クラウドセキュリティ
サーバーレスセキュリティ
別称: FaaS セキュリティ, Lambda セキュリティ
定義
AWS Lambda、Azure Functions、Google Cloud Functions のように、基盤サーバーを事業者が管理するイベント駆動・関数ベースのワークロードを守る実践。
サーバーレスではパッチ適用やホストのセキュリティが事業者側に移る一方で、新たなリスクが生まれます。多数の小さな関数、短命な実行、増え続けるイベントソース(S3、SQS、EventBridge、API Gateway)、関数と密結合した IAM 権限などです。重要な統制は、関数ごとの最小権限実行ロール、SBOM 付きで署名されたデプロイパッケージ、依存関係スキャン(SCA)、信頼できないイベントペイロードの検証、暗号化された環境変数、悪用を抑える短いタイムアウトと並列数上限、そしてプラットフォームの RASP や eBPF テレメトリです。OWASP Serverless Top 10 や Cloud Security Alliance のガイドが、イベントインジェクション、過剰権限関数、安全でないデプロイ構成などの代表的問題を示しています。
例
- CloudFormation のタイプミスで、ある AWS Lambda の IAM ロールに全バケットに対する s3:* が付与されてしまう。
- Datadog や Snyk が Lambda の依存関係をスキャンし、脆弱な npm パッケージを検出する。
関連用語
Function as a Service (FaaS)
Function as a Service (FaaS) — definition coming soon.
クラウドセキュリティ
パブリック・プライベート・ハイブリッドクラウド環境に置かれたデータ・アプリケーション・インフラを保護するための、ポリシー・統制・技術の総体。
CWPP(クラウドワークロード保護プラットフォーム)
仮想マシン・コンテナ・サーバーレス関数といったクラウドワークロードを、ビルドからランタイムまで全ライフサイクルで保護するプラットフォーム。
CNAPP(クラウドネイティブアプリケーション保護プラットフォーム)
CSPM・CWPP・CIEM・IaC スキャン・ランタイム検知を統合し、クラウドネイティブアプリをビルドから実行時まで包括的に保護する統合プラットフォーム。
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。
API Security
API Security — definition coming soon.