クラウド利用が加速する中で、同時に増えているのが、クラウドからの情報漏洩です。サイバー攻撃を原因とするものも多い一方で、利用者側の設定ミスによる情報漏洩も増加しています。
ここ数年、こうした状況を改善するために多くのルールが制定され、2024年3月には総務省より「クラウドの設定ミス対策ガイドブック」が公開されました。このガイドブックは、2022年10月に同じく総務省が公開した「クラウドサービス利用・提供における適切な設定のためのガイドライン」をわかりやすく解説することで、このガイドラインがより広く活用されることを目的に作成されました。
出典:総務省ホームページ(2024年5月2日参照)
今回公開されたガイドブックはわかりやすくまとめられてはいますが、より確実で効果的なクラウドの設定ミス対策を実現するためには、こうした対策を検討する上で大前提であるがゆえに明記されていない取り組みが必要です。重要なのは、クラウドの利用状況を適切に把握すること、つまり可視化です。実際に、適切なモニタリングと可視化を行うことで、未然にリスクを防ぎ、迅速に対処することが可能となります。
このブログでは、クラウド環境全体を可視化することの重要性と具体的な実施方法を紹介するとともに、クラウド環境での効果的な設定ミス対策の実現方法について、ガイドブックのベースとなったガイドラインが制定された2022年10月以降の最新の状況を踏まえた解説を行います。
クラウドの設定ミス対策検討における可視化の重要性
適切な対策の実現のためには、現状の可視化が必要不可欠です。
これはセキュリティ対策に限った話ではなく、どんな決断・判断を行うにしても、そのための情報が必要です。そして、適切な決断・判断を下すためには、その情報が正確であることが重要です。
クラウドの設定ミス対策を考える際も、組織が利用するクラウドの全体像を正確に把握する必要があります。つまりクラウド環境全体の「可視化」が重要であるということです。
例えば、最近公開されたガイドブックでは、設定ミス対策を4つの観点から解説していますが、ツールの導入だけでは不十分であり、実際の運用とセットで対策を検討することが必要と記載されています。実際にガイドラインに沿って自組織の状況と照らし合わせることで、効果的な対策が可能でしょう。
出典:「クラウドの設定ミス対策ガイドブック」(総務省) 22ページ目より(2024年5月2日参照)
しかし、クラウドの利用状況についての全体像を正確に把握する仕組みがなければ、実際の運用に即したルールや体制を整えることは困難です。クラウドサービスはその便利さから、組織内での利用状況は日々変化するものであり、管理者の知らないところで非公式に利用される「シャドーIT」の問題も発生します(ガイドラインの27ページ目、コラムに関連記載あり)。
組織がクラウドをどのように利用しているかを正確に把握することで、どの部署が、どのクラウドを、どのぐらいの頻度で、どのように活用しているのか、が明らかになります。実際のビジネスシーンでは、さらに費用対効果や将来の展望など多角的な情報が必要ですが、これらの情報が整理されることで、安全な運用のために必要なルールの検討、運用体制の整備、人材の確保、運用手順の策定、必要なツールの導入検討が可能となります。
ここからは、クラウド環境の可視化と設定ミス対策について、SaaSおよびIaaS/PaaS向けの対策をそれぞれ紹介していきます。
SaaSの可視化と設定ミス対策
まずはSaaS向けの対策について紹介します。
SaaSの可視化:CASB/SSE/SASE
世界中で数万にも及ぶSaaSが提供されており、これらを一つ一つ手作業で確認し管理するのは非現実的です。ここで重要な役割を果たすのが、CASB(Cloud Access Security Broker)ソリューションです。このソリューションは、最近ではSASE(Secure Access Service Edge)やSSE(Security Service Edge)のような他のセキュリティソリューションと統合されることが増えています。
※CASBはガイドブック内においても設定ミス対策における重要な3つのツールの1つとして記載されています。
関連記事:CASBとは何か?基本を解説【2024年版】
関連資料:CASBとは?なぜ必要なのか、何ができるのか徹底解説
組織内のインターネットアクセスのハブとしてインラインで機能するCASBを活用することで、すべてのインターネットトラフィックが監視されます。これにより、組織内で活用されているSaaSを特定し、その利用状況を可視化することが可能です。さらに、CASBは制御機能も持ち合わせており、SASEやSSEのWebフィルタリング機能などと組み合わせることで許可されていないSaaSへのアクセスをブロックすることもできます。
SaaSの設定ミス対策:SSPM
組織が利用しているSaaSの設定ミスを検出するための重要なツールがSSPM(SaaS Security Posture Management)ソリューションです。APIを通じて各SaaSの設定を抽出し、それをCIS(Center for Internet Security)やNIST(National Institute of Standards and Technology)のガイドライン、各SaaSベンダーが提供するベストプラクティスと比較します。これにより、推奨されていない設定や設定ミスを効率的に特定することができます。ガイドブック内においても設定ミス対策における重要な3つのツールの1つとして記載されています。
ただし、SSPMの能力は提供ベンダーによって異なります。特に日本固有のSaaSへの対応が遅れている外国製のソリューションがあるため、利用前には十分な検討が必要です。また、SSPMはシャドーITの発見には対応していないため、組織内の未認証のSaaS利用を特定するためには、可視化ツールとの併用が効果的です。
IaaS/PaaSの可視化と設定ミス対策
続いてIaaS/PaaS向けの対策について紹介します。SaaS同様、IaaS/PaaS環境に対する対策も重要です。
IaaS/PaaSの可視化:CNAPP (CSPM/CWPP/CIEM等)
従来は物理データセンター上にオンプレミスで構築されていた組織の内部システムやサービス基盤が、現在ではIaaS/PaaSを利用したクラウドデータセンターとして構築されることが一般的になっています。このようなクラウドデータセンター環境を効果的に管理するためには、クラウド内の資産、クラウド機能、アカウント設定、ネットワーク設定などの詳細な可視化が必須です。
こうしたIaaS/PaaS環境の可視化を実現するのが、CNAPP(Cloud Native Application Protection Platform)です。CNAPPは、下記の複数のクラウドセキュリティ機能を統合提供するソリューションとして定義されています。
- Cloud Security Posture Management (CSPM):クラウド基本設定を可視化
- Cloud Workload Protection Platform (CWPP):クラウド資産の可視化と制御
- Cloud Infrastructure Entitlement Management (CIEM):クラウド環境で利用されるアカウント関連情報を可視化
CNAPPソリューションは、セキュリティだけでなく、マルチクラウド環境全体の一元管理が可能であるため、クラウドの運用管理部門や現場の各部門にも利用されています。これにより、クラウド環境内で発生したさまざまなインシデントへの迅速な対応や、日々のクラウド運用における効率的なリソース管理が実現できます。
ただし、CNAPPの市場は新しく、提供ベンダーによる機能差が大きいため、選定には慎重な検討が求められます。また、IaaS/PaaSを提供するクラウドサービスプロバイダが可視化オプションを提供しており、これも選択肢の1つです。しかしマルチクラウド対応や、ツールを扱うために高度なスキルが必要とされるなど、ネイティブ機能の利用についても慎重な検討が必要です。
IaaS/PaaSの設定ミス対策:CNAPP/CSPM
CSPMは、CNAPPソリューションに含まれる機能の一つであり、API連携によりIaaS/PaaSの設定情報を抽出し、セキュリティガイドラインや各クラウドプロバイダのベストプラクティスと比較することで、設定ミスを特定します。このアプローチにより、セキュリティリスクを効率的に管理し、設定ミスから生じる問題を予防することができます。
ただし、CSPMは設定の監視に特化しており、全てのクラウドリスクをカバーするわけではありません。クラウドリスクへの対応のためには、CWPPやCIEMといった他のソリューションと組み合わせることで、設定ミス対策を含む、より包括的なクラウドリスク対策を実現することが重要です。
現状想定されるさまざまなセキュリティリスクに対して単一のソリューションで対策を実現するためにはCNAPPソリューションを選択肢として検討することが効果的です。
<クラウドリスクへの対策例>
ガイドラインでは、「米国の専門機関が公表した設定ミスのトップ10」が引用されており、これらの具体的なリスクに対してCSPMがどの程度有効であるかを示すことができます。
出典:「クラウドの設定ミス対策ガイドブック」(総務省) 11ページ目より(2024年5月2日参照)
※実際には⑨認証情報の管理不備、⑩無制限のコード実行を合わせた10項目です。
参照:https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a
(2024年5月2日参照)
この10項目は、広義の設定ミスとして実際に問題となっている”クラウドリスク”について記載がされています。
CSPMはクラウド環境内で提供される各機能の設定をチェックするものであるため、例えば①の課題については一般的なCSPMソリューションを活用して対策ができます。一方で、③や⑦の課題に対しては一部対策の実現が可能ですが、それ以外の課題に対しては対策を実現できません。
同様にそれぞれCWPP、CIEMなどでカバーできる範囲は異なります。そのため、複数のクラウドサービスの組み合わせや、CNAPPのような複数の機能を一元提供するソリューションを活用することが重要となっています。
まとめ
実際に情報漏洩の被害報告が増加している今、多くのガイドラインやガイダンスが制定され、クラウドセキュリティ対策の強化が組織にとってますます重要な課題となっています。
SaaS管理においてはCASBの活用が広まり、一方でIaaS/PaaSにおいてはCSPMが設定ミス対策として昨今では多くの組織の関心を集めています。しかしこのブログを通して紹介したように、実際に重要なのは正確な可視化と適切な対策の実現です。特にIaaS/PaaS環境に対しては、まだまだ可視化に課題があり、この実現がクラウドへの対策として急務です。
弊社では、CASBを含むSASE機能を一体化したCato Networks社製品や、CNAPP機能を提供しIaaS/PaaS環境内のIT資産管理や設定チェックに特化したクラウド運用管理プラットフォームであるOrca Security製品の取り扱いがあります。
クラウド運用や設定ミス対策、クラウドリスク対策にお悩みの方、ご興味がある方はぜひ弊社までお問い合わせください。
Orca SecurityでCNAPPを実現
弊社では、このガイドラインで求められている機能を含め、クラウドセキュリティに必要な機能を一括で提供するソリューションとして、Orca Security社のOrcaプラットフォームを取り扱っています。
Orcaプラットフォームは、AWS、Microsoft Azure、GCP、OCI(Oracle Cloud Infrastructure)、Alibaba Cloudの5つの主要なパブリッククラウド環境を対象に、皆様の日々のクラウド運用やセキュリティ管理を、単一のダッシュボードで、しかもエージェントレスで簡単に実現することができます。シャチ(Orca)が獲物を探す際に使うエコーロケーションのように、OrcaはAPI連携によるスキャンを通じて、常に変化するクラウド環境内に潜む脆弱性や不適切といったセキュリティリスクを発見します。
特に注目すべきは、CSPM、CWPP、CIEM、KSPM、CDRなど、クラウドセキュリティに必要な機能を一つのプラットフォームで提供する点です。これにより、Orcaは**CNAPP(Cloud Native Application Protection Platform)**として、包括的なクラウドセキュリティ対策を実現し、複数のツールを使い分ける必要がなくなります。これにより、クラウド上のあらゆるセキュリティリスクを効果的に発見し、対応することが可能です。
弊社ではOrcaプラットフォームの販売や導入サポートに加え、無償のアセスメントサービスを期間限定で提供しています。Orcaの力を体験してみたい方は、ぜひお気軽にお問い合わせください。
