• 会員限定
  • 2022/09/06 掲載

クラウドのセキュリティ対策の4ステップをガートナーが解説、ツールはどう使い分け?

記事をお気に入りリストに登録することができます。
クラウド利用が拡大する中、セキュリティ対策は企業経営にとっての最優先課題の1つと位置付けられまでになった。背景には、従来からのアプローチでは対応しきれないセキュリティ・リスクが生じていることがある。企業はクラウド・セキュリティへの対応をどう推し進めるべきなのか。クラウドセキュリティへの具体的な取り組み方、CASBやCSPM、CWPPなど無数にあるツール/ソリューションの使い分け方など、ガートナー シニア ディレクター,アナリストのチャーリー・ウィンクレス氏が解説する。

執筆:フリーライター 岡崎勝己

執筆:フリーライター 岡崎勝己

画像
クラウドは多様化し、そのことが新たなセキュリティ・リスクを招いている
(出典:Gartner(2022年7月))

クラウド利用の高度化に伴う新たなリスク

関連記事
 DXの掛け声の下、多くの企業がクラウド利用を加速させている。その形態も多様化が進み、既存アプリのクラウド移行を出発点に、リフト・アンド・シフト、クラウドネイティブなアプリ開発ためのコンテナ活用、さらに、先進企業ではサーバレスコンピューティングのための「fPaaS」――インフラ管理を伴うことなくアプリやサービスを構築/実行するための、サービスとしての機能プラットフォーム――の検討も本格化し始めている。

 しかし、「こうしたクラウド利用の進化が、従来手法ではカバーできないセキュリティの穴を生じさせています」と語るのは、ガートナー シニア ディレクター,アナリストのチャーリー・ウィンクレス氏だ。

photo
ガートナー シニア ディレクター,アナリスト
チャーリー・ウィンクレス氏

 たとえばコンテナ利用時のリスクの1つとしてウィングレス氏が挙げるのが、イメージ・レジストリの脆弱性や構造上の欠陥である。これらが残った状態で、SSHなどのサービスが起動するイメージを作成した場合、サービスがハッカーなどに悪用されかねない。また、アプリ実行時には、ランタイム、ツールやライブラリー、設定情報なども含めた構成全体のセキュリティ確保が必要だが、アプリが増えるほど見落としによる構成リスクも必然的に増してしまう。

「コンテナアプリはマイクロサービスの集合体で通信リスクも発生します。対応のためにネットワークのセグメント化が求められますが、それを柔軟性のある形で大規模に実行するのは決して簡単ではありません」(ウィンクレス氏)

 これらを踏まえ、クラウドネイティブなアプリのセキュリティ確保のためには、「ランタイム保護」「クラウド構成管理」「コンテナスキャン」などの機能による、目まぐるしく変わる環境への迅速対応に向けたDevSecOpsの取り組みが欠かせないのだとウィンクレス氏は解説する。

クラウド・セキュリティ対策の“4つ”のステップ

 クラウドの特性は種類ごとにさまざまだ。その中でのセキュリティ確保にあたっては、クラウド利用の狙いである“ビジネスでの成果”を念頭に次のステップを踏むべきとウィンクレス氏はアドバイスする。

画像
クラウドのセキュリティ確保は4つのステップを踏むのが基本となる。
(出典:Gartner(2022年7月))

 最初は、セキュリティ部門のスキル向上だ。具体的にはスキルを定義したうえでクラウド・セキュリティのトレーニングを実施し、クラウドベースの体制に移行していく。

 次いで、ビジネスの観点からセキュリティのために何が必要かを議論/共有したうえで、アーキテクチャに基づき技術的――どんなコンポーネントで何をデリバリーし、その保護で何が有効か――な検討に取り組む。最後が、適切なセキュリティ確保のための実装法の具体化である。

「このプロセスを経ずセキュリティツールを導入した場合、クラウドネイティブに起因する新たなリスクに気づけず、対策に漏れが生じがちなことに注意が必要です」(ウィンクレス氏)

 一方で、クラウド・セキュリティの検討にあたっては、クラウドの種類を問わず共通項も少なくないという。

 1つ目が、ユーザー認証とアクセス権の付与の基盤となる「ID(Identity)」の管理だ。ゼロトラストに代表されるIDによるアクセス制御は、IDに紐づくデータやポリシー拡充を通じて、より粒度が細かいものになりつつある。これは、認証のさらなる厳格化とユーザービリティの向上というメリットをもたらす一方で、ID管理の負担増という厄介な問題も招く。

 対応策となるのがID連携による統合レポジトリの整備だ。これにより個別運用よりも管理の手間を格段に削減できる。

「利用されないIDはセキュリティ・リスクの1つです。そこで、クラウド・インフラストラクチャ・エンタイトルメント管理(CIEM)によるID監査を通じて、それらの検出/削除にも取り組みます」(ウィンクレス氏)

【次ページ】クラウド保護ツールの活用スキルの習得が急務に

関連タグ

あなたの投稿

関連コンテンツ

政府関連サイトがダウン、「宣戦布告」も…過剰反応は「低レベル」ハッカーの思うツボ

 NICTが観測を行っているダークネットというのは、グローバルIPアドレスが割り振られているが、サーバーとかWEBシステムなどの基幹系システムや組織内や組織外向けのサービスが稼働しているわけでもない。とくに何か業務目的のシステムが稼働しているわけではない、という意味での未使用のIPアドレスが割り当てられたネットワーク。IPアドレス自体は非公開だが、仮にこれらのIPアドレスに対してpingを送っても応答しないし、nmapでスキャンをしても何かのopenポートの情報を返してくれるわけでもないので何の面白味もない。いわゆる第三者がアクセスや侵入前の事前調査などの諜報行為を行ってもシステムが応答しない、例えるのならば、いくら強く打っても音が響かない鐘のようなIPアドレスで構成されたネットワーク。パケットを送ったら送りっぱなしで何も返ってこない、例えるならパケットに対してのブラックホールのようなもので光のささない暗闇のようなネットワークなので『ダークネット』とよんでいる。
 NICTではサイバーアタックの傾向を伺い知ることや予兆を捉えるためにこれらのIPアドレスを用いてどのような通信パケットが送られたかの情報を収集するためにセンサーのようなものを設置している。
 アクセスしている第三者からすれば世間に対して非公開のIPアドレスで構成されたネットワークなので、VPNや社内ポータルサイトなどの組織の内部者向けの非公開システムと期待して不正アクセス等の何某かの悪意を持ってアクセスを試みる。とりあえず日本に割り当てられたIPアドレスに手当り次第攻撃してくると云うよりは、どこかの組織の非公開のシステムという目論見でセキュリティ突破を期待してピンポイントで狙って来ている。実際にダークネットに送られてきたパケットを観察すると、わざわざ検知されにくいようにハーフコネクトスキャンを行ってきているのはスクリプトキディのような素人っぽさが感じられないなどの攻撃者側の意図が読みきれない不気味さがあったりする。これらの事から実践で使える力量を持った攻撃者による中級レベル程度には洗練された攻撃と想定される。
 非公開ネットワークに偽装したダークネットではなく、一般的なインターネットに視点を向けてみるとあまり変化がない。例えば、JPCERT/CCが公開しているTSUBAME(インターネット定点観測システム)(https://www.jpcert.or.jp/tsubame/)の観測結果を観ると、7月末ころをピークに右肩下がりにSSHアクセスの件数は減っている。
 KILLNETが9/7に日本政府に対して宣戦布告のメッセージを発信した後の2,3日は多少アクセス数は増えているが倍増というわけではなかった。多少は増えているけども4月ー6月の方が多いので他の月との大きな差異はなかった。脅威インテリジェンス系の情報をリアルタイムで提供しているサイト(https://www.itbook.info/web/2015/02/世界中のddos攻撃の状況をリアルタイムにビジュア.html)はいくつかあるが、各々のサイトで公開している情報を比較参照してもロシア国内から日本国内へのネットワークに対する攻撃がとりわけ多いということもなく、むしろ想像していたものよりも少なかった。いくつかDDOS攻撃で一時的に停止したWEBサイトはあるが、日本国内のネットワーク全体としては宣戦布告した割には影響が小さかったような気がする。

PR

処理に失敗しました

トレンドタグ

おすすめユーザー

会員登録で動画、資料に使えるホワイトペーパー、オンラインセミナー年間500本など、会員限定記事が​閲覧できる!​

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます