読むセミナー:クラウドセキュリティ運用において出てくる課題と解決方法(前編)

About 読むセミナー:クラウドセキュリティ運用において出てくる課題と解決方法(前編)

コロナ禍によるリモートワークの普及や、それ以前からのDXの流れなどを受けたクラウドシフトの加速。もうこの問題が指摘されてすでに数年経過しており、皆様も「またか」と思われるかもしれません。

しかし、クラウドシフトにより攻撃者が狙うポイントである「攻撃可能領域(Attack Surface) 」が拡大したことも、それによりセキュリティ管理側、防御側の体制が複雑化したことも事実です。

本ブログシリーズは、クラウドにおけるセキュリティの問題点から、オンプレを含めたハイブリッド環境におけるリスク管理について、3つの課題を挙げて説明します。

 

ーRapid7「読むセミナー」シリーズは、過去実施したセミナーやWebinarの概要を、ブログ用に書き起こしたものです

クラウドのリスク

クラウドは非常に動的です。立ち上がっては消えていくインスタンス。開発のスピードもオンプレ時代とは比較になりません。スピードと利便性が注視される中、それにセキュリティが追い付いていないケースが散見されます。

例えば、EC2などのクラウドインスタンスを作成しても基本的にパッチ適応などはしない。管理といえば、サードパーティの脆弱性スキャナツールを利用し、AMIプリンシパルの権限管理もしていない、などです。

 

ここでは、クラウド上の3つの課題を例に説明していきます:

 

課題1: クラウド上のリスクの把握、可視化

 

オブジェクトストレージの意図しない外部公開など、直接情報漏洩につながるようなものでない限り、なかなか発見も難しいですし、優先的に処理もされないのが現状ではないでしょうか。

 

また、サービスやリソースの種類も多様で、リスク分析や絞り込みも難しかったり、さらに関連付けが難しいといった問題もあるでしょう。例えば攻撃検知についても、ある程度検知およびそのアラートが集約されていたとしても、それらの関連性を分析し、攻撃を立体的に分析するといったところまでは、なかなか至らないのではないでしょうか?

 

課題1に対する解決アプローチ

 

現代のクラウドが抱えているセキュリティ的問題に対する解決策のアプローチは以下の4つのポイントに分けられます;

 

  1. リスクの高いリソースの分析評価を自動的、機械的に実施
  2. 1で判明した、リスクの高いリソースに関連の高い関連リソースを可視化
  3. 1および2に対する、想定される攻撃経路の把握
  4. 検知されたリスクに対する修正

 

これらの問題に対し、Rapid7 InsightCloudSec は網羅的な解決策を提供します。

 

まずはクラウド上のリソースを把握。特に、外部公開されているリソースはリスクが高いと言えるので、外部公開リソースももれなく把握することが重要です。さらに、それらに対する設定不備や未対応の脆弱性などをチェックし、リスクの高いリソースを可視化し、どのリソースから対処していくべきかの優先順位づけをしてくれます。



課題2: システムやアプリケーションとアカウントの関係

 

前述の通りクラウドは非常に動的であり、開発のスピードも迅速です。しかしこれがセキュリティ上のリスクに直結する可能性があります。

 

開発、テスト、ステージング、本番といった、各ステータスのシステムが、一つのアカウントで管理されていることもあれば、ステージごとに異なるアカウントで管理されていることもあります。そのため、コンプライアンスやセキュリティ違反などの監査を実施した際にも、監査報告が難しいという課題があります。仮にアラートが発生したとしても、どのシステムに起因するものなのかを直感的に理解しずらい、などです。

 

課題2に対する解決アプローチ

 

この課題を解決するにあたり、まずはリソースに対して適切なタグ付けがされていることが前提となります。タグを基準にグルーピングや分類を行うためです。

 

タグづけを前提とし、まずはタグによるリソースの分類を行います。タグづけされていることで、これを自動的に実行できるようになります。次に、そのグループ単位でのセキュリティおよびコンプライアンス違反の検知、報告です。

 

Rapid7 InsightCloudSec による解決

Rapid7 InsightCloudSec の Application Context 機能が本解決策を提供しています。Application Context は、アプリケーションやリソースをタグを基準にグルーピングし、コンプライアンスやセキュリティ違反がないかチェックすることができます。監査のためのテンプレートも用意されているため、それに従った監査を実施することが可能です。さらに、対象とするアプリケーションをグループ化して絞り込むことができるため、監査やレポーティングの範囲を限定することができます。

Rapid7 InsightCloudSec

次回は残る1つの課題について説明していきます。

 

(文:ラピッドセブン・ジャパン株式会社 横川典子)