担当者を疲弊させない「クラウド時代のセキュリティ運用」、その実現方法とは：リスクは「脅威」「脆弱性」「資産」のかけ算

クラウド利用が当たり前となり、それに対応するためのセキュリティ製品やサービスも無数にある。だが、ハイブリッドクラウドやマルチクラウド、コンテナ､サーバレスなどさまざまな環境が混在している現在、セキュリティの難易度は上がり、セキュリティ担当者は疲弊するばかり。効率的なセキュリティ運用を実現するためには何をすればいいのか。「AWS Security and Risk Management Forum 〜公共・金融DXの大前提、AWSセキュリティの理解と実践〜」の講演からその答えを探る。

[PR／＠IT]

PR

　ITmedia主催、アマゾン ウェブ サービス ジャパンの特別協賛によるオンラインセミナー「AWS Security and Risk Management Forum 〜公共・金融DXの大前提、AWSセキュリティの理解と実践〜」の中で、トレンドマイクロの福田俊介氏（ビジネスマーケティング本部　クラウドビジネス＆アライアンスグループ長　シニアマネージャー）は企業のセキュリティにおいて重要度を増しているクラウドセキュリティの考え方について講演した。

そもそも「サイバーセキュリティ」はどうあるべきか

　トレンドマイクロといえばウイルス対策ソフトウェアのイメージだが、実はクラウドセキュリティについて深い知見を持っている企業でもある。トレンドマイクロの福田俊介氏によると「世界のクラウドセキュリティ市場のシェアでトップクラス」だという。Amazon Web Services（AWS）との協業も長い歴史があり、顧客がAWSを安全に利用するためのさまざまな支援をしている。

トレンドマイクロの福田俊介氏

　福田氏は「クラウドセキュリティを理解するには、まずサイバーセキュリティはどうあるべきかを考えなければいけない」と指摘している。米国統合参謀本部が発行する「国防総省の軍用辞書および関連用語」（DOD Dictionary of Military and Associated Terms）によると、サイバーセキュリティの目的は「リスクを正しく理解し、受容可能なレベルまで下げるために、リスクマネジメントを行うこと」とある。

　サイバーセキュリティのリスクを分解すると、「脅威」「脆弱（ぜいじゃく）性」「資産」のかけ算になっていることから、「外部からの脅威にはどういったものがあり、どんな攻撃を受けるのか。またその攻撃に対して、どんな脆弱性（穴）があるのかを見つけなければいけない」と福田氏は説明している。ここでいう脆弱性にはソフトウェアだけでなく、人為的な問題やハードウェアも含まれている。また、攻撃対象となる資産がどこにどれだけあるのかを把握する必要もある。

サイバーセキュリティはどうあるべきか

　この3要素（脅威、脆弱性、資産）がもたらすリスクを、許容範囲内に収めるためのマネジメントが重要になる。ここで重要なのは「クラウドを独立したパーツとして考えてはいけない」ということだ。

　「クラウドは独立した存在ではない。AWSにシステムを構築した場合でも、必ずオンプレミスのシステムやデバイスと接続される。そのため、セキュリティに関してもそれら周辺環境も考慮し、一元管理する必要がある」（福田氏）

セキュリティエンジニアの使っているツールが多過ぎる

　しかし、昨今の脅威の高度化、複雑化によって一元管理の難易度が上がっている。福田氏も「“セキュリティの基本を守る”ことすら、困難な時代になっている」と指摘。こうした状況ではセキュリティチームは疲弊するばかりだ。

　ある調査によれば、企業のセキュリティチームは平均して3万以上のデバイスを管理しており、約9割が何らかの形でクラウドに関係している。約3割の企業で「機密情報が保存されている場所を知らない」「未知のSaaS（Software as a Service）アプリケーションがある」といった状態になっているという。また、「SOC」（セキュリティオペレーションセンター）に属するアナリストの約7割が何らかの理由で燃え尽き症候群を経験しており、その原因として「人手不足」「過去1年間で仕事量が増えた」などの理由が挙がっている。

　福田氏は、これらの問題の一因は「アナリストが使うツールが多過ぎることにある」と指摘する。

　「セキュリティ関連業務に21種類以上の製品を使用しているという調査結果もある。組織が大きくなっていくと、ツールは増えていく傾向がある。その結果、どこに守るべき資産があり、どこに脆弱性があるのか分からなくなっている」

　トレンドマイクロは、セキュリティ対策ツールの提供だけでなく、インシデントレスポンスのサービスも提供している。福田氏はその対応事例の1つを紹介する。

　攻撃を受けたのは、従業員1000人以上の情報通信企業だ。攻撃者はまず、クラウドに構築したファイルサーバを足掛かりに、オンプレミスの社内システムに侵入。そこでランサムウェアを展開した。その結果、各拠点のデータが全て暗号化されてしまった。

　福田氏は「本来、クラウド上に設置された社内の向けのサーバは、外部から攻撃されることはあり得ない。しかしこのケースを調べた結果、クラウド上のサーバをメンテナンスした後にポートを閉じ忘れ、外部から接続可能な状態のままの設定となっていた」と説明している。

　クラウドの場合、こうしたミスが起こりやすいと福田氏は言う。

　「クラウドは便利な半面、ポートの閉じ忘れのような事故は起きうる。ミスは防ぐべきだが､そもそもの原因はクラウドとオンプレミスが混在した環境で、管理がバラバラに行われていることだ」

セキュリティを「1つのプラットフォーム」で管理する

　「理想としては、SOC／CSIRT（セキュリティインシデント対応チーム）のセキュリティオペレーションを統合すべきだ」と福田氏は指摘している。

　セキュリティオペレーションの統合は簡単ではないが、これを支援するセキュリティオペレーションプラットフォームをトレンドマイクロは提供している。それが「Trend Vision One」だ。同社が提供する、複数のレイヤー（クラウド、ネットワーク、ゲートウェイ、メール、エンドポイント）に関するセキュリティ製品から集めたログデータをデータレイクに集めたもので、セキュリティオペレーションの統合に有用だ。

Trend Vision One

　Trend Vision Oneは、収集したアクティビティーデータを基にしたさまざまな機能を利用できる。脅威の検出や調査、対応に役立つ「XDR」（Extended Detection & Response）機能。インシデントの発生状況やユーザーやデバイスの状況を把握し、リスク指標を可視化できる「Risk Insight」機能。ユーザーアカウントやデバイスリスクに基づいて動的にクラウドアプリケーション、SaaSを制御できる「ZTSA」（Zero Trust Secure Access）機能などを利用できる。

　「デバイスやゲートウェイ、ネットワーク、クラウドなど、どこから脅威が侵入し、どう広がって、何を狙われた（盗まれた）のか、といった一連の動きを可視化する。これは複数のレイヤーのセキュリティ製品からのログを重ね合わせて始めて見えてくるものだ。それらの情報を簡単に統一できる点がトレンドマイクロの強みだ」と福田氏は語る。

　例えば、PCのレイヤーで未知のウイルスが見つかった場合、それをパターンファイル化し、組織全体をフルスキャンすることで組織内のインシデントが終わったことを確認できる。もし、各レイヤーで使われているセキュリティ製品ベンダーが異なっていると、そういった連携はスムーズにできないだろう。

　同社のセキュリティプラットフォーム製品は、2021年時点で2億5000万件以上のセンサーから情報を収集し、5兆を超える脅威クエリのチェック（脅威かどうかの判断）を処理している。そして、940億件以上の脅威をブロックしている。

　もちろん、可視化が進んでもアラートが増えるだけではアナリストが疲弊するだけだ。そこでトレンドマイクロは、独自のデータ分析によってアラートに優先順位を付け、アナリストの作業負担低減に貢献している。

クラウドセキュリティで重要になる責任共有の考え方

　福田氏は、クラウドのセキュリティを考える際には、クラウドベンダーとユーザー企業の責任共有の考え方も重要だと指摘している。

　企業のクラウド利用は拡大しているが、“利用するクラウドサービス”によって、セキュリティの責任範囲は変わる。例えばオンプレミスのサーバをクラウド上にリフトした状態でIaaS（Infrastructure as a Service）を利用するのであれば、クラウドベンダーはインフラ部分のセキュリティを担い、企業はOSよりも上の部分のセキュリティについて責任を持つことになる。コンテナ環境でコンテナマネージドサービスを利用する場合はクラウドベンダーの責任範囲は拡大し、サーバレスを利用する場合は、クラウドベンダーの責任範囲は最大になる。この責任共有モデルの特性を理解することで、セキュリティ運用の効率化が可能になる。

　「クラウドは、システムによってセキュリティの責任範囲が異なるので、1つのツールでセキュリティを実装することは難しい。そのため、セキュリティを“ツール”ではなく“プラットフォーム”として、システムによって機能を追加したり削除したりできなければならない」（福田氏）

　このニーズに対応するため、Trend Microは、「Trend Cloud One」というAWSにも対応するプラットフォーム型セキュリティ製品を提供している。

Trend Cloud Oneの機能

　最後に福田氏は、2つの組織のセキュリティ対策事例を紹介する。

　大阪府豊能郡豊能町（一般社団法人コンパクトスマートシティプラットフォーム協議会）は、スマートシティー化を推進しており、住民の個人情報を取り扱うプラットフォームを構築することとなった。ただ、総務省のガイドラインを満たすセキュリティ実装が必要だ。そこで同町は2022年にトレンドマイクロのセキュリティプラットフォームを導入した。トレンドマイクロを選定した理由として「単なる製品ベンダーではなくパートナーとして伴走するトレンドマイクロの姿勢を評価してくれた」と福田氏は言う。

　山梨中央銀行は、行員と集中センターの間でファイルのやりとりをする環境として「Amazon Simple Storage Service」（Amazon S3）を利用しており、そのセキュリティ対策としてTrend Microの製品を導入した。Amazon S3に取り込んだデータのウイルススキャンをTrend Cloud Oneで実施する仕組みを構築し、稼働後は一度のトラブルも発生していないという。

　福田氏は、「クラウドは企業ITの一部であり、独立して考えてはいけない。また、クラウドセキュリティはツール視点ではなく、プラットフォームとして考える時代ということを理解してほしい」と述べている。