Cloud Application Security Assessment(CASA)

概要

複雑なシステムはクラウドとクラウドの統合によって接続されるため、消費者のデータとプライバシーを保護する標準的な方法を確保することが重要です。この 10 年間で、クラウド インフラストラクチャのセキュリティは大幅に向上しました。しかし、アプリケーション レイヤには重大なセキュリティ上の課題が残っています。

CASA は、OWASP の Application Security Verification Standard(ASVS)を基にした業界基準に基づいて、クラウド アプリケーションに実装する必要があるセキュリティ管理のベースライン セットを提供しています。さらに、CASA は、アプリケーションが Google ユーザーデータにアクセスするためにそのような評価が必要な場合に、このような制御の評価を一貫した方法で実施します。CASA では、ユーザー、スコープ、その他のアプリケーション固有の項目に基づいてリスクの変化に対応するために、マルチレベルの評価方法を追加しました。Google では第三者評価を強くおすすめしていますが、すべての企業が自己診断プログラムを通じてセキュリティの改善を開始するための手段を提供しています。 このプログラムの利用資格がある場合、Google が直接連絡して次のステップを開始します。

利点

Google は、業界がユーザーの利用するアプリのデータ セキュリティとプライバシーに関して、ユーザーが期待する透明性とコントロールを提供したいと考えています。 クラウド アプリケーションとバックエンド サービスのセキュリティ評価を実施することで、一般的な脆弱性を大幅に削減しながら、最終的なプロダクトやサービスに対する消費者の信頼度を高めることができます。

仕組み

CASA フレームワークは、OWASP Application Security Verification Standard(ASVS)を使用して、ウェブ アプリケーションの技術的セキュリティ管理の基礎を提供します。

CASA フレームワーク
図 1: CASA フレームワーク

CASA フレームワークには、Application Security Verification Standard 4.0 の 14 のカテゴリにわたってウェブアプリを評価するテスト ガイドラインが用意されています

セキュリティ評価の階層:

CASA は、クラウド アプリケーションに対する 3 段階の評価を認識しています。

  • Tier 3 の評価を受けるには、自己評価の質問票に回答する必要があります。この質問は、CASA 認定ラボによって審査されます。これは、デベロッパーが提供した情報に関するペーパーレビューです。
  • Tier 2 の評価では、デベロッパーが自己評価の質問票に回答する必要があります。この質問票は、CASA 認定ラボによって審査されます。これは、構成チェックの追加による、デベロッパーが提供する情報の確認です。
  • Tier 1 の評価には、Tier 2 の手順に加え、CASA 認定ラボによる完全なセキュリティ評価が含まれます。
CASA フレームワーク
図 1: CASA フレームワーク

評価は、OWASP ASVS 4.0 セキュリティ標準の CASA ベースライン要件を満たしている必要があります。この評価は、外部からアクセス可能なインターフェースの期間限定のブラックボックス監査を目的としており、クラウド インフラストラクチャや内部サーバー通信は含まれていません。開発プロセス全体を通じてセキュリティ評価を実施することをおすすめします。ただし、CASA では、セキュリティ評価レポートの更新を年に 1 回行うだけで済みます。

デベロッパーは、レベル 1 とレベル 2 の ASVS 仕様のすべてのコントロールを確認して実装することをおすすめしますが、ADA に必要なのは完全な ASVS 要件のサブセットのみです。

ラボの認定パートナー:

CASA 評価を開始するには、ラボのパートナーに連絡してセキュリティ評価アンケートに回答してください。