クラウドのセキュリティポリシー、守られていますか?

2021/03/30
●ポリシー遵守状況の把握のためのクラウド利用の可視化
前回のコラムではクラウドサービスに配置する情報資産のアセスメントやクラウドサービスを利用するためのポリシー・ガイドラインの策定についてご紹介させて頂きました。
指針となるポリシー・ガイドラインに従ってクラウドサービスの利用を始めた後も、目標とするべき状態が現状においてどの程度守られているのか、また管理策が機能しているかを確認しながら運用を行い、もし乖離がある場合には、どうやってポリシーに近づけていくのかを検討していくことになります。
今回はそのためのステップとして、クラウドサービスの利用状況の把握について取り上げたいと思います。
●可視化する対象の検討
クラウドサービスを利用する際のセキュリティであっても、把握すべき対象は当該セキュリティサービスだけにとどまらず、利用者の環境を含めたより広い範囲で考える必要があります。
改めてポリシー策定の際に検討した経緯を踏まえながら、既存のセキュリティポリシーや準拠しているコンプライアンスと照らし合わせて、実態がどうなっているかを確認していくことになります。
例えば、 Cloud Security Alliance のクラウドコンピューティングのためのセキュリティガイダンスにおいては、焦点を当てるべき重要領域として、クラウドコンピューティングのコンセプトとアーキテクチャを示すドメイン 1 以降を以下の 13 の領域に分類して解説しています。
ガバナンスとエンタープライズリスクマネジメント
法的課題:契約と電子証拠開示
コンプライアンスと監査マネジメント
情報ガバナンス
管理画面と事業継続
インフラストラクチャ・セキュリティ
仮想化とコンテナ技術
インシデント対応、通知および被害救済
アプリケーションセキュリティ
データセキュリティと暗号化
アイデンティティ、権限付与、アクセスの管理 (IAM)
Security as a Service
関連技術
繰り返しにはなりますが、こうした領域の全てに対して新規にポリシーを定める必要はなく、多くの場合は既存のルールと矛盾がないように、ある部分については流用しながら作っていくことになります。
だからこそ、クラウドサービスに合わせて新規に作成した部分だけではなく、既存のものも含めてポリシーと現状とに乖離がないかを確認することが重要だと考えます。
またこうしたプロセスは、ポリシー策定後に一度だけ実施すれば良いものではなく、ギャップの解消が計画通りに進んでいるのか、何かしらの変更などにより新たな乖離が生じていないのか、継続的に実施を繰り返して把握する必要があります。
●継続的に可視化するためには
しかしこうした範囲について、一度に全て棚卸しするのは相応の労力を必要とします。
従って、ツール等の導入によって自動的に実行する、あるいはリアルタイムに監視する仕組みを作ることによって、効率良く実施することが、継続的な状況把握にもつながります。
ここでは主にクラウドサービスを対象とした比較的新しいカテゴリのツールについて、いくつか取り上げたいと思います。
■ CSPM (Cloud Security Posture Management) / CWPP (Cloud Workload Protection Platform)
CSPM は主に IaaS や PaaS を対象として現状の設定を取得し、予め定めたルールと照らし合わせて、違反や設定ミスがないか等をアラートとして出力するといった使い方が出来ます。
IaaS や PaaS の設定を実施した直後の確認に利用することも可能ですが、API 経由で常に最新の情報が得られる特性を活かし、アラートの発生から是正までのサイクルを短いスパンで回せるようになる効果もあります。
またマルチクラウドの利用が当たり前になってきた今日においては、複数の対象への俯瞰性が得られることもメリットとして考えられます。
上記のドメインであれば、主にインフラストラクチャ・セキュリティが対象となりますが、管理画面と事業継続で取り上げられている管理用ダッシュボードのセキュリティや、IAM の設定がポリシーで定めた通りに行われているかなどについても、全てではありませんが CSPM でカバー出来るでしょう。
■ CASB (Cloud Access Security Broker)
CASB の用途としては Shadow IT の把握が広く認知されてきており、ポリシー策定にあたって、まずは現状を認識するために利用されるケースも多々あります。
一旦ポリシーを定めた後も、適切な利用がなされているか、利用状況に変化がないかを引き続き確認していくためのツールとして使用されます。
また利用を許可した Sanctioned IT に対しても、主にユーザの利用状況や、データの取り扱いなどでポリシーに違反する使われ方がされていないかを把握し、違反した場合はアラートの通知や、API 連携による防止が可能なものもあります。
■ Secure Web Gateway / SASE (Secure Access Service Edge)
クラウドサービスの利用の多くは HTTP/HTTPS を通して行われるため、Web Proxy から得られる情報も CASB と相補的に活用することが出来ます。
URL フィルタリングやマルウェア検知などのセキュリティ対策機能を併せ持ち、拠点のみならずリモート環境からの接続も保護できるクラウド型の Secure Web Gateway として、また今日では更に CASB や ZTNA (Zero Trust Network Access)などの、ネットワークアクセスに必要な機能を包括した SASE (Secure Access Service Edge)として新たなカテゴリの整理がされつつあります。
こうしたツールにより、ポリシー準拠状況を把握すると同時に、望ましい状態への統制も行うことが出来ます。
今回取り上げたもの以外にも、EDR (Endpoint Detection and Response)やEPP (Endpoint Protection Platform)などから得られる情報で端末側状態の把握や、クラウドサービス自体が持つ監査機能など、他にも活用できるものは多々あります。
もちろん、ツールで全て完結するのであればそれに越したことはありませんが、実際にはそれだけではカバー出来ないものもあります。
例えとして適切ではないかもしれませんが、ロボット掃除機で日々の掃除をこなしつつ、定期的な大掃除もするように、ルーチンの中で適したものに上手くツールを組み込むことで、改善プロセスを回していくコストが下げられるのではないでしょうか。
●マネジメントサイクルを回していくために
クラウド利用の浸透に伴い、セルフサービスの実現のために様々な機能が提供されるようになりました。
可視化についても、そうした機能を組み合わせることで、従来であれば内部監査などを経て確認していたような内容についても、取得するハードルが下がったと考えることも出来ます。
それと同時に、計画の策定から実施、適合性の評価、改善といった一連のプロセスを回すサイクルも、より短いものとなっていきます。
近年分散システムの世界では、実際に運用している環境に対して部分的な障害を意図的に発生させることで問題を早期に発見し、より強靭なものへと改善していくカオスエンジニアリングの手法が、Netflix が AWS における大規模な EBS 障害を乗り切った事例などから注目を集めています。
コロナ禍におけるリモートワークの推進や様々なクラウドサービスの利用により、セキュリティにおいても対象を分散したシステムとして捉える必要があり、その中で望ましい状態を定義し、常に状態を監視しながら改善を繰り返すこうした手法には、取り入れるべきものが多いと感じています。
そのためにも、一連のセキュリティリスクマネジメントサイクルとして連携出来るように、自動的かつ継続的に利用状況を把握できる手段の整備は重要な位置づけとなります。
コラム執筆
株式会社インフォセック
白石 知之
●弊社サービスへのリンク
■ CASB 導入/運用支援
クラウドサービスを安全に利用する McAfee MVISION Cloud
■ ネットワークセキュリティログ監視サービス (PrismaAccess)
InfoCICネットワークセキュリティログ監視サービス
24時間365日リアルタイムでの不正アクセス検出サービス
■ MDRサービス