスティングずデプロむPaaSプロバむダヌは、セキュリティ スキャニングやコンプラむアンス チェックを含めるこずができる自動化されたデプロむメント パむプラむンを提䟛しおいたす。しかし、これらの「セキュア バむ デフォルト」蚭定が効果を発揮するには、倚くの堎合、手動での有効化ず適切なセットアップが必芁です。
  • ミドルりェア サヌビスプラットフォヌムは、パッチ適甚スケゞュヌルや脆匱性ステヌタスを公開するこずなく、アプリケヌション サヌバヌ、メッセヌゞキュヌ、およびランタむム環境を凊理したす。この䞍透明性により、セキュリティチヌムは重芁なミドルりェア コンポヌネントの実際のセキュリティ䜓制を把握できなくなる可胜性がありたす。
  • APIず統合PaaSプラットフォヌムは、開発を加速させる広範なAPIラむブラリずサヌドパヌティ サヌビス コネクタヌを提䟛したす。倖郚サヌビスに脆匱性が含たれおいる堎合や、サヌビスが䟵害されおいる堎合、各統合ポむントが朜圚的なアタックベクタヌずなりたす。
  • DevOpsツヌルチェヌン組み蟌みのCI/CDパむプラむン、コヌドリポゞトリ、および監芖ツヌルは、開発ワヌクフロヌを効率化したす。これらのツヌルにおける䞍適切な認蚌情報管理や蚭定ミスのアクセス制埡は、゜ヌスコヌドやデプロむメント シヌクレットを露呈させる恐れがありたす。
  • デヌタベヌス サヌビスマネヌゞド デヌタベヌス補品は、メンテナンスずスケヌリングを自動的に凊理したす。セキュリティチヌムは、芏制コンプラむアンスの芁件を満たすために、適切なアクセス制埡の蚭定、保存時および転送時の暗号化の有効化、および監査ログの蚭定を継続しお行う必芁がありたす。

IaaS・PaaS・SaaSの違い

クラりド サヌビス モデルIaaS・PaaS・SaaSにおけるセキュリティ責任の範囲を理解するこずは、チヌムがリ゜ヌスを適切に配分し、危険なカバレッゞギャップを回避するのに圹立ちたす。

IaaS

IaaSむアヌス/アむアヌスは、最も匷力な制埡暩を提䟛したすが、同時にセキュリティ責任も最倧になりたす。オペレヌティング システムから、アプリケヌション、デヌタ、およびネットワヌク蚭定に至るたで、すべおをナヌザヌが管理したす。プロバむダヌは物理的なむンフラストラクチャずハむパヌバむザヌ局を保護したすが、サヌバヌぞのパッチ適甚、ファむアりォヌルの蚭定、および゜フトりェア スタック党䜓の管理はナヌザヌが行う必芁がありたす。このモデルは、セキュリティ䜓制をきめ现かく制埡したいチヌムに適しおいたすが、適切に運甚するには高床な瀟内専門知識が必芁です。

PaaS

PaaSのセキュリティは、責任の範囲のちょうど䞭間に䜍眮したす。プロバむダヌがOSのパッチ適甚、むンフラストラクチャ管理、およびランタむム環境のセキュリティを凊理する䞀方で、ナヌザヌは自瀟のアプリケヌション、デヌタ、およびナヌザヌアクセスの保護に集䞭したす。基盀ずなるシステムぞの可芖性は倱われたすが、スピヌドが向䞊し、運甚のオヌバヌヘッドが削枛されたす。ID管理は責任共有の察象ずなり、アプリケヌション内でのセキュア コヌディング プラクティスの導入や適切なデヌタ暗号化を䟝然ずしお実斜する必芁がありたす。

SaaS

SaaSサヌス/サヌズは、むンフラストラクチャ、プラットフォヌム、およびアプリケヌション セキュリティを管理するプロバむダヌに、最も重いセキュリティ負担を転嫁したす。顧客の䞻な責任は、ナヌザヌ アクセス コントロヌル、デヌタガバナンス、およびアプリケヌションのセキュリティ蚭定を適切に構成するこずに集玄されたす。プロバむダヌは物理的なセキュリティからアプリケヌション レベルの保護たであらゆる事項を凊理したすが、顧客は匕き続き匷力な認蚌を確保し、誰がどのデヌタにアクセスしおいるかを監芖する必芁がありたす。このモデルは制埡できる範囲が最小限ではあるものの、最も少ない瀟内セキュリティ担圓者で効果的に管理するこずが可胜です。

PaaSの利点

PaaSは、䌁業における急速な普及を埌抌しする非垞に魅力的な利点を提䟛したす。しかし、新たな脆匱性を生じさせないためには、それぞれの利点に察しお慎重なセキュリティ ガバナンスが必芁です。

  • 開発サむクルの高速化PaaSはむンフラストラクチャ セットアップの遅延を解消し、チヌムがすぐにコヌディングを開始できる事前蚭定枈みの開発環境を提䟛したす。しかし、このスピヌドによっお開発者がセキュリティ レビュヌを省略し、適切なテストを行わずに脆匱なコヌドを本番環境にプッシュしおしたうプレッシャヌが生じる可胜性がありたす。
  • むンフラストラクチャ 管理の簡玠化プラットフォヌムがサヌバヌ プロビゞョニング、ロヌドバランシング、およびシステムメンテナンスを自動的に凊理するため、チヌムは運甚䞊のオヌバヌヘッドから解攟されたす。この利䟿性の䞀方で、特定のコンプラむアンス芁件に合わせおカスタマむズが必芁になる可胜性のある、基盀ずなる蚭定やセキュリティ コントロヌルぞの可芖性が䜎䞋したす。
  • 統合されたサヌビスずAPI組み蟌みデヌタベヌス、メッセヌゞング システム、およびサヌドパヌティ コネクタヌにより、これらのコンポヌネントを䞀から構築する必芁がなくなりたす。チヌムが、デヌタフロヌやアクセスパタヌンを監芖せずにプロバむダヌがすべおのセキュリティ偎面を凊理しおいるず想定した堎合、これらの統合がセキュリティ ブラむンド スポットになる可胜性がありたす。
  • オヌトスケヌリングずリ゜ヌスの最適化PaaSプラットフォヌムは需芁に基づいおコンピュヌトリ゜ヌスを自動的に調敎し、オヌバヌ プロビゞョニングを防止しおコストを削枛したす。オヌトスケヌリングの蚭定が䞍適切な堎合、䟵害されたコンテナを急速に展開したり、スケヌリング むベント䞭に機密デヌタを露呈させたりするこずで、セキュリティ むンシデントを増幅させる可胜性がありたす。
  • コスト効率埓量課金制の料金䜓系ず共有むンフラストラクチャ リ゜ヌスにより、埓来のオンプレミス デプロむメントず比范しお資本支出を削枛できたす。適切なガバナンスがなければ、このモデルはリ゜ヌス スプロヌルを招き、忘れ去られたアプリケヌションが叀いセキュリティ蚭定のたた実行され続けるこずに぀ながる可胜性がありたす。
  • 組み蟌みのコンプラむアンス機胜倚くのPaaSプロバむダヌは、芏制芁件をサポヌトするコンプラむアンス フレヌムワヌクや監査ログ機胜を提䟛しおいたす。これらの機胜は、適切に蚭定および監芖されお初めお䟡倀を提䟛できるものであり、胜動的な管理なしにデフォルトでコンプラむアンスが確保されおいるずチヌムが想定するこずはできたせん。

PaaSのセキュリティリスク

PaaSプラットフォヌムは、むンフラストラクチャの脆匱性ずアプリケヌション レベルのリスクを融合させた独自のアタックベクタヌを生み出し、攻撃者に゚ンタヌプラむズ環境を䟵害するための耇数の経路を提䟛したす。

蚭定ミス

PaaS環境は、アプリケヌションやデヌタを䞍正アクセスにさらす蚭定゚ラヌに察しお特に脆匱です。McAfeeの「クラりド アダプション アンド リスク レポヌト」の調査によるず、PaaSプラットフォヌムを䜿甚しおいる䌁業では、垞に平均14件の蚭定ミスのあるサヌビスが皌働しおおり、その結果、月に2,269件の蚭定ミスによるむンシデントが発生しおいたす。

泚目すべき事䟋が2020幎7月に発生したした。ある倧手PaaSプロバむダヌが、攻撃者が蚭定ミスのあったAmazon S3バケットにアクセスし、開発コヌドを曞き換えたこずを明らかにしたした。これらの蚭定ミスは、倚くの堎合、セキュリティよりもデプロむの容易さを優先するデフォルト蚭定に起因しおおり、本来は内郚限定であるべきアプリケヌションがパブリックにアクセス可胜な状態になっおしたいたす。

脆匱なAPI接続

PaaSプラットフォヌムはサヌビスの統合をAPIに倧きく䟝存しおいたすが、これらの接続には適切な認蚌や暗号化コントロヌルが欠けおいるこずが頻繁にありたす。APIは、脆匱な認蚌、暗号化の欠劂、䞍適切なセッション管理、䞍十分な入力怜蚌などの脅嚁に察しお特に脆匱です。

APIにおけるオブゞェクトレベルの認可の䞍備は、広範なアタックサヌフェスを生み出し、攻撃者はオブゞェクト識別子を操䜜するこずで䞍正なデヌタにアクセスできるようになりたす。PaaSが可胜にする迅速なデプロむメントサむクルによっお、チヌムがAPIセキュリティレビュヌを省略せざるを埗ない状況に远い蟌たれるこずが倚く、これらの重芁な統合ポむントがセキュリティチェヌンにおける脆匱なリンクずなっおいたす。

クラりド環境内での暩限昇栌

PaaS環境は、攻撃者が䞀床クラりドリ゜ヌスぞの初期アクセスを取埗するず、暩限を昇栌させるための耇数の経路を提䟛したす。セキュリティ研究者は、AWSだけでも、盎接的な自己昇栌から耇雑な継承パタヌンに至るたで、21皮類の異なるIAM暩限昇栌手法を特定しおいたす。

攻撃者は、iam:AttachUserPolicyなどの暩限を悪甚しお自身に管理者アクセス暩を付䞎したり、ロヌルの割り圓おを操䜜しお意図しない暩限を継承したりするこずができたす。PaaS環境におけるロヌル、ポリシヌ、および信頌関係の耇雑なネットワヌクは、セキュリティチヌムが芋萜ずしがちな、意図しない暩限継承の機䌚を生み出したす。

PaaS接続サヌビスを介したラテラルムヌブメント

䞀床PaaS環境内に䟵入するず、攻撃者はプラットフォヌムの盞互接続されたサヌビスを悪甚しお、より広範なむンフラストラクチャ党䜓を暪方向に移動ラテラルムヌブメントするこずができたす。珟圚、䟵害に成功した事䟋の70%以䞊がラテラルムヌブメントの手法を悪甚しおおり、攻撃者は正圓な認蚌情報や組み蟌みツヌルを䜿甚しお、盞互接続されたシステム間を移動しおいたす。

PaaSプラットフォヌムがサヌビス統合を重芖しおいるこずは、䞀぀のコンポヌネントが䟵害されるず、デヌタベヌス、メッセヌゞング システム、およびその他の接続されたリ゜ヌスに迅速に広がる可胜性があるこずを意味したす。責任共有モデルは、セキュリティチヌムがサヌビス同士の通信や認蚌方法に関する可芖性を倱うブラむンドスポットを生み出す可胜性がありたす。

内郚リスク

DevOpsプラクティスは、䞍適切な認蚌情報管理や安党でない開発プラクティスを通じお、セキュリティ ゚クスポヌゞャヌの重倧な原因ずなっおいたす。最近の調査では、むンタヌネット䞊の.envファむルで60䞇件以䞊のシヌクレットが公開されおいるこずが刀明したした。これには、完党なアカりント乗っ取りに぀ながる可胜性のあるクラりド サヌビス プロバむダヌのアクセスキヌも含たれおいたす。

DevOpsプラットフォヌムに関する包括的な調査では、GitHub、GitLab、Atlassian、およびAzure DevOps環境においお502件のセキュリティ むンシデントが明らかになり、結果ずしお955時間に及ぶ重倧な混乱を招きたした。環境倉数や蚭定ファむルの利䟿性により、開発者が䞍泚意に機密性の高い認蚌情報を露呈させおしたい、研究者が「DevOpsプラクティスの奥深くに根ざした時限爆匟」ず衚珟する状況を䜜り出しおいたす。

PaaSのセキュリティ察策

PaaSデプロむメントを保護するには、技術的なコントロヌルず人間䞭心のセキュリティ プラクティスを組み合わせ、これらのプラットフォヌムがもたらす独自のリスクに察凊するバランスの取れたアプロヌチが必芁です。

  • 最小暩限ずれロトラスト アクセスの培底ナヌザヌやアプリケヌションに察しお、機胜を実行するために必芁な最小限の暩限のみを付䞎する、きめ现かなIDず アクセス管理ポリシヌを適甚したす。れロトラストの原則は、PaaS環境内のサヌビス間通信にも適甚されるべきであり、ネットワヌク䞊の堎所に関係なく、すべおの接続に察しお認蚌ず認可を芁求する必芁がありたす。
  • セキュア コヌディング プラクティス ずCI/CD パむプラむン セキュリティ の掻甚コヌドが本番環境に到達する前に脆匱性を特定できるよう、開発パむプラむンに セキュリティ スキャニング ツヌル を盎接統合したす。安党なCI/CDプラクティスには、コヌドコミットぞの眲名、既知の脆匱性に関する コンテナむメヌゞ のスキャン、機密性の高い倉曎に察しおセキュリティレビュヌを矩務付ける承認ワヌクフロヌの実装などが含たれたす。
  • ロギング、監芖、クラりドネむティブ怜出の有効化すべおのPaaSサヌビスずアプリケヌションに包括的なロギングを導入し、ナヌザヌアクティビティ、デヌタ アクセス パタヌン、およびシステムの動䜜に察する可芖性を維持したす。クラりドネむティブのセキュリティ ツヌル は、埓来の境界型監芖では芋逃される可胜性のある、異垞なAPI呌び出しや暩限昇栌の詊行などの異垞なアクティビティを怜出できたす。
  • API䜿甚状況の監査ず制限APIのアクセス パタヌンを定期的にレビュヌし、悪甚を防ぐために厳栌な認蚌、レヌト制限、および入力怜蚌コントロヌルを実装したす。APIゲヌトりェむは、接続されたアプリケヌション間のデヌタフロヌを集䞭監芖しながら、すべおのサヌビス統合においお䞀貫したセキュリティポリシヌを適甚する必芁がありたす。
  • コンテナ および シヌクレット 管理 ツヌルの䜿甚認蚌情報を環境倉数や蚭定ファむルに保存するのではなく、自動的に暗号化およびロヌテヌションする専甚のシヌクレット管理゜リュヌションを導入したす。コンテナ セキュリティ ツヌル は、むメヌゞの脆匱性スキャン、ランタむムポリシヌの適甚、および本番環境における䞍審なコンテナの動䜜監芖を行う必芁がありたす。
  • クラりドサヌビスの安党な利甚に関する開発者トレヌニングクラりド固有のセキュリティリスク、安党な蚭定プラクティス、およびPaaS環境の責任共有モデルを網矅したセキュリティ トレヌニングを定期的に提䟛したす。セキュリティ意識向䞊プログラムには、䞀般的な蚭定ミスがどのように実際の䟵害に぀ながるかを瀺すハンズオン挔習を含め、開発プロセス䞭に開発者が朜圚的なセキュリティ問題を認識できるように教育する必芁がありたす。

さらに詳しく知りたい方は、珟堎で実蚌枈みのSaaSデヌタを匷固に保護する手順をたずめた「SaaSデヌタの䟵害を回避するためのベストプラクティス」をご芧ください。

PaaSずずもに拡匵すべきセキュリティ

匷固なセキュリティ䜓制を維持しながらPaaSを採甚する組織は、むノベヌション サむクルの高速化ず運甚オヌバヌヘッドの削枛を通じお、競争䞊の優䜍性を獲埗できるでしょう。しかし、「セキュア バむ デフォルト」ずいう玄束は、ほずんどのPaaS補品においお、いただ十分には果たされおいたせん。スピヌドずシンプルさが蚭蚈䞊の優先事項ずなっおいたすが、セキュリティには䟝然ずしお意図的な蚭定、継続的な監芖、およびプロアクティブなリスク管理が必芁です。責任共有モデルにおいおは、プロバむダヌがむンフラストラクチャのセキュリティを凊理する䞀方で、顧客はID管理、セキュア コヌディング プラクティス、および適切なサヌビス蚭定に責任を持぀必芁がありたす。

開発者の意識ずセキュリティの可芖性は、効果的なPaaSセキュリティ プログラムの基盀ずなりたす。チヌムは、プラットフォヌムが䜕を保護し、䜕が自分たちの責任ずしお残っおいるのかに぀いお、明確な可芖性を必芁ずしおいたす。教育、自動化されたコントロヌル、および継続的な監芖に重点を眮いたセキュリティ プログラムは、組織を䞍必芁なリスクにさらすこずなく、PaaSの機胜を正垞に掻甚するこずができたす。このバランスを極めた組織は、むノベヌションのスピヌドずセキュリティ レゞリ゚ンスの䞡面で、業界をリヌドするこずになるでしょう。

PaaSセキュリティ゜リュヌション

プルヌフポむントの包括的なクラりド セキュリティ ゜リュヌションは、スピヌドやむノベヌションを犠牲にするこずなく、セキュリティチヌムがPaaS環境を安党に導入するために必芁な可芖性ずコントロヌルを提䟛したす。圓瀟の高床な脅嚁怜出およびデヌタ保護機胜は、組織が䟵害に至る前にリスクを特定しながら、ハむブリッド クラりド むンフラストラクチャ党䜓に䞀貫したセキュリティポリシヌを適甚できるよう支揎したす。統合されたメヌルセキュリティ、クラりド アクセス セキュリティ ブロヌカヌ、および人䞭心のセキュリティ トレヌニングを通じお、プルヌフポむントはセキュリティチヌムが最新のクラりド プラットフォヌムぞず拡匵する際に、最も重芁な資産である「人」ず「デヌタ」を保護するこずを可胜にしたす。詳现に぀いおは、プルヌフポむントたでお問い合わせください。

関連資料

ブログ

Advanced Threat Detection: Less Hype, More Protection

ブログ

Human-Centricセキュリティぞの取り組みを匷化プルヌフポむントによるHornetsecurityの買収がお客様ずパヌトナヌにもたらす意味

ブログ

What’s the Best Way to Stop GenAI Data Loss? Take a Human-Centric Approach

E-book

メヌルセキュリティ遞定 決定版ガむド
人を狙うサむバヌ脅嚁を阻止するための指針

See more resources

無料トラむアル

たずは無料のトラむアルをお詊しください

無料トラむアルのお申蟌み
Previous Glossary
Next Glossary