出典: Frank Peters via Alamy Stock Photo
解説
現代の企業ソフトウェア開発は、サードパーティのコンポーネント、統合、フレームワークの広大で複雑なサプライチェーンにますます依存しています。 ノーコード開発プラットフォーム も例外ではなく、そのマーケットプレイスは、多数の外部コネクタ、API、オートメーションツールを集約しており、セキュリティの監視が限られていることが多いです。
これにより、拡大したサプライチェーンリスクが生じます。クラウドストレージや顧客関係管理サービスと統合するような脆弱な、または侵害されたサードパーティコネクタは、その上に構築されたアプリケーション全体を危険にさらす可能性があります。これらのリスクは、「シャドウエンジニアリング」の台頭によって増幅されます。市民開発者が事前に構築されたコンポーネントを使用してカスタムアプリケーションを作成し、中央の監視がない場合です。安全でないコネクタから既知の脆弱性を持つ放棄されたライブラリまで、ノーコード開発はセキュリティの姿勢を弱体化させる不透明で管理されていない依存関係を導入する可能性があります。
セキュリティ侵害におけるサードパーティコネクタの役割
ノーコード開発の核心機能であるサードパーティコネクタは、アプリケーションがクラウドサービス、データベース、企業ソフトウェアと連携することを可能にします。これらの統合は効率を高めますが、同時に敵対者に新たな侵入ポイントを提供します。
例えば、Microsoft Power Platform Connectorフレームワークで特定された脆弱性 CVE-2023-36019 は、企業ユーザーをスプーフィング攻撃にさらす可能性があります。この脆弱性を悪用して、正当なコネクタを装った悪意のあるリンクやアプリケーションを作成する脅威アクターは、企業データへの不正アクセスを得る可能性があります。これらの統合はしばしばERPやCRMプラットフォームのようなコアビジネスシステムにアクセスするため、1つのコネクタにおける脆弱性が悪用されると、連鎖的なセキュリティの影響を引き起こす可能性があります。
関連記事:新しいツールがビーコンを検出するためにジッターをトラップ
もう一つの新たな脅威は、依存関係の混乱攻撃です。これは、内部と公共のソフトウェアパッケージ間の名前の衝突を悪用するものです。攻撃者は、内部で使用されているコンポーネントと同じ名前の悪意のあるパッケージを公共のリポジトリに公開することで、プラットフォームを騙して自動化されたワークフローの実行中に不正なコードをダウンロードして実行させることができます。この手法により、攻撃者は企業のオートメーションパイプラインに悪意のあるペイロードを静かに挿入し、従来のセキュリティレビューを回避することができます。
これらの例は、重要なセキュリティギャップを浮き彫りにしています。ノーコードプラットフォームは、従来のソフトウェア開発で使用されるセキュリティコントロールを欠いていることが多く、多くの企業はノーコード統合に対して従来のサードパーティソフトウェアと同じ厳密さを適用していません。
関連記事:インドのカーシェアリング企業Zoomcarが最新の侵害を受ける
可視性の欠如は主要なセキュリティ障壁
ノーコード環境を保護する上で最も困難な要素の一つは可視性です。セキュリティチームは、特にビジネスユーザーがITの監視なしに独自にアプリケーションを作成できる環境で、資産の発見と依存関係の追跡に苦労しています。
ITガバナンス外で構築されたアプリケーションやオートメーションは、承認されていないコネクタを使用し、機密データを露出させる可能性があります。これらはしばしば重要なビジネスワークフローと統合されているためです。これらのアプリケーションは、長期的な展開よりも迅速な問題解決のために作成されることが多いため、セキュリティ評価や継続的な監視を受けることはほとんどありません。これにより、内部システムの悪用や重要なシステムの不正操作の可能性が生じます。
ノーコードサプライチェーンのセキュリティ確保
ノーコード開発によって生じるリスクに積極的に対処するために、組織は市民開発者のアプリケーションを独自の専門的なアプリケーションセキュリティプログラムに統合するべきです。以下は、セキュアでスケーラブルなノーコード採用を確保するためのいくつかのベストプラクティスです:
1. 自動化されたセキュリティ評価
ノーコードアプリに対しても、従来のアプリケーションと同様の厳密さを適用します。これには以下が含まれます:
関連記事:台湾の組織を狙う「HoldingHands」がスリのように活動
-
環境全体でノーコードアプリケーションを自動的に発見し、公式プロセスを回避したシャドウアプリを特定する
-
過剰な権限、不安全なコネクタ、リスクのある設定を検出するための脆弱性評価を実行する
-
サードパーティコネクタと統合ポイントを監査し、承認されたサービスのみが使用されていることを確認する
-
設定を分析し、不正なデータ露出につながる可能性のある問題をフラグする
2. 中央集権的なガバナンスとポリシーの施行
セキュリティポリシーは、すべてのノーコードアプリケーションに一貫して適用され、設定ミスや不正アクセスのリスクを減らす必要があります。企業は次のことを行うべきです:
-
サードパーティコンポーネントと統合を動的に特定し、評価してから展開することでガバナンスを強化する
-
中央IT監視外で構築されたアプリケーションを自動的に分類し、インベントリ化することで、市民開発者による手動宣言の必要性を排除する
-
アプリケーション、ユーザー、またはデータの性質に基づいてセキュリティポリシーを自動的に適応させるコンテキストベースのリスク管理コントロールを適用し、開発者が手動でポリシーを設定する必要をなくす
3. 継続的な監視と脅威検出
ノーコードアプリケーションの動作に対するリアルタイムの可視性は、継続的な保護に不可欠です。組織は次のことを行うべきです:
-
API活動、コネクタ使用、オートメーションの動作を継続的に監視し、異常やポリシー違反を検出する
-
行動ベースラインと分析を使用して、予期しないデータフローや権限のエスカレーションなどの疑わしいパターンをフラグする
-
ノーコードアプリケーションの攻撃面の最新マップを維持し、環境のドリフトを追跡し、新たなリスクが発生した際にそれを露出する
ノーコードサプライチェーンのセキュリティ確保は、リスクを軽減するだけでなく、ビジネスが自信を持って革新できるようにすることです。ノーコード開発ライフサイクルにセキュリティを組み込むことで、組織は管理されていない脆弱性を導入することなくデジタルトランスフォーメーションを加速できます。ノーコードセキュリティに積極的に取り組み、ガードレールを施行する組織は、スピードとセキュリティが共存する開発環境を育むことができます。