CSPMだけではクラウドのリスクを
排除しきれない
排除しきれない
株式会社マクニカ
ネットワークス カンパニー エンジニア
ネットワークス カンパニー エンジニア
野原 峰彦氏
一方、クラウド活用の進展により高まっているのがセキュリティリスクだ。クラウド環境におけるパッチの未適用や脆弱性の放置、アカウント設定の不備などは、マルウエア感染や情報漏洩の要因になる。そこで、多くの企業がCSPMを導入することで、クラウド環境のセキュリティー強化に努めている。
「IaaS、PaaSなどの状況を継続的に監視し、構成上の異常はないか、設定に不備はないかを自動的に評価・通知するCSPMの導入は、クラウドセキュリティー強化の第一歩として理にかなっています。APIで取得した情報を解析するため本番環境にも影響は与えません。これらの特徴が、多くの企業で評価されている理由でしょう」と、マクニカの野原 峰彦氏は話す。
しかし、それだけでクラウドセキュリティーは十分かというとそうではない。実際、CSPM導入済みの組織でも様々なインシデントが発生しているという。
例えば、通知された設定の誤りを見落としてしまい、クラウドストレージ上で顧客情報を外部公開してしまったケースはその一例だ。アイデンティティ管理システムのアクセスキーが不正利用され、Amazon S3上のデータが侵害された例もある。また、JavaScriptライブラリの1つであるReactのゼロデイ脆弱性を突いた攻撃なども起こっており、これらはCSPMだけで防ぐことは困難だ。
「設定の可視化に加え、データやアクセス権の付与状況の可視化、脆弱性の検知なども行わなければ真の意味のリスク低減は図れません。DSPM(Data Security Posture Management:データセキュリティー態勢管理)、CIEM(Cloud Infrastructure Entitlement Management:クラウドインフラ権限管理)、SCA(Software Composition Analysis:ソフトウェア構成分析)などをCSPMと併用することが、これからの時代のクラウドセキュリティーのポイントです」と野原氏は説明する。
アラートを絞り込み、
相関分析してリスクを可視化
相関分析してリスクを可視化
複数のツールを併用する場合は運用の効率化も考えなければならない。通知されるアラートが増えるため、単に導入しただけでは「何をどう直すべきか」「そもそも何がリスクなのか」を追いかけきれなくなってしまうからだ。
そこで有効なのが「Wiz」である。これはCSPM、DSPM、CIEM、SCAといった様々なクラウドセキュリティー機能を包括的に統合したプラットフォーム。パブリッククラウドにおける設定ミスや脆弱性の検出、脅威の可視化、コンプライアンスチェックを行うことで、クラウド上で構築・実行される多様なリソースを、ライフサイクルを通じて適切に保護することが可能だ。 「実行環境のほか開発環境の保護にも対応しているため、ソリューションジャンルとしては『CNAPP(Cloud-Native Application Protection Platform)』に位置付けられます。エージェントレスでクラウド環境全体を可視化し、個々のイベント情報を相関分析することでアラートを絞り込み、どう対処すべきかの提案までを行ってくれます」と野原氏は紹介する。
また、そもそもCSPM、DSPM、CIEM、SCAといった様々なツールが発報するアラートやログは、相関分析にかけることで真の価値を生むものだ。野原氏によれば、その関連性はオフィスビルのセキュリティーに例えられるという。具体的には以下のようなものだ。
これらのアラートを基に相関分析すると、部屋Aは「誰でも窓から入室でき、書庫のピッキング対策も古いもののため、売上や販売戦略データが容易に盗み出せる」状態であることが分かる。CSPMだけでは見えてこない適切な対処方法が、相関分析によって明らかになるのである。
「Wizは、様々なアラートやログを適切に整理した上で、相関分析によってリスクの実態を可視化・判定します。複数のアラートをつなぎ合わせることで、単体では見えにくい攻撃の兆候やリスクを加味して重要度付けを行うことが可能です。また、想定される攻撃経路も表示し、どのようなアクションを取るべきか提案もしてくれます。これにより、セキュリティー部門が多くの手間をかけることなく、重要度の高い問題に集中して対処できるようになるのです」と野原氏は強調する。
そこで有効なのが「Wiz」である。これはCSPM、DSPM、CIEM、SCAといった様々なクラウドセキュリティー機能を包括的に統合したプラットフォーム。パブリッククラウドにおける設定ミスや脆弱性の検出、脅威の可視化、コンプライアンスチェックを行うことで、クラウド上で構築・実行される多様なリソースを、ライフサイクルを通じて適切に保護することが可能だ。 「実行環境のほか開発環境の保護にも対応しているため、ソリューションジャンルとしては『CNAPP(Cloud-Native Application Protection Platform)』に位置付けられます。エージェントレスでクラウド環境全体を可視化し、個々のイベント情報を相関分析することでアラートを絞り込み、どう対処すべきかの提案までを行ってくれます」と野原氏は紹介する。
また、そもそもCSPM、DSPM、CIEM、SCAといった様々なツールが発報するアラートやログは、相関分析にかけることで真の価値を生むものだ。野原氏によれば、その関連性はオフィスビルのセキュリティーに例えられるという。具体的には以下のようなものだ。
■CSPMが通知する内容
「部屋Aが施錠されていない」「部屋内の書庫のカギは旧世代のままになっている」■DSPMが通知する内容
「部屋Aの書庫には売上と販売戦略に関わる情報が保管されている」■CIEMが通知する内容
「部屋Aの入室権限を持っている人はアカウントB」■SCAが通知する内容
「部屋Aの窓のカギは壊れている」これらのアラートを基に相関分析すると、部屋Aは「誰でも窓から入室でき、書庫のピッキング対策も古いもののため、売上や販売戦略データが容易に盗み出せる」状態であることが分かる。CSPMだけでは見えてこない適切な対処方法が、相関分析によって明らかになるのである。
「Wizは、様々なアラートやログを適切に整理した上で、相関分析によってリスクの実態を可視化・判定します。複数のアラートをつなぎ合わせることで、単体では見えにくい攻撃の兆候やリスクを加味して重要度付けを行うことが可能です。また、想定される攻撃経路も表示し、どのようなアクションを取るべきか提案もしてくれます。これにより、セキュリティー部門が多くの手間をかけることなく、重要度の高い問題に集中して対処できるようになるのです」と野原氏は強調する。
AIが提案してくれる
複数の対応策から選択可能
複数の対応策から選択可能
なお、システムや運用の弱点を見付けた場合、最良の対応は「弱点そのものを直す」ことである。しかし、これを実行する場合は、修正による他システムへの影響などをテストして検証する必要があるだろう。これには多くの時間と工数がかかるため、簡単には実行できないことが多いのが実情だ。
その点Wizでは、根本治療以外にも「暫定的にネットワークを分離する」「過剰な権限付与を削減する」といった当面の対応策や善後策もAIが提示してくれる。これが、リアルなセキュリティー運用の現場で高く評価される要因の1つだという。
アマゾン ウェブ サービスやMicrosoft Azure、Google Cloudなどのマルチクラウド環境を1つのダッシュボードで一元管理し、設定ミス、脆弱性、過剰権限、機密データ漏えいリスクなどを包括的に検出することも可能だ(図2)。特に複数のクラウドを使っている場合、「Microsoft Azureの公開インスタンスにGoogle CloudのCloud SQLキーが保存されており、そのインスタンスに深刻な脆弱性がある」といった状態も発生しうる。このような、クラウドをまたぐリスクを可視化できるのもWizの強みといえるだろう。 クラウドのリスク低減は、いまやあらゆる企業にとってのミッションとなっている。CSPMだけではなく、多様なツールのログを基にした相関分析で安全性を高めるために、Wizのようなツールを活用することは効果的だ。
「緊急性の高いリスクを、効率的につぶすことができれば、セキュリティー担当者のリソースに余裕ができ、継続的な運用改善も進めやすくなるはずです」(野原氏)。セキュアなクラウド運用を実現したい企業にとって、Wizは有力な選択肢の1つになるはずだ。
その点Wizでは、根本治療以外にも「暫定的にネットワークを分離する」「過剰な権限付与を削減する」といった当面の対応策や善後策もAIが提示してくれる。これが、リアルなセキュリティー運用の現場で高く評価される要因の1つだという。
アマゾン ウェブ サービスやMicrosoft Azure、Google Cloudなどのマルチクラウド環境を1つのダッシュボードで一元管理し、設定ミス、脆弱性、過剰権限、機密データ漏えいリスクなどを包括的に検出することも可能だ(図2)。特に複数のクラウドを使っている場合、「Microsoft Azureの公開インスタンスにGoogle CloudのCloud SQLキーが保存されており、そのインスタンスに深刻な脆弱性がある」といった状態も発生しうる。このような、クラウドをまたぐリスクを可視化できるのもWizの強みといえるだろう。 クラウドのリスク低減は、いまやあらゆる企業にとってのミッションとなっている。CSPMだけではなく、多様なツールのログを基にした相関分析で安全性を高めるために、Wizのようなツールを活用することは効果的だ。
「緊急性の高いリスクを、効率的につぶすことができれば、セキュリティー担当者のリソースに余裕ができ、継続的な運用改善も進めやすくなるはずです」(野原氏)。セキュアなクラウド運用を実現したい企業にとって、Wizは有力な選択肢の1つになるはずだ。
