サイバーマトリックス、サーバーレスアーキテクチャやマイクロサービスに対応した脆弱性診断サービス

　サイバーマトリックス株式会社は17日、サーバーレスアーキテクチャやマイクロサービスに対応した「API・サーバレス脆弱性診断サービス」をパッケージ化したと発表した。

　サーバーレスアーキテクチャとは、コードをクラウドに展開することにより、必要な時に必要なリソースを利用してコードを実行できる環境を採用したアプリケーション設計。ユーザーがOSやミドルウェアがインストールされたサーバーを準備しなくても、コードの実行環境を利用できるという。

　一方のマイクロサービスは、独立した複数の小さなサービスを開発し、それらをAPIによって連携させてアプリケーションを提供するアーキテクチャ。各サービスがAPIを介して接続される仕組み上、適切なセキュリティコントールを行うことが重要になるとのこと。

　サイバーマトリックスでは、AIでセキュリティ運用を自動化するクラウドサービス「CyberNEO」の開発において、サーバーレスアーキテクチャやマイクロサービスの考えを採用し、Amazon Web Services（AWS）やMicrosoft Azure上のクラウドリソースを活用して開発しているとのことで、今回はそうした活動の中で培った知見と、脆弱性診断の知見を組み合わせ、新しいアーキテクチャーに対応したセキュリティ検査をパッケージ化した。

　サービスでは、OWASP API Security Top 10のリスクを中心に、マイクロサービスやサーバーレスアーキテクチャに知見のあるセキュリティ専門家が検査を実施。ユーザー企業が採用しているアーキテクチャの構成環境やサイトの機能を理解した上で、クラウド上のセキュリティ設定やビジネスロジックの欠陥から発生する脆弱性を検査するとしている。

　なお検査は、サーバーレスアーキテクチャ、マイクロサービスで中心となるAPIをはじめ、コードが実行されるバックエンド環境（AWS LambdaやAzure Functions）、データ保存に利用されるNoSQL、クラウドストレージとの連携を含めて行われるとのことだ。

　価格は、APIエンドポイントまたはクラウドリソース(5カ所まで)の基本料金が60万円で、検査個所を追加する場合は、1カ所あたり3万円となる。また、報告書の説明会、脆弱性に対するコンサルティング、脆弱性個所の再検査といったオプションも用意された。