パブリッククラウド利用のリスクと必要なセキュリティ対策

2020/10/30
● はじめに
新型コロナウィルス感染症の流行以降の姿として新しい生活様式が模索されている折、これまでとはあらゆることのやり方が変わってきていることを日々実感しています。
そうした中で、職場の環境、家庭の環境を問わず、これまで以上に積極的にパブリッククラウドの利用を進めようと考えられる方は増えているのではないでしょうか。
弊社においても、安心・安全にクラウドを利用するためにはどうしたら良いかというご相談がお客様より多数寄せられるようになってきております。
● クラウドの脅威と責任共有モデル
パブリッククラウドを利用するにあたっては、利用者と事業者どちらか一方が全責任を負うのではなく、それぞれの範囲においてセキュリティやガバナンスの責任を持つ責任共有モデルの考え方は、広く浸透してきたのではないかと思います。
その一方で、Cloud Security Alliance (CSA) が昨年公開した「クラウドの重大セキュリティ脅威 11 の悪質な脅威」などで指摘されているように、クラウド固有の脅威においては従来と比べて利用者側の責任範囲にリスクが存在するケースの割合が増えてきており、またこの傾向は今後も続いて行くのではないかと我々としても考えております。
クラウド利用者の立場として自らの責任範囲に対して適切な対策を取ることは急務と言えます。
▼ クラウドの重大セキュリティ脅威11の悪質な脅威(日本語版)
クラウドの脅威に対する責任範囲
クラウドの脅威 利用者 クラウド
事業者
両者
1. データ侵害
2. 設定ミスと不適切な変更管理
3. クラウドセキュリティアーキテクチャと戦略の欠如
4. ID、資格情報、アクセス、鍵の不十分な管理
5. アカウントハイジャック
6. 内部者の脅威
7. 安全でないインターフェースとAPI
8. 弱い管理プレーン
9. メタストラクチャとアプリストラクチャの障害
10. クラウド利用の可視性の限界
11. クラウドサービスの悪用・乱用・不正利用

Cloud Security Alliance
Top Threats to Cloud Computing The Egregious 11 より

クラウドの重大セキュリティ脅威 11 の悪質な脅威に対して、利用者、クラウド事業者のどちらに責任があるのかまとめました。
● 課題を把握するには
しかし実際には、特に IaaS や SaaS の領域において、利用者の責任範囲と事業者の責任範囲が明確に分かれている場合だけではなく、その境界があまり明確ではないと感じる場面もあるのではないでしょうか。
自分で対策をする必要があるのはこの部分だけで、後はクラウド事業者に任せてしまえば良いと考えるのではなく、まずは全体像を正しく認識した上で、自らの責任範囲がどこなのか、境界が曖昧な部分も含めて把握して必要な対策を取ることが大切だと考えます。
網羅的な対策を検討する上で、様々なガイドラインを参考にしながら進めるのも有効な手段だと言えます。
代表的なガイドラインとしては以下のようなものがあります。
■ CSA Security Guidance
クラウドコンピューティングにて重要な13の領域における、それぞれの課題や推奨事項を解説したもの
■ CSA Cloud Control Matrix (CCM)
各領域における管理策の実装方針を提示し、各種標準と対応付け
■ CIS Benchmark
各クラウドサービスや OS、アプリケーションなどにおいて、安全に構成するためのベストプラクティスをまとめたガイドライン
またこの他にも、ISMSやPCI-DSSといった、クラウド以前から遵守している各種規程からクラウドにおいても共通して必要となる管理策を拡張し適用するなどしながら、必要な対策を効率的を進めていきましょう
参考になるガイドライン類
  ガイドライン(一例) 内容の網羅性 内容の深さ※   備考
CSA Security Guidance/連動(詳細項目にBreak down)
					/CSA CCM

ガバナンス及びマネジメント観点中心のため、個別のセキュリティ要件の内容は薄い。

運用要件は薄いがガバナンス及びマネジメント領域では網羅性は高い

CIS Benchmark

設定や運用上の定義が多く、ガバナンス及びマネジメントにかかる要素は少ない。

NIST SP800-171

ガバナンス及びマネジメント観点中心のため、個別のセキュリティ要件の内容は薄い。

ISO 27017

ガバナンス及びマネジメント観点中心のため、個別のセキュリティ要件の内容は薄い。

経産省 クラウド利用のための情報セキュリティマネジメントガイドライン

ガバナンス及びマネジメント観点中心のため、個別のセキュリティ要件の内容は薄い。

具体的なIaaSの設定値まで言及されているか。

クラウドのセキュリティ対策を検討する上で、参考となるガイドラインについてまとめました。
● 様々なソリューションの活用
把握したセキュリティの課題を解決するために、クラウドに限らずオンプレミス環境でも共通した対策が有効なものもありますが、特にクラウド環境においては新たなやり方が求められる場合もあり、そうした際に活用できるソリューションの一例をご紹介します。
■ Cloud Access Security Broker (CASB)
CASB という製品については既にご存じの方も多いのではないかと思います。
ガートナー社が定義した製品の機能の 4 つの柱の一つである可視化によって、組織が把握していないクラウドサービスの利用が行われていないか確認するシャドー IT の分野での導入が進んでいます。
クラウドの活用がより進む今後においても、CASB のその他の柱であるデータセキュリティ、脅威防御、コンプライアンスの分野に範囲を広げ、クラウドサービスの利用に対して適切な統制を行う手段として更なる活用が期待されます。
■ クラウド事業者の提供する機能の活用
利用するクラウドサービスを把握した上で、それらのサービスが提供するセキュリティ機能を活用することも、有効な手段の一つと言えます。
アクセス制御や監査ログの保存といった基本的なセキュリティ機能から、不審なアクティビティの検知などの高度な分析まで、様々な機能が提供されています。
特に IaaS や PaaS においては、各クラウドサービスに特化した攻撃も現実に行われており、それぞれの環境に特有の事情も加味した防御手段として、活用を検討してはいかがでしょうか。
■ Cloud Security Posture Management (CSPM)
いかにセキュリティ機能を追加したとしても、クラウドサービスが正しい設定の元に運用されていなければそこに脆弱性が存在してしまうかもしれません。
クラウド事業者が提供する機能や、CASB の機能としても脆弱な設定を検出してくれるものはありますが、特に IaaS や PaaS で複数のサービス、複数のアカウントを運用されている場合は、現在の設定がどのようになっているか、ポリシーに違反していないかを俯瞰的、継続的に確認できる CSPM の利用も選択肢の一つとなります。
製品が提供する様々なコンプライアンスに準拠したルールが利用できることや、カスタマイズ性の高いポリシー定義が可能なことから、自組織のポリシーに合わせた確認を最低限の労力で実施できるのも特徴です。
■ ログ管理
オンプレミス環境において重要なセキュリティ要素であるログ管理は、クラウド環境においても同様に、またはそれ以上に重要性を増していると言えます。
技術的な進歩による環境の変化の速度や、それに伴う攻撃手段の多様化もあり、特定のログだけを取得すれば良いというものではなく、メトリクスも含めてあらゆるリソースの状態を把握し、リアルタイム性の高い活用の手段とするよう考えていく必要があります。
一方でクラウドの大きな特性の一つである、必要な時に必要なだけリソースを確保して使用できるという側面は、クラウド時代のログ管理が求める要件と上手く適合しているととらえることも出来ます。
従来はオンプレミス環境で運用していた Security Information and Event Management (SIEM)をクラウド環境にリフトしたり、クラウド事業者が提供するログ管理機能を活用するといった、新たな時代に即したログ管理の姿に適応していくことが求められています。
■ アプリケーションの脆弱性の把握と対応
クラウド上に構築されたアプリケーションについても、オンプレミス環境と同様に脆弱性管理は重要と言えますが、アプリケーションの機能の一部をクラウド環境に依存するなどで、利用者側の責任の境界が曖昧になってしまうこともあります。
CI/CD パイプラインに脆弱性検査を組み込むなど自動化を推進すると同時に、アプリケーション診断も併用することで棚卸しを行い、状態の把握と適切な対応を行っていく必要があります。
● まとめ
クラウドサービスを利用する際に、利用者側として考える必要があるセキュリティ対策をどのように把握するか、またソリューションの一例をご紹介しました。
コラム執筆
株式会社インフォセック
白石 知之
● ソリューションのご紹介
インフォセックではお客様の環境や状況をみながらどういった対応が望ましいかご案内し、ソリューションの一例でご紹介した各カテゴリについてもサービスとしてご支援、可視化した内容やとるべき対策案についても分かり易く示していきます。
以下に「様々なソリューションの活用」にてインフォセックがご提供できるソリューション、サービスをご紹介させていただきます。
■ Cloud Access Security Broker (CASB)
ASBソリューションであるMcAfee MVISIN Cloudを、インフォセックの経験豊富なエンジニアが導入実績導入実績によるノウハウを活かし、導入から運用までをトータルでご支援するサービスを提供しています。
クラウドサービスを安全に利用する McAfee MVISION Cloud
■ Cloud Security Posture Management (CSPM) / クラウド事業者の提供する機能の活用
インフォセックでは、CSPMを用いてパブリッククラウドのセキュリティ設定を監査し改善案をご提示する「パブリッククラウド設定診断サービス」と、AWSの提供する機能であるGuardDutyの検知イベントを監視し対処を行う「GuardDuty監視サービス」の提供を予定しています。
■ ログ管理
Sumo Logic社MSSP(マネージドセキュリティサービスプロバイダー)パートナー契約を締結し、コストを抑えて付加価値の高いSIEMサービスを提供。
日本発、インフォセックがSumo LogicとMSSPパートナー契約締結クラウドSIEMを活用したソリューション開発で協業
■ アプリケーションの脆弱性の把握と対応
インフォセックの「ウェブアプリケーションセキュリティ診断」は、官公庁やメガバンクの金融アプリケーションからECサイト、業務アプリケーション、会員サイトまで幅広い診断経験を持つ専門家が攻撃者の視点で疑似攻撃を行い、ウェブアプリケーションに内在している脆弱性や問題点を洗い出します。
ウェブサイトやウェブアプリケーションの脆弱性を調査し、対策を取る
ウェブアプリケーション診断