潜んでいたリスクを可視化する
クラウド診断サービスで
安全かつ最適なクラウド運用が実現
今やクラウドサービスは当たり前に利用されるようになり、経済活動を支える重要な基盤になっています。新型コロナウイルス感染症拡大の時期もクラウドサービスが存在しなければ、リモートワークで対応できなかったケースも多かったかもしれません。このようにクラウドサービスが普及する一方で、大規模な情報漏えいにつながる可能性を持つインシデントが度々発生しています。
そしてその原因の多くが「クラウドサービスの設定不備」であることをご存じでしょうか。ひとつの設定ミスが重大なインシデントの要因にもなりえることが問題となっています。このような設定不備の問題を解決するソリューションが「CSPM」です。
CSPM(クラウドセキュリティ態勢管理)とは
CSPM(Cloud Security Posture Management)とは、IaaS、PaaSといったクラウド上で自社が構築した環境の設定をAPIによって定期的に検証するソリューションです。セキュリティに関する代表的な設定には「公開設定」「暗号化設定」「ID管理」等があります。
ただの設定ミスの防止に対策をする必要があるのかと思う方もいるかもしれませんが、クラウドサービスのインシデントの原因の多くが設定ミスによるものです。
IPA(独立行政法人情報処理推進機構)が2022年2月に発表した「コンピュータウイルス・不正アクセスの届出状況」によると、2021年に寄せられた不正アクセス届出のうち、被害原因として「設定の不備」が「修正プログラムの未導入」に次いで2位でした。1つの設定ミスが大きなインシデントにつながっているということがわかります。
オンプレミス環境の場合は社内の閉じた環境でしか利用できないため、細かくアクセスコントロールを設定していなくても不正操作のトラブルには至らないことが多かったと言えます。それに対してクラウドサービスはインターネット上にあるため、機密情報に第三者がアクセスできるように設定してしまった場合、重大な情報漏えいにつながりかねません。
日本国内でもクラウドサービス上で意図せず公開してしまったサーバーに侵入され、最終的に業務用サーバーが暗号化されたという事例もあります。
不適切な設定は機械的に判断できるわけではありません。よくある設定ミスに、クラウドストレージにある機密情報を公開設定にしたというものがあります。しかし場合によっては外部に公開する情報もあり、設定の妥当性を判断するのが難しいのが実情です。
その他にも安全に運用するためには設定した方がよい項目もあります。そのためにWell-Architected Frameworkのようにクラウドベンダーが提供するベストプラクティスや、CIS Controls、PCI DSSのようなフレームワークがありますが、こうしたものに準拠しているかを人手で確認していくのは困難です。
このような問題を解消するために、CSPMはIaaSやPaaSといったパブリッククラウドに対してクラウド側の設定を自動で確認し、セキュリティの設定ミスやコンプライアンス違反、脆弱性がないかをチェックします。またベストプラクティスをもとに、より安全な利用方法を提示します。
ただの設定ミスの防止に対策をする必要があるのかと思う方もいるかもしれませんが、クラウドサービスのインシデントの原因の多くが設定ミスによるものです。
IPA(独立行政法人情報処理推進機構)が2022年2月に発表した「コンピュータウイルス・不正アクセスの届出状況」によると、2021年に寄せられた不正アクセス届出のうち、被害原因として「設定の不備」が「修正プログラムの未導入」に次いで2位でした。1つの設定ミスが大きなインシデントにつながっているということがわかります。
オンプレミス環境の場合は社内の閉じた環境でしか利用できないため、細かくアクセスコントロールを設定していなくても不正操作のトラブルには至らないことが多かったと言えます。それに対してクラウドサービスはインターネット上にあるため、機密情報に第三者がアクセスできるように設定してしまった場合、重大な情報漏えいにつながりかねません。
日本国内でもクラウドサービス上で意図せず公開してしまったサーバーに侵入され、最終的に業務用サーバーが暗号化されたという事例もあります。
不適切な設定は機械的に判断できるわけではありません。よくある設定ミスに、クラウドストレージにある機密情報を公開設定にしたというものがあります。しかし場合によっては外部に公開する情報もあり、設定の妥当性を判断するのが難しいのが実情です。
その他にも安全に運用するためには設定した方がよい項目もあります。そのためにWell-Architected Frameworkのようにクラウドベンダーが提供するベストプラクティスや、CIS Controls、PCI DSSのようなフレームワークがありますが、こうしたものに準拠しているかを人手で確認していくのは困難です。
このような問題を解消するために、CSPMはIaaSやPaaSといったパブリッククラウドに対してクラウド側の設定を自動で確認し、セキュリティの設定ミスやコンプライアンス違反、脆弱性がないかをチェックします。またベストプラクティスをもとに、より安全な利用方法を提示します。
クラウドの設定ミスの原因とは
クラウドの設定ミスの主な原因は、次のようなものが考えられます。
●利用者の理解不足
利用者がクラウドストレージ等を簡単に利用できるようになっている一方で、利用者の理解不足のためにセキュリティ設定をミスしてしまう場合があります。
●クラウドサービスの最新仕様の把握が困難
クラウドサービスは複雑なものも少なくなく、頻繁にアップデートされており、利用者が最新の仕様を把握することが困難になっているのが大きな原因です。
●ITサービスを市場投入までの期間短縮
DXの進展によって、構築したITサービスを市場に投入するまでの期間が短縮されています。短時間で市場に投入するため、設定のミスが起きやすいと言えます。
このようなミスの原因がある中で、管理者は次のような課題を抱えています。
●セキュリティ状況の可視性が欠如している
サーバー等の全てのリソースについて、セキュリティ状況が単一のダッシュボード上で確認できることが求められます。
●コンプライアンス要求事項へ常に対応できているか検証できていない
CSF、CIS Controls、PCI DSSといった国際的にデファクトとなっているフレームワークや、FISC、HIPPAといった特定業界ごとの統制基準、欧州のGDPRのような法規制等があり、準拠するべきものが企業によって異なります。そうした中でコンプライアンス準拠に違反する設定不備について、定期的に検証することが求められます。
●アラートの優先順位が分からない
優先順位が視認でき、各種コミュニケーションツールと連携して対応ワークフローに組込み、迅速に対処することが求められます。
CSPMの主な機能
CSPMには次のような機能があります。
●ベストプラクティス・コンプライアンス違反の検出
各パブリッククラウドで定義されたセキュリティについてのベストプラクティスや、CSF、CIS Controls、PCI DSS等のフレームワークに基づくチェック項目について、定期的に検証し、設定不備やコンプライアンス状況を可視化します。
●脅威検出
パブリッククラウドのリソースに対してルール違反がないかを検出し、メールやチャットツールに通知します。
●リスクステータスの可視化と修正方法の提案
潜在的なリスクの優先順位を付けて可視化し、修正方法について提案します。さらにCSPM製品が対応しているサービスに限定されますが、自動的に修復まで行う機能もあります。
●レポート
設定状況やコンプライアンス準拠の検証結果を定期的にレポートします。
CSPMとCWPPとの違いとは
クラウドネイティブなアプリケーション環境を保護する機能としてCSPMの他にCWPP(Cloud Workload Protection Platform)があります。CSPMはクラウドインフラストラクチャーの領域において、設定やコンプライアンス違反を自動的に監査し、リスクを検出する仕組みです。それに対してCWPPはクラウド上のインスタンスや仮想マシン、コンテナ等の多様化するワークロードに対して、アプリケーション脆弱性有無の確認、不正攻撃等の振る舞い検知等を行います。CWPPはワークロードの保護、CSPMはワークロードを実行するインフラストラクチャーの保護という役割の違いがあります。CSPMとCWPPの機能を両方とも備えるソリューションもあります。
CSPMソリューションを選ぶ際の注意点
「AWS Security Hub」のように、多くのパブリッククラウドでは設定監査サービスを用意しています。そのため単一のクラウドのみ使用している場合は、これらを活用することができます。
しかし複数のクラウドを使い分けるマルチクラウドの場合は、各パブリッククラウドのネイティブサービスのみでは一元的な監査が難しくなる場合があります。また、特定のフレームワークに準拠する必要がある場合は、該当のフレームワークにCSPMソリューションが対応している必要があります。サードパーティの提供するCSPMソリューションであればこうしたケースに対応可能です。
サードパーティのCSPMソリューションを選定する際には、次の点に注意する必要があります。
●利用しているクラウドサービスをカバーしているか
CSPMソリューションが自社の利用しているクラウドサービスに対応しているかを確認します。例えばAWSの場合、100を超えるマネージドサービスが存在しています。CSPMソリューションはメジャーなサービスをカバーしているものの、全てには対応していない可能性があります。
●準拠が必要なフレームワークが対応しているか
各種フレームワークに広く対応しているかを確認します。
●運用しやすい機能を備えているか
マルチクラウド・マルチアカウントの環境においても、管理しやすいダッシュボードが用意されているか、監査に必要なレポートが出力できるか、といったことを確認します。
CSPMに限らずセキュリティ対策のソリューションでありがちなのが「導入したものの、大量のアラートが発生して運用が回らなかった」という問題です。最近ではIT部門だけではなく、各事業部門でパブリッククラウドの契約アカウントを保持しているケースも多く、問題が発生した際は部門を横断して関係者と連携し、対処する必要があります。
運用負荷を軽減するためには、マネージドサービスを活用するのも一つの方法です。マネージドサービスでは、アラートやルール設定のチューニング等の支援を提供します。「取り急ぎ現在の設定状況にどのくらいのリスクがあるか確認したい」という場合に、スポットで設定の診断を提供するサービスもあります。
CSPMソリューションを活用するには、運用方針を決めておくことも重要なことです。どのガイドラインを基準とするか、どの検知を自動修復の対象にするか、どの検知をどのくらいのスピードで対応するか、といったことを予め決めておく必要があります。マネージドサービスでは自社の知見をもとに、導入をサポートしてもらえるメリットもあります。
クラウドシフトはまだ始まったばかりです。クラウドセキュリティ対策の必要性はこの先、より高まっていることは想像に難くありません。自社の情報システムのロードマップを見据えて、より重要度の高い対策を実施していくことが求められています。
関連してよく読まれているページ
DOWNLOAD
資料ダウンロード
関連サービス
カテゴリー
資料ダウンロードランキング
-
AWS導入・移行に関する実態調査レポート2023年版資料ダウンロード
-
AWSを検討している情シス担当者の方、必見!資料ダウンロード
-
クラウド移行に課題を感じているお客様に!資料ダウンロード
-
クラウドサービス(AWS)を安全・効果的に使えているか
診断したいというお客様へ!資料ダウンロード
-
コンテナ利用によるセキュリティリスクに
不安があるというお客様に!資料ダウンロード
-
クラウドサービスの利用拡大によるセキュリティリスクの増加に
不安があるというお客様に!資料ダウンロード
-
安心のテレワーク環境をすばやく整備!資料ダウンロード
-
AWSのクラウドサービスってどのようなサービスがあるの?という方へ資料ダウンロード
-
クラウドサービスにセキュアで接続したいお客様へ!資料ダウンロード