「クラウドセキュリティ」を進める上で押さえるべきポイント-セキュリティブログ
- 2021/4/28
- ナレッジ, 情シス知恵袋
- Trend Micro, おさえておくべきポイント, クラウドセキュリティ
- 「クラウドセキュリティ」を進める上で押さえるべきポイント-セキュリティブログ はコメントを受け付けていません
クラウドセキュリティと聞いて、何をすべきか考えた場合、以下の2点のような疑問が湧いたことはないだろうか。
- クラウドビルダーが担うセキュリティにおける責任とは何か?
- クラウド上でセキュリティをどのように維持していくべきか?
トレンドマイクロでは、クラウドセキュリティにおける主要な概念および柔軟かつ包括的なセキュリティ対策を講じるべき領域について解説したレポートを公開している。
今回はこのレポートを元にクラウドセキュリティにおける基本的な考え方について紹介したい。
この記事の目次
知っておくべき「クラウドセキュリティの基本」
世界中の企業組織は、現在使用できる多種多様なクラウド技術基盤の利用、クラウド環境への移行、あるいはクラウドに関する知識やスキルの習得を開始することで、独自のいわゆるデジタルトランスフォーメーション(DX)市場への取り組みを進めている。
最高セキュリティ責任者(CSO)やクラウドITチーム、あるいは管理者にとって、特定の展開モデルにおけるクラウドコンピューティング環境のセキュリティ管理は、実のところ骨の折れる作業となる場合がある。
これは、クラウドサービスの使いやすさや柔軟性に加え、構成や環境設定の変更が任意で行えることが要因と考えられる。
クラウド管理者には自身の所属・担当する企業が、どのようにクラウドを利用していくか深く理解しておくことが必要であり、それがあってこそ強制力のある役割やアカウンタビリティ(利用責任)を相関させた適切なセキュリティポリシーと標準規定を割り当てることが可能になる。
また、従来型のネットワークベースに用いられる境界型セキュリティ技術や仕組みは、そのままではクラウドに移行することができないし、さらに、クラウドネイティブにおけるセキュリティ概念や構成についても考える必要がある。
だからといって、難しく考える必要もない。ネットワーク管理者が直面するセキュリティ上の課題は、以下の通り大半は共通である。
- どのようにネットワークへの不正アクセスを防ぎ、データ侵害を回避できるか
- どのようにアップタイムを確保できるか
- どのように通信を暗号化し、クラウド環境利用者の認証を実施できるか
- どのような対策を講じれば、開発したアプリケーション内で簡単に脅威を検知し脆弱性を検出できるか
トレンドマイクロではこれらの課題を考察した上で、クラウドユーザはどのような点に留意してクラウドセキュリティを講じる必要があるのかをまとめている。
まずは”責任共有モデル”について理解する
クラウドサービスの提供元であるプロバイダの責任下にある「クラウド環境のセキュリティ」に対して、ユーザの責任下にある「クラウド内のセキュリティ」という概念は、Amazon Web Services(AWS)によって一般化されてきた。
これは、クラウドセキュリティとコンプライアンスにおいてベンダとユーザが各々で担う「共有された責任」の上での責任範囲の所在について明確化するためである。
ベンダは主にクラウドサービスを構築する物理インフラ設備およびネットワークインフラに関する「クラウド環境のセキュリティ」に対しての責任を担っている。次に、ユーザが担う「クラウド内のセキュリティ」については、ユーザによって利用登録された特定のクラウドサービスに応じてスライディングスケールが適用されることで、ユーザが担うべきセキュリティにおける直接責任の範囲が決定する。
クラウド環境を構築する物理インフラ設備から、クラウド内で作成、処理、保存されたデータに至るまで、以下のようなさまざまなクラウドサービスモデルが提供されている。
- サービスとしてのインフラストラクチャ(IaaS)
- サービスとしてのプラットフォーム(PaaS)
- サービスとしてソフトウェア(SaaS)
具体的には、Google App Engine、Microsoft Azure Web Apps、AWS LambdaなどのPaaSを実装するサービスを利用する際、開発者はリソースを購入することで、ソフトウェアの作成、テスト、実行が可能になる。
通常これに伴い、ユーザはアプリケーションやデータにおける責任を担う一方、ベンダはコンテナインフラやオペレーティングシステム(OS)を保護する責任と義務を負っている。
前述の通り、取得した特定のサービスに応じてさまざまな程度の責任と義務が生じることから、より詳細な内容部にて違いが出る場合がある。
【出典:トレンドマイクロ「すぐわかるクラウドセキュリティ」】
クラウドセキュリティは、クラウドプロバイダが提供するサービスの一部である。これは、ベンダとユーザ間で取り決められたサービスレベル契約(SLA)を含む契約上の合意と義務の履行により保証される。
稼働統計時間や遅延時間などのパフォーマンス測定基準や、発生が懸念される問題の解決方法に対するユーザの期待値に加え、文書化されたセキュリティ機能、そしておそらくパフォーマンス低下時における罰則も含め、許容可能な基準設定を通じて当事者双方によって通常は管理されている。
では、多くのクラウドユーザが認知すべき、ユーザの責任下にある「クラウド内のセキュリティ」における課題、脅威、およびその他対策を講じるべき領域とはどのようなものがあるのだろうか。
クラウドセキュリティにおける主な課題
企業は、企業活動における要件の一部をクラウドへと移行している、あるいはすべての開発・運用業務をクラウド内で実施する「クラウドネイティブ」を実践している、さらに成熟したクラウドベースのセキュリティ戦略を既にもっているなど様々な段階がある。
企業がクラウド環境への取り組みに対してどの段階にあるかに関係なく、クラウド管理者は、脆弱性管理の実施、重要なネットワークイベントの識別、インシデント対応の実行、脅威インテリジェンスの収集・対処などのセキュリティ運用を管理できる必要がある。
また、関連する業界標準に準拠させるとともにコンプライアンスにも従った上で、クラウド環境を維持していく必要もある。
複雑さの管理
クラウド環境は、オンプレミスネットワークのセキュリティインフラ設備にアクセスすることはできない。
プライベートやパブリッククラウドなど異なる環境が混合するハイブリッドクラウド内のサービスにおいては、結合性の高いセキュリティ対策を見つけることが困難である。
このため多くのクラウド管理者は常日頃からハイブリッド環境の安全性を確保する方法について頭を悩ませていることだろう。
この複雑さは、特定のクラウド実装戦略に応じてクラウドコンピューティング内のリスクが異なるという現実にある。
これは、クラウドユーザ特定のニーズ、リスク選好度、およびユーザの許容可能なリスクレベルに依存している。
このためクラウド環境のリスク評価は、公開されているベストプラクティスやコンプライアンスからは多くの情報を得ることが難しい重要な課題である。
しかしながらコンプライアンスガイドラインは、リスクに関する適切な質問を提起する際に役立つベースラインまたはフレームワークとして機能する。
可視化によるセキュリティの確保
クラウドサービスへの加入の容易さにより、組織内部でのやり取りの速度に拍車がかかっている。このため、これらのサービスを導入する際の決定権は、いつからかIT部門の範囲外となっている。
にもかかわらず、IT部門は、クラウドを利用して開発されたアプリのセキュリティにおける責任を負う。
このような課題については、効率的な移行や開発運用を維持しながら、ITがクラウド内のすべてのやり取りを監視しセキュリティ保護を確保できるよう対策を講じる必要があるといえよう。
クラウド内におけるセキュリティリスクと脅威
クラウドユーザによる設定ミスは現在もクラウドセキュリティ内における最も一般的な弱点である。
これは、クラウドユーザ自身がクラウドインスタンスまたはサービスを設定した場合、重要な設定を見落としたり、あるいは安全でない設定に変更したりする傾向があることを示唆している。
攻撃者にこれらの設定ミスを発見された場合、さまざまな不正活動に利用される可能性があり、実際にそのようなトラブルも多いと聞く。
例えば、特定の組織あるいは別の企業内ネットワークへ侵入するための足掛かりとして実行される「高度な標的型攻撃」が挙げられる。設定ミスとは別に攻撃者は、詐取した認証情報や不正コンテナ、あらゆる階層型ソフトウェアの脆弱性を介してクラウド環境への侵入を可能にする。
実際の攻撃は、金銭的またはその他の方法で組織に損失をもたらす結果となる。
参考までに企業に影響を与える可能性のあるクラウドベースの攻撃は、以下のようなものがある。
クリプトジャッキング
攻撃者は企業のクラウドコンピューティング処理能力を盗用して不正に暗号資産発掘活動を実行する。これによりPCのリソースが占有される、あるいはネットワークトラフィック量の増加により企業に請求されるインターネット接続料金が高額となる可能性がある。
Eスキミング
攻撃者は企業の電子商取引(eコマース)サイトにアクセスし不正コードを挿入することで、ユーザが入力した支払い情報を窃取する。これによりユーザは大きな損害を被る可能性があり、最終的には企業の評判を大きく低下させる恐れがある。
データ変更、侵害、損失、あるいはデータ漏えいにつながる不正アクセス
不正アクセスは、さまざまな攻撃者の最終目的に沿って実行される。例えば、ダークWeb内で顧客情報を販売するために企業のデータベースへアクセスしたり、機密情報を窃取したりするなどが該当する。
クラウド内で保護するべき領域とは?
クラウドビルダーは構築するクラウド環境に基づいた要件の詳細を把握する際、初期段階からセキュリティ対策を組み込めるようクラウド環境を設計する機会を十分に設けて前述の脅威やリスクを回避する必要がある。以下に挙げる各領域を保護することで、現在および未来に利用するクラウド環境のセキュリティを確保することができる。
- ネットワーク(トラフィックの検査、仮想パッチ)
- クラウドインスタンス(実行時のワークロードセキュリティ)
- DevOps(コンテナ・セキュリティ)
- アプリケーション(サーバレス、API、Webアプリ)
- ファイルストレージ
- 適合性とガバナンス
各領域についての詳細はレポートを参照頂きたい。
クラウドにおけるセキュリティ技術
クラウド環境内には非常に多くの可動部が存在するため、クラウドセキュリティ戦略を検討する企業は、マルウェア対策は元より、不正侵入検知/ 防止システム(IPS/IDS)から脆弱性管理、事後対処であるEndpoint Detection and Response(EDR)に至るまで、必要なセキュリティ技術の合理化に目を向ける必要がある。
セキュリティ対策全体としては、ITのデータ分析の基礎として常時利用されるツールやダッシュボード、詳細ウィンドウの使用を最小限に抑制する必要がある。これと同時に、企業のクラウド運用全体の曖昧となったネットワーク境界を確実に視覚化できるようにする必要がある。
これは開発者1人による、オンザフライ方式を用いた解析ツール開発活動がITによって認可されている場合も同様である。
トレンドマイクロでは、これらのニーズに対応するサービス展開を行っており、興味のある方はそちらも参考にして欲しい。
本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース:https://blog.trendmicro.co.jp/archives/27620?_ga=2.225044946.934829811.1619610300-487246178.1573718329
関連記事
