クラウド ネットワークセキュリティのベストプラクティス

クラウド ネットワークセキュリティとは?

クラウド ネットワークセキュリティとは、悪意ある攻撃者がパブリックまたはプライベートクラウドネットワーク上の情報にアクセス、変更したり、情報を破壊できる機会を最小限に抑えることを目的とするサイバーセキュリティ分野です。クラウドネットワーク保護における原則は、オンプレミスネットワークの原則と似ていますが、クラウド環境に独自の面があることから、ことなる戦略が必要です。

クラウド ネットワークセキュリティが重要な理由

あらゆる規模の組織がオンプレミスからクラウドに自社ネットワークを移行しており、その結果、クラウド上に保存される機密情報は増加しています。これらの情報は保護される必要がありますが、クラウドによりセキュリティの確保を難しくする新たな課題も生まれています。

クラウド ネットワークセキュリティが直面する問題

クラウドのパワフルな機能こそが、セキュリティの確保を困難にしています。まず、クラウドネットワークに新しい資産をデプロイするのは簡単です。オンプレミスネットワークの場合、ITおよびセキュリティチームが新しいインフラストラクチャをすべて監視します。このためネットワークの拡張には時間と労力がかる反面、新しいインフラストラクチャの設定はすべてセキュリティ専門家が設定しています。クラウドネットワークの場合、新しいインフラストラクチャは適切な資格を持つ任意の人物またはシステムによって瞬時に追加することができ、ITまたはセキュリティチームの直接的な関与は必要ありません。その結果、ネットワークの拡張は容易になりますが、新しいインフラストラクチャに安全な設定が行われず、脆弱になる恐れも増大します。

クラウド環境の急速な変化も、クラウドネットワークのセキュリティ保護における特有の問題と言えます。オートスケーリングやサーバーレス コンピューティングでは、クラウドネットワーク上の資産は常に出現と消滅を繰り返します。脆弱性スキャンのような従来のセキュリティ対策ではもはや十分とは言えません。脆弱な資産は数分しか存在しない場合があるからです。悪意ある攻撃者がそれを見つけ、悪用するには十分な時間ですが、毎日または毎週の脅威スキャンでこれに対応するには時間が足りません。

クラウド環境はデプロイメントが簡単で変化も速いため、セキュリティチームがその全体を把握することは非常に困難です。様々なデータが様々なシステムに保存され、様々なセキュリティツールがそれを保護するハイブリッド環境(オンプレミスとクラウドの両ネットワークを含むIT環境)ではさらに深刻です。このような環境では、セキュリティチームは、様々なシステムを行き来してセキュリティ対策を管理しなければなりません。データが統合されていないため、組織の総合的なセキュリティ態勢を把握したり、クラウドとオンプレミスネットワークの間を行き来する悪質な攻撃者を追跡することは、不可能ではないにしても困難です。

最後に、AWSやAzureなどのパブリッククラウド サービスプロバイダを使用しているネットワークオーナーは、ネットワークセキュリティの責任をプロバイダーと共有することになります。この責任共有モデルの詳細はプロバイダによって異なりますが、一般にプロバイダは、データセンターの物理的なセキュリティやハードウェアの保守/更新など、クラウド自体のセキュリティに対する責任を負います。一方、ネットワークオーナーは、クラウド環境に導入したすべてを保護することに対して責任を負います。多くの人がハードウェアやデータセンターを保護する能力を失うことを懸念しますが、Amazon、Microsoft、Googleなどの確率されたパブリック クラウド サービスプロバイダは、物理的なセキュリティなどの事項により多くのリソースを割くことができます。責任共有モデルの真のリスクは、企業内に生じる混乱にあります。クラウドならプロバイダがすべて管理し、セキュリティの心配はいらないという間違った思い込みから、少なからぬセキュリティインシデントが発生しています。

クラウド ネットワークセキュリティにおけるリスクを最小化するための戦略

DevSecOpsを採用し、クラウドネットワークの安全な使用方法を従業員に教育する以外にも、効果的にクラウドネットワークのリスクを最小化する方法があります。それは、クラウド環境のセキュリティベースラインを定義することです。セキュリティベースラインは、組織がクラウドネットワークの利用を開始する前に確立するのが理想ですが、いつ確立しても遅すぎるということはありません。

このベースラインは、セキュリティ観点からクラウドネットワークのレイアウトを定義します。セキュリティベースラインの目的は、セキュリティ、IT、エンジニア、DevOpsなどすべての関係者が、ネットワークの安全維持に必要な要件を共有することにあります。セキュリティベースラインを適切に定義すれば、デプロイメント、急速な変更、責任共有など、クラウド ネットワークセキュリティに関わる多くの問題に対処できます。

組織がベースラインを策定するにあたり、参考になるクラウドネットワークセキュリティのベストプラクティスがいくつかあります。まずベースラインでは、クラウド環境のアーキテクチャについて定義します。具体的には、各種資産をどのように構成するか、誰に環境の各部分の読み取り/書き込み権限を与えるかを定義します。CISベンチマークAWS Well-Architected Frameworkなどのガイドラインも、ベースラインを定義するための参考になります。

ベースラインが本番前とテスト環境に適用されていることを確認してください。これらの環境は、攻撃のエントリポイントとして頻繁に悪用されています。このベースラインには、テストのためにどの本番データベースを使用/複製できるかなど、テスト用のポリシーとコントロールを明記します。

セキュリティベースラインにはインシデント対応計画を盛り込むだけでなく、クラウドセキュリティのどの側面に組織の誰が継続的な責任を負うのかも明記します。また、定期的な見直しと更新を行い、新たな脅威やベストプラクティスを反映します。

ベースラインが作成または更新されたら、クラウドネットワークに関わるすべての関係者に知らせます。さらに、セキュリティチームはDevOpsと連携し、ベースラインを適用する方法を実装します。これは、すべてが適切に設定されたクラウドインフラストラクチャのテンプレートを作成することを意味します(テンプレートの作成は、クラウドプロバイダや、Terraformなどのベンダーが提供するinfrastructure as codeソリューションを使用します)。また、導入後に古くなったり、変更されたりしてベースラインに準拠しなくなったものを検知するための継続的な監視も導入することになります。仮想マシンンのテンプレートには組み込みエージェントを含めて、デプロイ時から継続的な監視と脆弱性の検知を実施する必要があります。

クラウドネットワークの可視性に関連した問題については、セキュリティチームはまず、企業の全クラウドアカウントに(少なくとも)読み取り専用権限を付与する必要があります。ハイブリッドまたはマルチクラウド環境で可視性を確保し、それを維持したいと考える組織は、IT環境のあらゆる部分のセキュリティに対する責任を単一のチームが担うようにする必要があります。オンプレミスセキュリティを担当するチームと、クラウドセキュリティやクラウドセキュリティの別の責任を担当するチームが異なると、システムはサイロ化し、死角が生まれ、ネットワーク間を移動する悪質な攻撃者の追跡が困難になります。

ハイブリッドまたはマルチクラウド環境のセキュリティに対処するチームは、使用ツールの見直しも検討する必要があります。従来のセキュリティソリューションの多くは、クラウドネットワーク向けの最適化がされていません。その結果、オンプレミス環境とクラウド環境のセキュリティを確保するために、チームは異なるツールを使用することになります。異なるツールを使用するよりも、組織全体のIT環境のセキュリティを一元管理できるツールを新たに見つけるべきです。

ほとんどのセキュリティチームは、次のようなツールから恩恵を得ることができます。

また、セキュリティチームは、クラウドネットワークの安全性を確保するために、セキュリティ自動化ツールの活用も検討すべきです。セキュリティチームは自動化によって、クラウドネットワークの急速な変化に対応し、システム間でデータを共有することで可視性を向上させ、ビジー状態を回避してタスクを効率化し、検知した脅威に即時に対応することでインシデントからの損害を最小限に抑えることができます。

自動化の活用する方法の1つに、ChefPuppetなどのツールを利用した(セキュリティベースラインからの)クラウドインフラストラクチャ テンプレートのデプロイメントを自動化する方法があります。これにより複雑なアーキテクチャの構築が簡略化され、人為エラーが発生する可能性を最小限に抑えることができます。自動化の活用するもう1つの方法は、security orchestration, automation, and response(SOAR)ソリューションを使用することです。このようなツールを活用すれば、APIを使用して統合するために時間をかけることなく、簡単にシステム間でデータをやり取りできます。さらに、SOARソリューションでは、セキュリティアナリストが1日の時間を多く割き、調査を遅らせる原因とっている多くの手動プロセスを自動化することもできます。セキュリティチームは、SOARツールでワークフローを構築することで、疑わしいフィッシングメールの調査マルウェアの検知/隔離ユーザーのプロビジョニング/デプロビジョニングパッチの効率化などを自動化できます。

これまで述べてきたこと以外にも、クラウドネットワーク上にウェブアプリケーションの構築とデプロイを目指す企業向けのベストプラクティスがいくつかあります。このような企業は「左にシフト」することを検討し、ソフトウェア開発ライフサイクル(SDLC)のできるだけ早い段階でセキュリティ対策を組み込むことを検討する必要があります。つまり、セキュリティに関する問題は、他のバグと同様にコードを導入する前の試験の中で評価されるべきなのです。これにより、デプロイされるコードにセキュリティ上の脆弱性がないことを確認できるだけでなく、テスト中にセキュリティ上の問題にフラグが立つため、開発者にとってコードに存在する脆弱性とその対策を理解する機会となります。クラウドネットワークにデプロイされている最新のウェブアプリの多くは一般的に非常に複雑です。これらアプリをテストするための方法を検討している組織は、SAST、DAST、IASTソリューションなどのいずれを検討しているのであれ、自社のアプリのベースコードを処理できるかを確認する必要があります。

これを確認するには、無料トライアルでツールを試すのが最良の方法です。クラウドネットワークに限ったことではありませんが、ウェブアプリケーションを展開する組織は、悪質な攻撃者によるアプリへのアクセスを防ぐウェブアプリケーション ファイアウォール(WAF)や、WAFを突破したライブ攻撃に対応するランタイム アプリケーションセキュリティ保護(RASP)ソリューションなどの追加対策を検討すべきです。

We love to give you options. 

This page is also available in English!

Switch to English Continue in Japanese