TOPアプリ/OS > ローコード/ノーコード開発のセキュリティー、4つの懸念(前)...

アプリ/OS

ローコード/ノーコード開発のセキュリティー、4つの懸念(前)

2022/03/08

Chris Hughes CSO

2. コードがセキュアとは限らない

 処理の中身が見えないという懸念に付随する問題として、セキュアでないコードが混じっていることへの危惧がある。あらかじめ用意された構成要素を組み合わせるだけで目的の機能を実現でき、ユーザーが自らコーディングしなくてよいのは、開発者ではない人にとっては素晴らしい話だ。しかし、ユーザーがコーディングに関与しないとしても、アプリケーションの中では実際のコードが動いている。仮に開発プラットフォームのコードのセキュリティーに不備があった場合、さまざまな企業やアプリケーションに影響が及ぶ可能性があり、大きな問題となる。

 こうした懸念に対処する方法の1つとしては、プラットフォームのベンダーに話を持ちかけて、プラットフォーム内で使われているコードのセキュリティースキャンの結果を開示するよう求める手がある。静的/動的アプリケーションセキュリティーテスト(SAST/DAST)の結果があれば、セキュリティーに難があるアプリケーションではないという一定の安心材料が得られる。自社の管轄下にない開発元のコードを利用するという考え方は新しいものではない。今や98%以上の企業や組織で使われているオープンソースソフトウエアもその1つだ。そのほかには、例えばIaC(Infrastructure as Code)のテンプレートのリポジトリなど、外部のリポジトリに関連するソフトウエアサプライチェーン攻撃の脅威もある。

 ローコード/ノーコード開発プラットフォームにはSaaS型のものが多いという点も考慮しなくてはならない。こちらに関しては、運営元のベンダーに対し、ISO、SOC2、FedRAMPなど、業界標準の認証による裏付けを求める手がある。こうした認証があれば、運営元がオペレーションやセキュリティー統制を適切に行っていることを確認できる。

 SaaS型のアプリケーションは、それ自体がさまざまなセキュリティーリスクをもたらす可能性があり、ガバナンスとセキュリティーに関する厳格さが求められる。自社で利用するSaaSアプリケーションやプラットフォームをきちんと精査しなければ、会社に過度のリスクをもたらすことになりかねない。ローコード/ノーコード開発のアプリケーションで扱うデータに、機密性の高い企業データや顧客データが含まれている場合には、さらに深刻な事態となる。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ