サーバーレスコードを保護するPureSecがベータを終了

イスラエルのスタートアップPureSecは、本日(米国時間7月19日)ベータを終了し、サーバーレスコンピューティングをよりセキュアに保つ手段の提供を始めた。

サーバーレスコンピューティングは、特定のイベントが発生したときに自動的にアクションをトリガーする。このためプログラミング作業がファンクションの記述へと簡素化される。クラウドベンダーがインフラを担当するので、そこで開発者たちは核となるコードを書くだけとなる。まるで技術者のためのシャングリラ(理想郷)のように聞こえるかもしれないが、現実的にはセキュリティ上の懸念が残されている。

ほんの数ミリ秒で終わってしまうプロセスは従来型の攻撃の対象にはならないと思うかも知れないが、実際はサーバーレスファンクションは人間によるチェックと調整が不要になるように設計されるため、もしファンクションの設定が不適切なら脆弱なものになってしまう、と同社の共同創業者Ory Segalは語る。

他の種類のクラウドセキュリティと同様に、サーバーレスコンピューティングにも共通のセキュリティモデルがある。ベンダーの立場からは、データセンターやシステムが安全であることはベンダー側が保証するが、アプリケーションレベルでは開発者側の責任となる。確かに、これまで私たちは、アプリーケーションの脆弱性が放置され、その結果データが漏洩した多くの事例を目撃してきた。

Segalによれば、1つのファンクションはアクションを実行するわずか数行のコードに過ぎないかもしれないが、そうしたアクションは通常1つ以上の外部サービスとのやりとりを伴っていると言う。その際に、ファンクションを操作して、意図されていなかった事、例えば悪意あるコードを挿入するといったことを行うチャンスが現れる。

PureSecのプロダクトは、サーバーレスコードの中を見て、コードの中に残存しているかもしれない脆弱性について指摘してくれる。もしお望みなら、そうした問題を修正することさえ可能だ。また、ダッシュボードからコードのセキュリティプロファイルを設定し、問題が発生した際に、それらを追跡するためのアクティビティのログを表示することもできる。

スクリーンショット: PureSec

 

Segalは、同社が創業した2016年は、AWSがLambdaサーバーレスプロダクトをローンチしてからわずか2年後のことだったと語る。当時、それは広く使われておらず理解されてもいなかった。今でもサーバレスコンピューティングは開発の初期段階にとどまっているが、成長させるためにはセキュリティのような下支えをするツール群の登場が必要なのだ。

PureSecはサーバーレスのセキュリティを提供するためにゼロから開発されており、それ自身もサーバーレスアーキテクチャ上に構築されている。Segalが指摘するように、従来のセキュリティプロダクトは、対象がサーバーにせよネットワークにせよ、何かを事前に展開しておくためのインフラを必要としている。だがサーバーレスアーキテクチャの下では、イベントがトリガーされるまでは、展開される基盤アーキテクチャは決まっていない。クラウドプロバイダーはプロセスを完了させるために必要な、計算力、メモリ、そしてストレージをイベントに応じて決定して行くのだ。

Crunchbaseによると、同社は今日までベータ版で、シード投資で300万ドルを調達している。テルアビブの拠点には11人の従業員がいる。

[原文へ]
(翻訳:sako)
画像: Doucefleur / Getty Images

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。