オンプレミス環境からクラウド環境への移行が進んだことによって、業務の効率化やコスト削減を実現した、という企業が増えています。クラウド化を進め、その恩恵を受ける一方で、利用するクラウドサービスを安全に利用できているのか、各種設定等が万全な状態でクラウドサービスを運用できているのかといった不安を抱えるシステム担当者もいるのではないでしょうか。
事実、クラウドの設定ミスによってクラウド上に保存された機密情報が漏洩したといったセキュリティインシデントが多数報告されています。
本記事では、IaaS、PaaSの設定ミス防止を支援し、安全な利用をサポートするCSPM(Cloud Security Posture Management : クラウドセキュリティ態勢管理)というソリューションについて解説します。
クラウドサービスを提供する事業者(以下、クラウドサービス事業者)がセキュリティ重視の方針やセキュリティ機能の強化をうたっており、クラウドサービスの利用者(以下、ユーザ)は従来よりもコストや手間を掛けずにセキュリティを強化できるなど多くの恩恵を受けることができるようになりました。
しかし、クラウドサービス事業者がセキュリティに力を入れているにも関わらず、セキュリティインシデントが起きるのはなぜなのでしょうか。それには、「クラウドサービス事業者」と「ユーザ」が持つ責任範囲の違いが大きく関係しています。
上図に示す通り、クラウドサービスの種類によって範囲は異なりますが、クラウドサービス事業者とユーザで責任を持つ範囲が分かれています。例えば、IaaSの場合、物理ホストや物理ネットワークについてはクラウドサービス事業者がセキュリティに関する責任を持ち、安全性を確保してくれます。一方、IaaSプラットフォーム上に構築するOSやその上のレイヤーで扱うデータ等については、ユーザが責任を持つ必要があります。そのため、ユーザも一定の範囲で発生するセキュリティリスクを正しく理解し、それらに適切に対処する必要があります。
クラウドサービスを利用する企業で発生したセキュリティインシデントの多くが、ユーザの設定ミスにより誤って外部に情報が公開されてしまったというものです。
設定ミスが起きる理由としては、環境構築時にテスト時の設定を残したままリリースされてしまうケースや、クラウドサービスが短期間で新たな機能を数多くリリースすることもあり、ユーザが仕様を正しく把握できずに誤った設定をしてしまうなどのケースが挙げられます。こうした場合、ユーザ側の責任となってしまいます。
このようなクラウドの設定ミスによる情報漏洩に対して有効なソリューションとして注目されているのがCSPM(Cloud Security Posture Management : クラウドセキュリティ態勢管理)です。
CSPMは、IaaSやPaaSといったパブリッククラウドに対してAPI連携により、クラウド側の設定を自動的に確認し、セキュリティの設定ミスや各種ガイドライン等への違反が無いかを継続してチェックすることができます。また、IaaS/PaaSを利用する際のベストプラクティスをチェックルールとしてあらかじめ用意しており、ユーザへより安全な利用方法を提示してくれます。
CSPMソリューションは、クラウドサービス事業者がサービスの一部として提供するものや、サードパーティベンダーが提供するものがあり、いずれもSaaS型のクラウドサービスとして提供されています。製品により提供機能に細かな違いはありますが、CSPMソリューションの主な特徴について紹介します。
サードパーティ製品の中には、複数のクラウドサービス事業者をサポートしているものがあり、マルチクラウド環境を1つの管理コンソールから管理することが可能です。シングルクラウドの場合も、プロジェクトやシステム毎に分かれたクラウドアカウントをCSPMソリューションのコンソールから統一したポリシーにより一元管理することが可能です。
設定チェックのルールは、製品ベンダーにより予め多数用意されており、定期的に見直しや追加が行われます。これら既成のルールにはIaaS/PaaSを安全に利用するためのベストプラクティスも含まれており、ユーザは効率的に設定チェックを行うことができます。
CSPMソリューションでは、個別の要件に対してチェックを行えるようチェックルールをカスタマイズできる機能を提供しています。この機能を活用することで、例えばIPアドレスを自社のものに限定するなど、より具体的な条件による設定チェックを行うことができるようになります。
CSPMソリューションでは、予め用意されたルールとPCIDSSやCISベンチマークなどのガイドラインの紐づけを行っています。ガイドラインの項目に該当する既成のルールを活用することで、従来手作業で対応していた年次監査を自動化するなど効率化することが可能です。
CSPMソリューションは、設定チェックで違反を検出した際、アラート通知する機能を提供しています。アラート通知により、故意・過失に関わらず、ルールに違反した設定変更の発見までにかかる時間を短縮することができます。
さらに、「誰が・いつ・どのように」設定を変更したかも確認が可能となります。また、違反した設定が行われた際、自動で設定修正する機能を持ったソリューションもあります。
ここまで、CSPMソリューションの主な特徴を紹介しましたが、製品によって提供機能が異なり、中には特徴として挙げた機能を提供していないものもあります。そこで、ソリューション導入で失敗しないための製品選定時に特に考慮すべきポイントを紹介します。
現在利用している環境が単一のクラウド環境であれば、クラウドサービス事業者の提供するCSPM機能を選択することも考えられます。一方で、マルチクラウド環境を利用している場合や、現在は単一クラウドだが、将来的に複数のクラウド環境を利用するといった場合、マルチクラウド環境に対応した製品の検討が必要となります。
マルチクラウド対応のCSPMソリューションを利用することで、将来的に追加するIaaS/PaaS環境へスムーズにCSPMを適用することができます。
自社の環境に合わせた独自のルールを作成したい場合、ルールのカスタマイズ機能が必要となります。カスタマイズの方法は製品によって異なり、プログラミングが必要なものや独自の構文により簡略化されているものがあるため、運用担当者のスキルや将来的なメンテナンス性も考慮した選択も重要です。
また、細かい点ですが、ルールの作成途中にルールのチェック結果を確認できる機能があると結果を確認しながらチューニングできるため、カスタムルールの作成が格段にしやすくなります。
企業で利用する場合、1つのプロジェクトで利用するだけでなく、チームの異なる複数プロジェクトでCSPMソリューションを利用することが考えられます。異なるチームで利用する場合、他プロジェクトのシステムに関する情報を閲覧・操作できないようCSPM上で管理するアカウントへ権限設定が必要となります。
複数プロジェクトでの利用を想定している場合、CSPMが提供する各機能が別プロジェクトや他のユーザに影響を与えないような作りとなっているかを確認しておくことが重要です。
多くの企業でIaaSやPaaSといったパブリッククラウドの活用が進む中、クラウド側の設定チェックに関して当社への相談も増えています。CSPMソリューションを利用することにより、継続してIaaS/PaaSの設定をチェックし、誤った設定が行われた際に、いち早く検知することでインシデントに繋がることを防げます。また、CSPMソリューションが提示するベストプラクティスを上手く活用することでユーザの考慮漏れなどを補完し、よりセキュアにIaaS/PaaSを運用することができます。
当社では、CSPMソリューションの販売、および導入をお手伝いするサービスを提供しています。また、ソリューションの提供だけでなく、クラウドサービスの利用に関する社内ルール整備等のセキュリティコンサルティングサービスも提供しています。
<NRIセキュアのソリューション>
CSPM-クラウド基盤の自動チェックソリューション「Prisma Cloud」
クラウドアクセス可視化・制御ソリューション(CASB) 「Netskope」
ご興味のある方は、是非お気軽にご相談ください。