概要
アプリケーション、プラットフォーム、システムのグローバルなエコシステムが進化し、クラウド間の複雑な統合によって接続されるにつれて、業界で定評のあるアプリケーションのセキュリティ基準が、消費者のデータとプライバシーを保護するうえで最も重要になります。
この 10 年間で、クラウド インフラストラクチャの保護には多大な投資と改良が加えられていますが、アプリケーション層には依然として大きな課題が残っています。特にリスクの高いのは、信頼性の高いデータ共有の統合による安全なクラウド インフラストラクチャでデータを交換する、セキュリティが強化されていないアプリケーションです。そこで、Cloud アプリケーション セキュリティ評価(CASA)が導入されました。
CASA は、OWASP's Application Security Verification Standard(ASVS)の業界で認められている基準に基づいて、あらゆるアプリケーションのセキュリティ強化のための一貫した要件を定めています。さらに、CASA は、機密データにアクセスする可能性のあるアプリケーションにこのような評価が必要な場合、これらの要件の信頼できる保証評価を均一に実行します。
ユーザーデータの保護に対するアプリケーション リスクの評価に関しては、「万能な方法」はありません。CASA 評価は、この状況を認識し、ユーザー、スコープ、およびその他のアプリケーション固有の項目に基づいてアプリケーション リスクを評価するリスクベースの多層評価アプローチを採用しています。
メリット
業界全体で、Google はユーザーが使用するアプリのデータ セキュリティとプライバシーに関して、ユーザーが期待する透明性と管理性を提供する責任を担っています。クラウド アプリケーションのセキュリティを評価し、インフラストラクチャをサポートすることで、一般的な脆弱性が大幅に低減されるとともに、最終的なプロダクトやサービスに対するお客様の信頼度も高まります。
CASA の主な使命は、クラウド間の統合の拡張性と包括性を高めると同時に、ユーザーデータのセキュリティを高めることです。この願望に基づき、CASA 評価のフレームワークは、
-
工業的な標準化
CASA は OWASP ASVS に 100% 基づいています。独自の要件はなく、セキュリティに関する専門用語も使用しません。 -
一貫性
すべての申請が CASA の要件と評価プロセスに平等に扱われるようにします。 -
透明性
すべての要件、評価、認定評価機関による評価 -
リスクベース
もはや 1 つのテストですべての状況に適合するわけではありません。セキュリティ審査のレベルとリスクレベルは、各リスクティアに基づいて決まります