概要
複雑なシステムはクラウドを介してクラウドに統合されるため、ユーザーのデータとプライバシーを保護する標準的な方法を確立することが重要です。この 10 年間で、クラウド インフラストラクチャのセキュリティは大幅に改善されました。しかし、アプリケーション レイヤには重大なセキュリティ上の課題が残っています。
CASA は、OWASP の Application Security Verification Standard(ASVS)による業界で認識された標準を基に、クラウド アプリケーションに実装する必要があるセキュリティ管理のベースライン セットを提供します。さらに、CASA は、アプリケーションが Google ユーザーデータにアクセスするためにかかる評価が必要な場合に、これらのコントロールの評価を統一された方法で実行します。CASA は、ユーザー、スコープ、およびその他のアプリケーション固有の項目に基づいてリスクの潜在的な変化に対処するためのマルチレベルの評価方法を追加しました。第三者による評価を強くおすすめしますが、Google では、すべての企業が自己評価プログラムを通じてセキュリティの向上を開始するための手段を提供しています。このプログラムの対象となる場合、Google は直接連絡して次のステップを開始します。
メリット
Google は、ユーザーが使用するアプリのデータ セキュリティとプライバシーに関して、ユーザーが期待する透明性と制御をユーザーに提供できるようにしたいと考えています。クラウド アプリケーションとバックエンド サービスのセキュリティ評価を実施することで、一般的な脆弱性を大幅に低減し、最終的なプロダクトやサービスに対する信頼度を高めることができます。
仕組み
CASA フレームワークは、OWASP Application Security Verification Standard(ASVS)に基づいて、ウェブ アプリケーションの技術的なセキュリティ管理をテストするための基礎を提供します。
CASA フレームワークは、アプリケーション セキュリティ検証標準 4.0 の 14 のカテゴリにわたってウェブアプリを評価するためのテスト ガイドラインを提供しています。
セキュリティ評価のティア:
CASA は、クラウド アプリケーションの 3 つの評価階層を認識しています。
評価は、OWASP ASVS 4.0 セキュリティ標準の CASA ベースライン要件を満たしている必要があります。評価は、外部からアクセス可能なインターフェースの機能を期間限定で監査することを目的としています。クラウド インフラストラクチャや内部サーバー通信は含まれません。開発プロセス全体を通してセキュリティ評価を行うことをおすすめします。ただし、CASA に必要なのは、セキュリティ評価レポートの年次更新のみです。
開発者は、レベル 1 とレベル 2 の ASVS 仕様のすべてのコントロールを確認して実装することをおすすめします。ただし、必要な ASVS 要件は一部のみです。
ラボの認定パートナー:|
評価機関 |
|---|
| GDS Ltd-An Aon Group |
| Bishop Fox |
| KPMG |
| Leviathan Security |
| NCC グループ |
| NST サイバー |
| Orange Cyberdefense South Africa(Pty)Ltd |
| Prescient Security LLC |
| TAC のセキュリティ |
| DEKRA |