11. 11
1.コンテナ/マイクロサービス/サーバーレスの監査事例(8)
• 域内共通のフェデレーションゲートウェイサービスの概要
出典:European Commission「Technical specifications for interoperability of contact tracing apps - eHealth Network
Guidelines to the EU Member States and the European Commission on Interoperability specifications for cross-border
transmission chains between approved apps」(2020年6月16日)
(https://ec.europa.eu/health/sites/health/files/ehealth/docs/mobileapps_interoperabilitydetailedelements_en.pdf)
12. 12
1.コンテナ/マイクロサービス/サーバーレスの監査事例(9)
• 自律的な各国のバックエンド
出典:European Commission「Technical specifications for interoperability of contact tracing apps - eHealth Network
Guidelines to the EU Member States and the European Commission on Interoperability specifications for cross-border
transmission chains between approved apps」(2020年6月16日)
(https://ec.europa.eu/health/sites/health/files/ehealth/docs/mobileapps_interoperabilitydetailedelements_en.pdf)
13. 13
1.コンテナ/マイクロサービス/サーバーレスの監査事例(11)
• 接触追跡アプリケーションの越境連携エコシステム導入例
• コンテナプラットフォーム(例:Kubernetesベースの
OpenShift)
• REST API
(例:Node.jsとExpress)
• 分散NoSQLデータベース
(例:MongoDB)
• ロードバランサー
(例:Docker上のHAProxy)
• Webサーバー(例:Docker上の
Nginx) 出典:European Commission「Technical specifications for interoperability of contact tracing apps - eHealth Network
Guidelines to the EU Member States and the European Commission on Interoperability specifications for cross-border
transmission chains between approved apps」(2020年6月16日)
(https://ec.europa.eu/health/sites/health/files/ehealth/docs/mobileapps_interoperabilitydetailedelements_en.pdf)
14. 14
1.コンテナ/マイクロサービス/サーバーレスの監査事例(12)
• セキュリティ:バックエンドの機密性
出典:European Commission「Technical specifications for interoperability of contact tracing apps - eHealth Network
Guidelines to the EU Member States and the European Commission on Interoperability specifications for cross-border
transmission chains between approved apps」(2020年6月16日)
(https://ec.europa.eu/health/sites/health/files/ehealth/docs/mobileapps_interoperabilitydetailedelements_en.pdf)
70. 70
6.サーバーレスのクラウドセキュリティ(4)
• サーバーレスアプリケーションの脅威
1.環境の構成ミス
• a. ユーザーの構成管理ミス
• b. ポートの露出
• c. 無効化/デフォルト構成
• d. 資格情報の露出
• e. 構成ドリフト
2.脆弱な依存関係
• a. サプライチェーンの脆弱性
• b. 脆弱なイメージ
3.組込型マルウェア
4.ランタイムの課題
• a. データのインジェクションとリモートからの実行
• b. 認証の不備
• c. 不適切なエラーや例外の処理