ITセキュリティーに関連したホットトピックを取り上げ、動向や対策をひも解きます。今回はクラウドサービス上のシステムへのセキュリティー対策を解説します。
※「日経コンピュータ」2023年3月2日号より、一部加筆の上、転載。
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/012300337/021700002/
日経BPの了承を得て転載/無断転載・複製を禁じます。
セキュリティーモデルが変化
昨今、導入に関わるリードタイムの短さやコスト削減などさまざまな理由から多くの企業がクラウドサービスを利用しています。総務省の情報通信白書令和4年版によると、クラウドサービスの利用企業は2017年の56.9%が2021年には70.4%と、約14ポイント増加しています。
クラウドサービスの活用が進むなか、企業のクラウドサービスの使い方も変化しています。これまでオンプレミス環境にあったシステムをIaaS(インフラストラクチャー・アズ・ア・サービス)に単純移行する使い方「クラウドリフト」からPaaS(プラットフォーム・アズ・ア・サービス)やSaaS(ソフトウエア・アズ・ア・サービス)などクラウドサービスならではの機能を活用する「クラウドシフト」に変わってきました。
こうした変化を受けて、クラウドサービス利用時におけるセキュリティーの考え方も変化しました。具体的には境界型防御のセキュリティーモデルから、すべてのネットワークが安全でないという前提のゼロトラストモデルに変化するなど、ネットワークによる多層防御だけでなく、さまざまな守り方を実装しないと、多種・多様なIT環境においては、深刻なセキュリティーインシデントにつながりかねません。
守り方の変化イメージ|パブリッククラウド環境では守り方の方針が変わる
4つのセキュリティー課題
クラウド環境における主なセキュリティー課題は大きく(1)アーキテクチャーと戦略の欠如、(2)アカウント・認証管理が不十分、(3)設定ミスや不適切な変更管理、(4)システムの脆弱性の4つに大別できます。
一般的なクラウド利用における脅威のイメージ
アーキテクチャーと戦略の欠如
(1)アーキテクチャーと戦略の欠如はクラウドサービス利用時のセキュリティー標準など、全社的なアーキテクチャーや戦略を持っていないという課題です。このために、システムのセキュリティーレベルがシステムごとに変わり、セキュリティー的に脆弱なシステムが発生し得ます。
これを防ぐには、クラウドサービスやインフラの設計などで順守すべきビジネス目標、リスク、セキュリティー脅威、法令順守を考慮したルールや基準を作成する必要があります。クラウドサービスは変化のスピードが速く、集中管理可能な範囲が限定的であることから、ルールや基準の策定や順守がより重要です。
ルールや基準の策定はクラウドサービスプロバイダーやISO(国際標準化機構)といった第3者機関が提供する資料などを参考に、必要な要素を網羅して作成する必要があります。
また、脅威のモデル化、ベンダーの障害による影響を見据えたセキュアな設計など、他のセキュリティー要素との関連も意識する必要があります。
ルールや基準の策定後、それに準じた運用も重要です。ルールに従って脆弱性対応やセキュリティー監視を運用し、基準からの逸脱を早期検知することが、残り3つの課題への共通的な対策として有効です。
アカウント・認証管理の在り方
(2)アカウント・認証管理が不十分は退職者のアカウントが放置されていたり、権限が過剰であったり、認証情報を漏洩させたりしてしまうことを指しています。それが原因で攻撃者の侵入を許し、データ流出などの内部不正やランサムウエアなどセキュリティーインシデント発生につながるリスクがあります。
アカウント・認証管理をより強固にするために、ゼロトラストモデルでは個別のユーザーに対する単純な認証やアプリケーションベースの隔離だけでなく、それ以上の対策が必要です。具体的には、ユーザーやシステムに付与する権限を最小限にすることや多要素認証の導入、アクセス端末へセキュリティースキャンを実施し一定のセキュリティーレベルに達していない端末のアクセスを拒否するといった仕組みが必要です。
設定ミスの有無を継続してスキャン
(3)設定ミスや不適切な変更管理は開発時の設定ミスの見落としや意図せぬ変更の実施などにより、システムが脆弱になることや予期せぬデータ公開をしてしまうことです。それによって、データの改ざん・破損・流出や不正アクセスなどによるシステム停止など、さまざまなセキュリティーインシデントが発生する可能性があります。
企業においては、定められた標準設定に従ってシステムが設定されているか定期的に確認する必要があります。しかし、多様なシステムを統一的に確認することは難しいため、設定ミスの可能性のあるリソースを継続してスキャンし、リアルタイムで脆弱性を修正できるソリューションの採用が有効です。
変更管理のアプローチは、ビジネス変革の連続性とセキュリティーの課題を反映し、承認された変更がリアルタイムの自動検証を経て適用される必要があります。
設定ミスや不適切な変更管理によるセキュリティーインシデントの影響を最小限とするために、データの暗号化や適切な鍵管理も重要です。
システムの脆弱性への対策
(4)システムの脆弱性はシステムの構成に脆弱な要素が存在するために、外部から攻撃を受ける可能性があります。システムの脆弱性に関するリスクは、脆弱性検出とパッチ適用により抑制できます。
クラウド環境はインターネットとの接点が多く、脆弱性を突いた攻撃を受けるリスクが大きいため、脆弱性対策としてシステムとインターネットの接点の保護も重要です。特にクラウド環境ではAPI(アプリケーション・プログラミング・インターフェース)を活用するケースも多いので、APIなどのインターフェースへのセキュリティー対策が必要です。具体的にはAPIを追跡、設定、および保護などを行う必要があります。
クラウドベースのAPIの拡張と変化の速さに対応できるように、従来の変更管理のポリシーやアプローチを更新することも求められます。
自動化に有効なソリューション
ここまで4つの課題と対策を見てきました。その中でも(2)アカウント・認証管理が不十分、(3)設定ミスや不適切な変更管理、(4)システムの脆弱性はクラウド環境におけるセキュリティーインシデントの主な要因となるケースが多いため、より確実な対策が必要です。そのため、できる限り自動化を行い、迅速に対策を打っていく必要があります。
クラウド利用の脅威と主な対策|できるだけ自動化を進め、迅速に対策を打つ
クラウドセキュリティーをより高度にするための主なソリューションとして「CIEM(CloudInfrastructure Entitlement Management)」「CSPM(Cloud Security Posture Management)/SSPM(SaaS Security Posture Management)」「CWPP(Cloud Workload ProtectionPlatform)」があります。
「CIEM」は、パブリッククラウド上で長期間使用していないアカウントや権限を検出できます。検出したアカウントや権限の要否を判断し、是正することで、最小権限の原則を守りやすくなります。(2)アカウント・認証管理が不十分への対策として有効なソリューションとなり得ます。
「CSPM」はIaaS/PaaSとして提供されるサービスの設定不備を検出するソリューションで、(3)設定ミスや不適切な変更管理への対策として有効です。
基準となるベースラインには、ベンダーのセキュリティーベストプラクティスや、CIS Benchmarksなど業界標準を使用できます。また不備を検出するだけでなく、自動修復も可能です。CSPMはIaaS/PaaSベンダーが提供するものだけでなく、サードパーティーが提供するマルチクラウドに対応するものもあります。
「SSPM」はCSPMのSaaS版です。SaaSは非常に数が多いため、SSPMですべてのSaaSに対応することはできません。重要なデータを取り扱うSaaSに対応したSSPMを選定することが重要です。
「CWPP」はクラウド利用者が管理する仮想マシンやコンテナ、サーバーレスなどのワークロードを保護するソリューションです。CWPPがカバーする範囲は製品によってさまざまです。ワークロードのセキュリティー設定の不備、パッチの適用状況や脆弱性の有無のチェック、アンチウイルスソフトのパターンファイルの更新やスキャン状況のチェックなどを行います。CWPPの活用により、(4)システムの脆弱性への対策を自動化し、確実な対策を実現できます。
運用・監視の自動化を図る
(1)アーキテクチャーと戦略の欠如の課題で触れた通り、万が一インシデントが発生したときに迅速に対応するために、運用・監視を適切に実施する必要があります。それらを自動的に行うことで、人的コストの削減やミスのない運用を実現できます。
その際に利用できるソリューションとして「SIEM(Security Information and EventManagement)」「SOAR(Security Orchestration, Automation and Response)」があります。これらのソリューションを活用することで、システムの防御から監視、セキュリティーインシデント対応に至るまで、できる限り自動化を行い、セキュリティーレベルの向上を図る必要があります。
「SIEM」はシステム内で取得するログを一元管理し、複数のログを用いた相関分析を行うことで単一のログでは見落としがちな脅威を検出、可視化できます。
「SOAR」は、組織内の各種セキュリティー機器や外部の脅威情報提供サービスと連携することにより、インシデント対処の自動化を実現します。またインシデント対処に関連するあらゆる業務プロセスを1つのプラットフォームに集約します。さらに、SOARではインシデント対処における組織のパフォーマンスが測定され、ダッシュボードで確認できます。
システムは企業ごとに異なり、システムごとに取り扱うデータやユーザーも異なるため、セキュリティー対策について1つの明確な答えはありません。企業内の標準設計を順守した上で、課題の個別・具体的な対策を検討・実施する必要があります。企業ごとに自社のシステムの特性を理解し、客観的にシステムの対策状況を把握した上で対策を講じることが、自社のシステムを守り、社会的な信頼の喪失や金銭的・ビジネス的な被害の防止につながります。
