「クラウドの設定ミス対策ガイドブック」には書かれていない
クラウド可視化と設定ミス対策の実現方法とは？

クラウド利用が加速する中で、同時に増えているのが、クラウドからの情報漏洩です。サイバー攻撃を原因とするものも多い一方で、利用者側の設定ミスによる情報漏洩も増加しています。

ここ数年、こうした状況を改善するために多くのルールが制定され、2024年3月には総務省より「クラウドの設定ミス対策ガイドブック」が公開されました。このガイドブックは、2022年10月に同じく総務省が公開した「クラウドサービス利用・提供における適切な設定のためのガイドライン」をわかりやすく解説することで、このガイドラインがより広く活用されることを目的に作成されました。

出典：総務省「「クラウドの設定ミス対策ガイドブック」の公表」https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00209.html（2024年5月2日参照）

今回公開されたガイドブックはわかりやすくまとめられてはいますが、より確実で効果的なクラウドの設定ミス対策を実現するためには、こうした対策を検討する上で大前提であるがゆえに明記されていない取り組みが必要です。重要なのは、クラウドの利用状況を適切に把握すること、つまり可視化です。実際に、適切なモニタリングと可視化を行うことで、未然にリスクを防ぎ、迅速に対処することが可能となります。

このブログでは、クラウド環境全体を可視化することの重要性と具体的な実施方法を紹介するとともに、クラウド環境での効果的な設定ミス対策の実現方法について、ガイドブックのベースとなったガイドラインが制定された2022年10月以降の最新の状況を踏まえた解説を行います。

クラウドの設定ミス対策検討における可視化の重要性

適切な対策の実現のためには、現状の可視化が必要不可欠です。

これはセキュリティ対策に限った話ではなく、どんな決断・判断を行うにしても、そのための情報が必要です。そして、適切な決断・判断を下すためには、その情報が正確であることが重要です。

クラウドの設定ミス対策を考える際も、組織が利用するクラウドの全体像を正確に把握する必要があります。つまりクラウド環境全体の「可視化」が重要であるということです。

例えば、最近公開されたガイドブックでは、設定ミス対策を４つの観点から解説していますが、ツールの導入だけでは不十分であり、実際の運用とセットで対策を検討することが必要と記載されています。実際にガイドラインに沿って自組織の状況と照らし合わせることで、効果的な対策が可能でしょう。

出典：総務省「クラウドの設定ミス対策ガイドブック」22ページ目より
https://www.soumu.go.jp/main_content/000944467.pdf（2024年5月2日参照）

しかし、クラウドの利用状況についての全体像を正確に把握する仕組みがなければ、実際の運用に即したルールや体制を整えることは困難です。クラウドサービスはその便利さから、組織内での利用状況は日々変化するものであり、管理者の知らないところで非公式に利用される「シャドーIT」の問題も発生します（ガイドラインの27ページ目、コラムに関連記載あり）。

組織がクラウドをどのように利用しているかを正確に把握することで、どの部署が、どのクラウドを、どのぐらいの頻度で、どのように活用しているのか、が明らかになります。実際のビジネスシーンでは、さらに費用対効果や将来の展望など多角的な情報が必要ですが、これらの情報が整理されることで、安全な運用のために必要なルールの検討、運用体制の整備、人材の確保、運用手順の策定、必要なツールの導入検討が可能となります。

ここからは、クラウド環境の可視化と設定ミス対策について、SaaSおよびIaaS/PaaS向けの対策をそれぞれ紹介していきます。

SaaSの可視化と設定ミス対策

まずはSaaS向けの対策について紹介します。

SaaSの可視化：CASB/SSE/SASE

世界中で数万にも及ぶSaaSが提供されており、これらを一つ一つ手作業で確認し管理するのは非現実的です。ここで重要な役割を果たすのが、CASB（Cloud Access Security Broker）ソリューションです。このソリューションは、最近ではSASE（Secure Access Service Edge）やSSE（Security Service Edge）のような他のセキュリティソリューションと統合されることが増えています。
※CASBはガイドブック内においても設定ミス対策における重要な３つのツールの１つとして記載されています。

関連記事：CASBとは何か？基本を解説【2026年版】
関連資料：CASBとは？なぜ必要なのか、何ができるのか徹底解説

組織内のインターネットアクセスのハブとしてインラインで機能するCASBを活用することで、すべてのインターネットトラフィックが監視されます。これにより、組織内で活用されているSaaSを特定し、その利用状況を可視化することが可能です。

さらに、CASBは制御機能も持ち合わせており、SASEやSSEのWebフィルタリング機能などと組み合わせることで許可されていないSaaSへのアクセスをブロックすることもできます。

SaaSの設定ミス対策：SSPM

組織が利用しているSaaSの設定ミスを検出するための重要なツールがSSPM（SaaS Security Posture Management）ソリューションです。
APIを通じて各SaaSの設定を抽出し、それをCIS（Center for Internet Security）やNIST（National Institute of Standards and Technology）のガイドライン、各SaaSベンダーが提供するベストプラクティスと比較します。これにより、推奨されていない設定や設定ミスを効率的に特定することができます。ガイドブック内においても設定ミス対策における重要な３つのツールの１つとして記載されています。

ただし、SSPMの能力は提供ベンダーによって異なります。特に日本固有のSaaSへの対応が遅れている外国製のソリューションがあるため、利用前には十分な検討が必要です。また、SSPMはシャドーITの発見には対応していないため、組織内の未認証のSaaS利用を特定するためには、可視化ツールとの併用が効果的です。

IaaS/PaaSの可視化と設定ミス対策

続いてIaaS/PaaS向けの対策について紹介します。SaaS同様、IaaS/PaaS環境に対する対策も重要です。

IaaS/PaaSの可視化：CNAPP (CSPM/CWPP/CIEM等)

従来は物理データセンター上にオンプレミスで構築されていた組織の内部システムやサービス基盤が、現在ではIaaS/PaaSを利用したクラウドデータセンターとして構築されることが一般的になっています。このようなクラウドデータセンター環境を効果的に管理するためには、クラウド内の資産、クラウド機能、アカウント設定、ネットワーク設定などの詳細な可視化が必須です。

こうしたIaaS/PaaS環境の可視化を実現するのが、CNAPP（Cloud Native Application Protection Platform）です。CNAPPは、下記の複数のクラウドセキュリティ機能を統合提供するソリューションとして定義されています。

• Cloud Security Posture Management (CSPM)：クラウド基本設定を可視化
•  Cloud Workload Protection Platform (CWPP)：クラウド資産の可視化と制御
•  Cloud Infrastructure Entitlement Management (CIEM)：クラウド環境で利用されるアカウント関連情報を可視化

CNAPPソリューションは、セキュリティだけでなく、マルチクラウド環境全体の一元管理が可能であるため、クラウドの運用管理部門や現場の各部門にも利用されています。これにより、クラウド環境内で発生したさまざまなインシデントへの迅速な対応や、日々のクラウド運用における効率的なリソース管理が実現できます。

ただし、CNAPPの市場は新しく、提供ベンダーによる機能差が大きいため、選定には慎重な検討が求められます。また、IaaS/PaaSを提供するクラウドサービスプロバイダが可視化オプションを提供しており、これも選択肢の１つです。しかしマルチクラウド対応や、ツールを扱うために高度なスキルが必要とされるなど、ネイティブ機能の利用についても慎重な検討が必要です。

IaaS/PaaSの設定ミス対策：CNAPP/CSPM

CSPMは、CNAPPソリューションに含まれる機能の一つであり、API連携によりIaaS/PaaSの設定情報を抽出し、セキュリティガイドラインや各クラウドプロバイダのベストプラクティスと比較することで、設定ミスを特定します。このアプローチにより、セキュリティリスクを効率的に管理し、設定ミスから生じる問題を予防することができます。

ただし、CSPMは設定の監視に特化しており、全てのクラウドリスクをカバーするわけではありません。クラウドリスクへの対応のためには、CWPPやCIEMといった他のソリューションと組み合わせることで、設定ミス対策を含む、より包括的なクラウドリスク対策を実現することが重要です。

現状想定されるさまざまなセキュリティリスクに対して単一のソリューションで対策を実現するためにはCNAPPソリューションを選択肢として検討することが効果的です。

クラウドリスクへの対策例

ガイドラインでは、「米国の専門機関が公表した設定ミスのトップ10」が引用されており、これらの具体的なリスクに対してCSPMがどの程度有効であるかを示すことができます。

出典：総務省「クラウドの設定ミス対策ガイドブック」11ページ目よりhttps://www.soumu.go.jp/main_content/000944467.pdf（2024年５月２日参照）
※実際には⑨認証情報の管理不備、⑩無制限のコード実行を合わせた１０項目です。
参照：CISA「NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations」https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a
（2024年5月2日参照）

この１０項目は、広義の設定ミスとして実際に問題となっている”クラウドリスク”について記載がされています。

CSPMはクラウド環境内で提供される各機能の設定をチェックするものであるため、例えば①「ソフトウェアやアプリケーションのデフォルト設定」の課題については一般的なCSPMソリューションを活用して対策ができます。一方で、③「不十分なネットワーク監視」や⑦「多要素認証の脆弱性や設定ミス」の課題に対しては一部対策の実現が可能ですが、それ以外の課題に対しては対策を実現できません。

同様にそれぞれCWPP、CIEMなどでカバーできる範囲は異なります。そのため、複数のクラウドサービスの組み合わせや、CNAPPのような複数の機能を一元提供するソリューションを活用することが重要となっています。

まとめ

実際に情報漏洩の被害報告が増加している今、多くのガイドラインやガイダンスが制定され、クラウドセキュリティ対策の強化が組織にとってますます重要な課題となっています。

SaaS管理においてはCASBの活用が広まり、一方でIaaS/PaaSにおいてはCSPMが設定ミス対策として昨今では多くの組織の関心を集めています。しかしこのブログを通して紹介したように、実際に重要なのは正確な可視化と適切な対策の実現です。特にIaaS/PaaS環境に対しては、まだまだ可視化に課題があり、この実現がクラウドへの対策として急務です。

弊社では、クラウド利用が広がる中で重要な「クラウドサービスの利用状況の可視化」と「クラウド基盤側の設定やリスク管理」の両方をカバーするセキュリティ製品を提供しています。
 
例えば、クラウドサービス（SaaS）の利用状況やアクセス制御を担う領域では、CASBを含むSASE機能を一体化した Cato Networks社の Cato SASE Cloudを提供しています。CASBだけでなく、ZTNAやSD-WANもまとめて導入できるため、クラウド利用が進んだ環境でも段階的にSASEを実現することが可能です。
 
一方、IaaSやPaaSといったクラウド基盤側の設定やリスクを可視化・管理する領域では、CNAPP製品として Orca Security社のOrcaプラットフォームやCloudbase社の Cloudbaseを提供しています。いずれもエージェントレスで導入でき、既存環境に影響を与えることなくクラウドセキュリティの現状把握から始めることが可能です。
 
クラウド運用やクラウドリスク対策について課題をお持ちの方は、ぜひお気軽にお問い合わせください。