イスラエルのスタートアップPureSecは、本日(米国時間7月19日)ベータを終了し、サーバーレスコンピューティングをよりセキュアに保つ手段の提供を始めた。
サーバーレスコンピューティングは、特定のイベントが発生したときに自動的にアクションをトリガーする。このためプログラミング作業がファンクションの記述へと簡素化される。クラウドベンダーがインフラを担当するので、そこで開発者たちは核となるコードを書くだけとなる。まるで技術者のためのシャングリラ(理想郷)のように聞こえるかもしれないが、現実的にはセキュリティ上の懸念が残されている。
ほんの数ミリ秒で終わってしまうプロセスは従来型の攻撃の対象にはならないと思うかも知れないが、実際はサーバーレスファンクションは人間によるチェックと調整が不要になるように設計されるため、もしファンクションの設定が不適切なら脆弱なものになってしまう、と同社の共同創業者Ory Segalは語る。
他の種類のクラウドセキュリティと同様に、サーバーレスコンピューティングにも共通のセキュリティモデルがある。ベンダーの立場からは、データセンターやシステムが安全であることはベンダー側が保証するが、アプリケーションレベルでは開発者側の責任となる。確かに、これまで私たちは、アプリーケーションの脆弱性が放置され、その結果データが漏洩した多くの事例を目撃してきた。
Segalによれば、1つのファンクションはアクションを実行するわずか数行のコードに過ぎないかもしれないが、そうしたアクションは通常1つ以上の外部サービスとのやりとりを伴っていると言う。その際に、ファンクションを操作して、意図されていなかった事、例えば悪意あるコードを挿入するといったことを行うチャンスが現れる。
PureSecのプロダクトは、サーバーレスコードの中を見て、コードの中に残存しているかもしれない脆弱性について指摘してくれる。もしお望みなら、そうした問題を修正することさえ可能だ。また、ダッシュボードからコードのセキュリティプロファイルを設定し、問題が発生した際に、それらを追跡するためのアクティビティのログを表示することもできる。
スクリーンショット: PureSec
Segalは、同社が創業した2016年は、AWSがLambdaサーバーレスプロダクトをローンチしてからわずか2年後のことだったと語る。当時、それは広く使われておらず理解されてもいなかった。今でもサーバレスコンピューティングは開発の初期段階にとどまっているが、成長させるためにはセキュリティのような下支えをするツール群の登場が必要なのだ。
PureSecはサーバーレスのセキュリティを提供するためにゼロから開発されており、それ自身もサーバーレスアーキテクチャ上に構築されている。Segalが指摘するように、従来のセキュリティプロダクトは、対象がサーバーにせよネットワークにせよ、何かを事前に展開しておくためのインフラを必要としている。だがサーバーレスアーキテクチャの下では、イベントがトリガーされるまでは、展開される基盤アーキテクチャは決まっていない。クラウドプロバイダーはプロセスを完了させるために必要な、計算力、メモリ、そしてストレージをイベントに応じて決定して行くのだ。
Crunchbaseによると、同社は今日までベータ版で、シード投資で300万ドルを調達している。テルアビブの拠点には11人の従業員がいる。
[原文へ]
(翻訳:sako)
画像: Doucefleur / Getty Images