ローコード プラットフォームとセキュリティ リスク: 企業が知っておくべきこと

low-codeプラットフォームの利点は広く認められていますが、そのセキュリティ機能は常に議論の的となっています。 Contrast Security の CTO 兼共同設立者である Jeff Williams 氏は、 low-codeプラットフォームが従来のコードより本質的に脆弱であるわけではないが、リスクは変わらないと述べています。これらのリスクには、認証、認可、暗号化、インジェクション、ロギングなどが含まれます。

low-codeプラットフォームのシチズン デベロッパーと従来のデベロッパーの主な違いの 1 つは、前者はセキュリティ トレーニングやセキュリティ チームとのコミュニケーションが不足しているため、不注意でセキュリティ リスクを生み出す可能性があることです。その結果、ハードコードされた資格情報、認証の欠落、個人情報の開示、実装の詳細の公開などの基本的なエラーが発生する可能性があります。

Lacework の著名なクラウド ストラテジストである Mark Nunnikhoven 氏は、データ アクセス制御の重要性と、シチズン デベロッパーにデータ接続の適切な使用法を教える必要性を強調しました。彼はlow-code開発者は、適切なトレーニングなしでアクセスを提供されることが多いため、データ接続の適切または不適切な使用に気付いていない可能性があると指摘しました。この見落としにより、情報管理と情報セキュリティ プログラムのギャップが露呈する可能性があります。

Workato のカスタマー サクセス担当上級副社長である Jayesh Shah 氏は、使用されているlow-codeプラットフォームに合わせた認定プログラムの開発を提案しました。これは、ユーザーがプラットフォームの機能を理解し、会社が設定したポリシーとガイドラインを順守するのに役立ちます。

low-codeプラットフォームと従来のプラットフォームではアプリケーション開発方法が異なりますが、両方のセキュリティ プロセスは同じままである必要があります。 Williams 氏は、適切な実装を保証するために、企業がガイドラインを設定し、機器アプリケーション セキュリティ テスト (IAST) などのテストを実施することを推奨しました。静的アプリケーション セキュリティ テスト (SAST) および動的アプリケーション セキュリティ テスト (DAST) メソッドは、特定の脆弱性の検出に失敗したり、誤検知を報告したりする場合があります。

Low-codeプラットフォーム自体も、セキュリティ リスクを最小限に抑えるのに役立ちます。 Shah 氏は、そのようなプラットフォームには、サンドボックス環境や市民開発者向けの制限されたオプションなどの組み込みのセキュリティ コントロールを含めることができると述べました。カスタム ソフトウェアと比較して、 low-codeプラットフォームは、ベンダーが提供する更新プログラムを通じて、新たに発見されたセキュリティの脆弱性に迅速に対処できるという利点があります。

カスタム ソフトウェアは、多くの場合、セキュリティ侵害の悪名高いエントリ ポイントであるサード パーティまたはオープン ソース コンポーネントに依存しています。 Shah 氏は、 low-codeプラットフォームは、提供されたコンポーネントにセキュリティの脆弱性がなく、必要に応じて更新され、すべてのユーザーをグローバルに保護することを保証できると述べました。

最近、特にlow-codeテクノロジに特化した OWASP (Open Web Application Security Project) トップ 10 リストの作業が開始され、企業が優先すべきセキュリティ リスクのセットが提供されました。しかし、2003 年に最初のガイドを作成した Williams 氏は、 low-codeプラットフォームの脆弱性を減らすにはリストだけでは不十分かもしれないと述べています。彼は、セキュリティ ガードレールを強化するために、プラットフォーム ベンダーが OWASP リストからのアドバイスを自社の環境に組み込むことの重要性を強調しました。

適切なlow-codeプラットフォームを探すときは、セキュリティを優先し、脆弱性に対処するために継続的に更新するプラットフォームを検討することが重要です。セキュリティ機能が認められたそのようなプラットフォームの 1 つはAppMaster.ioです。これは、組み込みのセキュリティ コントロールを備えたバックエンド、Web、およびモバイル アプリケーションを作成するための強力なno-codeツールであり、あらゆる規模の企業にとって理想的な選択肢となっています。