エージェント型のセキュリティがクラウドで通用しなくなり、コスト増でビジネスを阻害する理由：金融企業のPaidyはセキュリティ運用にかかるコストを年間50万ドル削減

クラウドの利用が当たり前になる中、クラウドのセキュリティをどう保証するかが問題になってきた。クラウドのセキュリティリスクは事業継続を脅かしかねない事態につながることもあり重要な経営課題といえる。クラウドリスクで特に多いのが設定不備や作業の不手際だ。その理由は一体何か。どのように対策すればいいのだろうか――。

[PR／＠IT]

PR

「セキュリティ対策はクラウド事業者が担うもの」クラウド時代に広がる厄介な誤解

　クラウドの利用が当たり前になる中、クラウドのセキュリティをどう保証するかが課題になってきた。日々のニュースにあるように、クラウド上に保存していた個人情報や重要情報が攻撃者に不正に搾取され、企業が補償金や賠償金を支払ったり、企業ブランドが大きく毀損（きそん）したりするケースが急増している。

　こうしたリスクは事業継続を脅かしかねない事態につながることもあり、セキュリティは今や重要な経営課題になったといってもいい。セキュリティリスクを正しく把握することは不可欠だ。セキュリティリスクを日々把握することは、事故の未然防止だけでなく、事故後の対応コストの低減にも役立つ。

　もっとも、クラウドのセキュリティに対してはいまだに誤解が多く、それが被害の拡大を招いている面もある。典型的な誤解は「クラウドのセキュリティは、クラウドサービス事業者（CSP）が担っている」というものだろう。イスラエルのセキュリティスタートアップカンパニー「Orca Security」のシニアセールスエンジニア、山口央氏はこう話す。

Orca Security APAC シニアセールスエンジニア 山口央氏

　「データやアプリケーションをCSPに預けているのだからそのセキュリティ対策もCSPが担うべきという考えがありますが、それは大きな間違いです。クラウドセキュリティは分業が前提となっておりサービスを利用する際にCSPにセキュリティ対策の一部を委任しているだけです。特にデータのセキュリティに関する責任はユーザーにあります。この分業モデルを強く意識しないと有効なセキュリティ対策を打てなくなります」

　近年ではコロナ禍やデジタルトランスフォーメーション（DX）の推進によって、急場しのぎのセキュリティ対策が増え、「分業」の意識はさらに薄まっている面がある。特に、クラウドストレージの設定を最初から間違ったままデータをアップロードして第三者が自由にアクセスできる事態を引き起こしたり、作業の際の不手際や不注意で設定を変更してそのままの状態で放置したりしているといったケースが目立っている。

　山口氏は「セキュリティは経営課題であり、データやアプリケーションを守る責任はユーザーにあるということをあらためて考えてほしい」と訴える。

エージェント型のセキュリティがクラウドで通用しなくなる理由

　クラウドのセキュリティ対策では何が企業の課題になるのか。

　ここで注目したいのが、巧妙化、高度化するサイバー攻撃への直接的なセキュリティ対策だけではなく、人為的な設定ミスや不注意によるミスといった潜在的なセキュリティリスクだ。

　潜在的なセキュリティリスクには、ワークロードに管理エージェントをインストールして対応することが一般的だった。だが、クラウドが当たり前の時代になると途端に、このようなエージェント型の対策は有効に機能しなくなる。山口氏はその理由をこう説明する。

　「クラウドの大きな特性の一つに、リソースを柔軟に調達できるリソースオンデマンドがあります。ビジネスの需要に応じて仮想マシン（VM）やコンテナなどのワークロードを起動したり停止したりする運用が一般的です。オンプレミスのような硬直化したインフラなら個々の物理ホストにエージェントを導入して管理することは容易です。しかしながらスピードとアジリティを特性とし、次々と新しいワークロードが立ち上がっては消えるクラウドではエージェントによる管理は至難の業です。それでもなお、多くの企業がワークロードにエージェントを導入するという従来型のセキュリティ対策をむやみに信じていることが問題です」

　情報漏えい事故の原因として、エージェント型のセキュリティ対策が背景になるケースも増えている。全てのワークロードにエージェントを導入できないために予期せぬ死角ができる。攻撃者はその死角を突いて、重要な企業資産を不正に搾取しようとするのだ。

　もう1つ、エージェントと並んで注意したいポイントがアラートの量だ。クラウドの利用が前提となる中、ITシステムは複雑化し、セキュリティ製品もウイルス対策ソフトウェアから侵入検知／防御システム（IPS/IDS）、総合脅威管理（UTM）、最近ではエンドポイントやネットワークでの検知と対処（EDR/NDR）やゼロトラストセキュリティ関連製品など多数管理しなければならなくなった。

　「Orca Securityの調査によると、ユーザーのセキュリティチームが1日に対応しているアラートは500以上に上ります。アラートの中には、重大なセキュリティ事故につながるものもあれば、特別なセキュリティ対策が必要ないレベルのものまでさまざまです。セキュリティチームのエンジニアはこれらのアラートを人手で仕分けしており、終わらない大量のアラートに疲弊してしまい本来のミッションの遂行が困難になっています」

クラウドセキュリティで注目すべき4つのポイント「範囲」「包括」「文脈」「活用」

　セキュリティを経営課題として捉え潜在的なセキュリティリスクを把握し、複雑化するクラウドインフラを適切に保護するにはどうすべきか。開発チームやセキュリティチームがエージェントの管理やアラートの管理に忙殺されずに、アプリケーションの開発やセキュリティ体制の強化など、本来のミッションに力を集中させるにはどうすればいいのか。

　山口氏は、「範囲」「包括」「文脈」「活用」という4つのポイントを挙げる。

　「まずは、製品が対象とする『範囲』が、特定のCSPや特定の資産（VM、コンテナ、クラウドストレージなど）に限定されるのではなく、幅広いCSPと資産をカバーできることです。次に、全てのクラウドリスクを『包括』して対策できること。オンプレミス時代によく見られた脆弱（ぜいじゃく）性対策だけではなく、クラウドの特性から考えられるマルウェアの混入やネットワーク、セキュリティの設定ミス、アカウント権限の不必要な適用まで、全てのクラウドリスクを対策できるかどうかを確認します。『文脈』は、ユーザーが置かれた状況を理解して適切に対応することです。脆弱性情報などユーザー環境における文脈を理解して、個々のアラートの重要度を自動的にスコアリングしたり、攻撃者から見た企業の重要資産に到達されてしまう経路を可視化したりできるかどうかが重要です。『活用』は、ビジネスの現場で活用できるかどうかです。収集したクラウドのリスク情報は、直感的で視認性の高いUIや柔軟なAPIを用いてビジネスの現場で活用できて初めて意味を成します」

　これら4つのポイントを押さえたセキュリティ製品として、Orca Security社が開発、提供しているのが、クラウドセキュリティプラットフォーム「Orca Security」だ。

　「Orca Securityは、『SideScanningTM』という革新的なアプローチによって、エージェント管理の限界と膨大なアラート管理という2つの課題を解決します」

エージェントレスでクラウドの現状を正確に把握しアラートを90％削減

　Orca Securityは、「Amazon Web Services」（AWS）、「Microsoft Azure」「Google Cloud Platform」で同じように利用でき、各CSPが提供するVM、コンテナ、ネットワーク、ストレージといった機能やサービスに包括的に対応できるサービスだ。

　SideScanningTMはエージェントを一切用いずに、ユーザーのクラウド環境全体に含まれるセキュリティリスクをスキャンする特許取得技術。クラウド環境にどんな重要度の資産、脆弱性があって、どんなリスクが発生する可能性があるかをスコアリングして示すことで、企業がそれぞれの文脈に応じたセキュリティ対策を適切に実施できるようにする。

　「技術的には、APIを通じて取得したクラウド環境のメタデータ（ネットワーク構成、セキュリティポリシー、IAMロール）と、各CSPのブロックストレージに格納されるワークロードの情報（サーバレス、OS、パッケージ、プログラムコード、混入しているマルウェア）を突き合わせてリスクを可視化しています。ブロックストレージのスナップショットをスキャンするためエージェントなしで高いパフォーマンスでスキャンが可能です。複数のデータソースからリスクを検出、分析するので、前後の文脈を理解した、より精度の高いリスク分析が可能です。特に、攻撃者の目線から、PII（個人を特定できる情報）やヘルスケア情報、Secret（パスワードやAPIキー）をどう見つけるか『攻撃経路を可視化』する機能はOcra Securityならではです」

図版1：複数のデータソースからリスクを検出、分析（提供：Ocra Security）

　クラウドのセキュリティリスクは、Orca Security独自のスコアリングエンジンを用いて優先順位付けされ、重大なセキュリティ事故につながるとは思われないアラートはあらかじめカットされるので、膨大なアラートに悩まされることは一切なくなる。アラートの平均削減率は90％以上だ。スコアリングはユーザーがGUIでカスタムロジックを作ることでカスタマイズもできる。

図版2：Orca Securityのダッシュボード画面（提供：Ocra Security）

金融企業のPaidyがセキュリティ運用にかかるコストを年間50万ドル削減

　事例としては、オンライン決済サービスのPaidyでの採用実績がある。Paidyでは、クラウドにアプリケーションを継続的にデプロイする環境を築いていたが、全ての資産とリスクを把握することが困難になっていた。また、国内外でのM＆Aにも積極的で、個人情報保護法やEU（欧州連合）のGDPR（General Data Protection Regulation：一般データ保護規則）といった各国のデータ保護規制に対応する必要もあった。

　そこでOrca Securityを採用し、12のAWSアカウントをわずか30分でスキャンしAWS上にどんな資産がデプロイされ、どんなリスクがあるかを把握したという。同様のサービスを自社開発した場合にかかる2人年分の工数と年間50万ドルのメンテナンス費用を削減することもできた。

　「クラウドはセキュリティ対策の考え方もアプローチも従来と全く異なります。アプリケーションが継続的にデプロイされ、ワークロードも多種多様で、それぞれがダイナミックに連携します。攻撃者にとっては格好のターゲットであり、いつ何時もクラウド環境に保管された企業の重要資産を不正に搾取することを企てます。サイバーセキュリティ対策はセキュリティチームだけのテーマではなく企業の最重要経営課題です。いま一度、自社のクラウドセキュリティ対策にまつわる現状を正確に把握し、迅速に対応することをお勧めします」