Cloud アプリケーション セキュリティ評価(CASA)

概要

複雑なシステムがクラウド間の統合を通じて接続されるため、消費者データとプライバシーを保護する標準的な方法を確立することが重要です。過去 10 年間で、クラウド インフラストラクチャのセキュリティは大幅に向上しました。ただし、アプリケーション レイヤには重大なセキュリティ上の課題が残っています。

CASA は、OWASP の Application Security Verification Standard(ASVS)に由来する業界で認知されている標準に基づいて、クラウド アプリケーションに実装すべきセキュリティ制御のベースライン セットを提供します。また、CASA は、アプリケーションが Google ユーザーデータにアクセスするためにこのような評価が必要な場合に、これらの制御の評価を統一的に行う方法を提供します。CASA は、ユーザー、スコープ、その他のアプリケーション固有の項目に基づくリスクの潜在的な変化に対応するため、多段階の評価方法を追加しました。第三者による評価を強く推奨しますが、すべての企業が自己評価プログラムを通じてセキュリティの改善を開始できる手段も提供しています。このプログラムの対象となる場合は、Google から直接ご連絡し、次のステップに進んでいただきます。

利点

Google は、業界全体で、ユーザーが使用するアプリのデータ セキュリティとプライバシーに関して、ユーザーが期待する透明性と管理性を実現したいと考えています。クラウド アプリケーションとバックエンド サービスのセキュリティ評価を実施することで、一般的な脆弱性を大幅に減らし、最終的な製品やサービスに対する消費者の信頼を高めることができます。

仕組み

CASA フレームワークは、OWASP Application Security Verification Standard(ASVS)に基づくウェブ アプリケーションの技術的セキュリティ管理のテストの基盤を提供します。

CASA フレームワーク
図 1: CASA フレームワーク

CASA フレームワークは、Application Security Verification Standard 4.0 の 14 のカテゴリにわたってウェブアプリを評価するためのテストガイドラインを提供します。

セキュリティ評価の階層:

CASA では、クラウド アプリケーションの評価に 3 つのティアが用意されています。

CASA 評価
図 2: CASA 評価階層

評価は、OWASP ASVS 4.0 セキュリティ標準の CASA ベースライン要件を満たしている必要があります。評価は、外部からアクセス可能なインターフェースの機能監査を期間限定で行うことを目的としており、クラウド インフラストラクチャや内部サーバー通信は含まれません。開発者は、開発プロセス全体を通してセキュリティ評価を実施することをおすすめします。ただし、CASA ではセキュリティ評価レポートの年次更新のみが義務付けられています。

デベロッパーは、レベル 1 とレベル 2 の ASVS 仕様のすべてのコントロールを確認して実装することが推奨されますが、ADA では ASVS の要件の一部のみが求められます。

認定ラボ パートナー:

評価機関

GDS Ltd-An Aon Group
Bishop Fox
KPMG
Leviathan Security
NCC Group
NST Cyber
Orange Cyberdefense South Africa (Pty) Ltd
Prescient Security LLC
TAC Security
DEKRA