IaaSの設定ミスによる脆弱性を減らす「CSPM」(Cloud Security Posture Management)とは?:特集:withコロナ時代のクラウドセキュリティ最前線(2)
主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。概要や必要性、使いどころ、他のリューションとの違いなどをガートナーのアナリストに聞いた。
「クラウドセキュリティ」というと、非常に幅広い範囲を指してしまい、いったい何の話をしているのかをおぼろげながらもすり合わせていかないと、結論がぼやけてしまうことが多い。クラウドセキュリティの印象というと、これまでは「Microsoft 365」「Google Workspace(G Suite)」などSaaSに対するものだとイメージすることが多かったと思うが、「Amazon Web Services(AWS)」「Microsoft Azure」「Google Cloud Platform(GCP)」などのIaaS/PaaSに対するセキュリティもしっかりと考えるべきだろう。
IaaS/PaaSの可用性に関しては、冗長化をはじめとした施策がしっかりと行われている。通常の組織では実現できないような耐性を持っている――これこそがクラウド活用のメリットといえるだろう。しかし、その高可用性も使い方次第では、利用者側が“穴”を作ってしまう可能性がある。そこで、主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。
特集「withコロナ時代のクラウドセキュリティ最前線」の第2回は、ガートナー ジャパン リサーチ&アドバイザリ部門 バイス プレジデント アナリストの礒田優一氏に、CSPMの概要や必要性、使いどころ、他のリューションとの違いなどを聞いた。
CSPMとは?
CSPMとは、IaaSやPaaSの構成について、セキュアな状態になっているかどうかを継続的に分析する管理ツールだ。具体的には、例えば特権アカウント、ネットワークおよびストレージ構成などの設定、暗号化などのセキュリティ設定といった“状態”を分析し、その設定が望ましくない場合、“修復”を含むアクションを実行することもできる。
企業がパブリッククラウドにより多くのサービスを配置するにつれて、それら全てがセキュアに構成されているかどうかを確認することはますます困難になり、時間がかかるようになっている。例えば、AWSの安全なセットアップと構成について、数百あるさまざまなサービス全てを評価することはもはや困難だ。CSPMは、このような「構成がセキュアな状態になっているかどうか」を常にチェックする仕組みを提供する。
礒田氏によると、ガートナーにおいてもクラウドに関する問い合わせや相談は増加傾向にあり、「日本ではSaaSに対するセキュリティの案件は引き続き多いが、IaaSに関してもAWSやAzureでのシステム構築の案件が増加傾向だ。1つはオンプレミスシステムをクラウドでマイグレーションするもの。もう1つは“新築”として、IaaS上でクラウドネイティブのものを作るもの。それぞれをガートナーでは『モード1』『モード2』と呼んでいるが、特に新築となるモード2ではアジャイルな開発も多く、その環境でどうセキュリティを向上させるかが課題になっている」と述べる。
設定ミスを減らす。常にチェックする――CSPMのカバー範囲は
CSPMとは、ポスチャー、つまり“姿勢”(状態)を管理するものだ。具体的には、IaaSそれぞれに存在するベストプラクティスによる具体的な設定方法を、開発もしくは利用しているシステム上でしっかり設定されているかどうかを確認する。これだけだと、「わざわざCSPMといった仕組みを導入する必要があるのか?」と思う読者もいることだろう。CSPMのメリットは、どこにあるのだろうか。
まず1つ目は、「全ての環境を手作業でチェックできない」という課題に応える点にある。ネットワークやストレージの設定ミスは時として致命的だ。ネットワークならば本来接続される必要のない機器が過剰に公開されてしまっていたり、ストレージならばパーミッションの設定ミスでデータへのアクセスを許してしまったりと、設定ミスがインシデントに直結してしまう。それ以外にも、特権ユーザーの設定ミスやアクセス管理など、チェックすべき項目は非常に多い。IaaSを活用する場合、インスタンスを即座に増やすことこそがメリットだが、その数と広さを考えると、それらを全て手作業でチェックすることは難しいのが現状だろう。
2つ目は継続的なチェックが可能な点だ。ガートナーでは「CARTA(Continuous Adaptive Risk and Trust Assessment:継続的で適応性のあるリスクおよび信頼の評価)」を提唱しており、「常に評価する」ことをセキュリティにおける重要な手法としている。礒田氏は「クラウドのインフラは常に変化し、昔のセキュリティならば年に一度のペースなどだったが、今では継続的に、リアルタイムにアセスメントすべきだ。CSPMはそれを具体的に可能にしているツールの一つ」と述べる。
CSPMとは「ガードレール」だ。ルールを押し付けない
現在のCSPMツールは、その大半が「運用段階でチェックするもの」だが、運用段階だけではなく「開発」でも活用すべきだという。「いわゆるシフトレフトやセキュアバイデザインといった言葉で表現されるもので、DevSecOpsの一環としてCSPMの適用範囲は広がりを見せているのが最近のトレンドだ」(礒田氏)
特にモード2の“新築”システムにおいてセキュリティを完璧にしようとすると、開発のスピードを落とし、ブレーキをかけてしまう。これを防ぐためにはDev、Opsの両輪でリスクをつぶしていく必要があるが、その時に活用できるのがCSPMだ。「運用段階で設定の変更があると、リアルタイムでそれが道を外れていないかをチェックできる。開発段階であれば、CI/CD(継続的インテグレーション/継続的デリバリー)のチェーンの中に組み込むことで、ビルド段階で、CSPMが設定をチェックする仕組みが作れる」(礒田氏)
モード2においては、開発者とセキュリティ担当の間で衝突が起きることもあるだろう。これまでであればセキュリティ担当がポリシーを作り、それを開発者に“強制”するという考え方だったかもしれない。だが、もはやそのスタイルは合わないという。
「『セキュリティに合わせろ』と言うのではなく、逆に開発者のアジャイルな要求に合わせて、セキュリティエンジニアが開発環境を理解しないといけない。CSPMとは“ガードレール”のようなものとして登場している。ルールを押し付けるのではなく、走らせつつ、スピードを落とさない、ブレーキを踏ませないためのガードレールを作るという後方支援的な役割だ」(礒田氏)
CSPM的な機能は既にIaaS内に存在しているが……
実は、こういったCSPM的な機能は、AWSであれば「AWS Trusted Advisor」「AWS Security Hub」といったものが無料で提供されている。それらを使えば、サードパーティーのCSPM製品は不要なのだろうか。
礒田氏は「単一クラウドベンダーのIaaSを利用し基本的なチェックのみであれば、サードパーティーのCSPM製品は不要かもしれない」と述べる。しかし、多くの組織ではAWS、Azure、GCPなどを併用している場合が多い。そのような環境では、統一したポリシーを適用可能なサードパーティーのCSPM製品が有効だ。ほとんどのCSPM製品はメジャーなIaaSをカバーしている。ただし、各IaaSの新機能に対するキャッチアップ速度や広さ、深さには差があるため、それこそがCSPMベンダーを選択するポイントになるだろう。
- ガートナーによる、主なCSPMベンダー
Alert Logic、Amazon Web Services、Check Point Software Technologies(Dome9)、CloudPassage、McAfee、Microsoft、Netskope、Palo Alto Networks、Rapid7(DivvyCloud)、TrendMicro、Zscaler
CSPM市場におけるベンダー間の動きは激しくなっており、SaaSのクラウドセキュリティ製品である「CASB(Cloud Access Security Broker:キャスビー)」ベンダーに関しても、最近ではこのCSPMのエリアに機能を広げているという。CASBは主に複数のSaaSに対し、統合的に管理、監視を行うためのものだ。主要なCASBベンダーもCSPM機能を提供するようになっている。
- ガートナーによる、主なCASBベンダー
Bitglass、McAfee、Netskope、Palo Alto Networks
また、CWPP(Cloud Workload Protection Platform:クラウドワークロード保護プラットフォーム)と呼ばれる、ネットワークセグメンテーション、システム整合性チェック、アプリケーションコントロール、挙動モニタリング、ホストベースの侵入防御、マルウェア対策を組み合わせてワークロードを保護するというクラウドセキュリティ製品エリアもある。CWPPベンダーも同様にCSPMへの対応を進めており、これまでエンドポイントでアンチマルウェア製品を展開していたようなベンダーもCSPMのエリアに参入している。
- ガートナーによる、主なCWPPベンダー
Broadcom(Symantec)、Checkpoint Software Technologies、Kaspersky Lab、McAfee、Microsoft、Sophos、VMware(Carbon Black)、TrendMicro
IaaSの設定ミスによるインシデント事例
IaaSの設定ミスによるインシデントというと、米金融大手Capital Oneの事例が真っ先に思い浮かぶだろう。2019年7月に計1億600万人分の個人情報が漏えいした恐れがあると発表されたが、この背景にはWebアプリケーションファイアウォールの設定ミスによるServer Side Request Forgery(SSRF)攻撃が原因とされている。おそらくこの事例においてもさまざまなセキュリティ対策が行われていたはずだが、インシデントは起きてしまった。礒田氏は「ツールにも当然限界がある。DevOpsにうまく組み入れ使いこなせなければ防げない事例もある」と述べる。しかし、一歩前へ踏み出すなら今だという考え方もある。
「現在はコロナ禍対応のため、CSPMよりはリモートワークのセキュリティに目が向いている。しかし、それも一段落した。リモートワークへの対応は“リアクト”だったが、これからは“リニュー”という段階に入る。新しいやり方としてwithコロナ時代におけるオンライン化、デジタルが進み、生き残りをかけたデジタルビジネスの競争が激化する。その時選ばれるのはクラウドであり、そのセキュリティが重要になる。特にモード2のシステムがクラウドネイティブになればなるほど、CSPMは重要になる。今後、CSPMという言葉そのものが残るかどうかは分からないが、この考え方はCASB同様、“クラウドセキュリティ”として存在感が高まるだろう」(礒田氏)
特集:withコロナ時代のクラウドセキュリティ最前線
withコロナ時代の今、テレワークの普及によりクラウドサービスの利用が広まっているが、CASB(Cloud Access Security Broker)では防げない新たな脆弱(ぜいじゃく)性が生まれているのをご存じだろうか。脆弱性というと、プログラムやフレームワーク/ライブラリのバグの話と思いがちだが、アカウントやデータ、API、ログの公開範囲、暗号化など、ユーザーが行う“設定”のミスに起因する脆弱性が増えているのだ。またクラウドサービスは、コマンドや管理画面が共通となるため、攻撃者も設定項目を理解している。悪意のある“設定の変更”が行われていないかどうかの確認も重要だ。このようなクラウドサービスのリスクを軽減するために、CSPM(Cloud Security Posture Management)が注目され始めている。本特集では、現在のクラウドリスクを解き明かし、CSPMを中心に、その打開策を紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ルートユーザーって使っちゃダメなの?――クラウドを始める前に覚えておきたいセキュリティの基礎知識
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。初回は、クラウドを始める前に覚えておきたいセキュリティの基礎知識について。
Cloud Security Alliance、ソフトフェア定義型境界とゼロトラストに関するホワイトペーパーを発表
Cloud Security Alliance(CSA)は、ホワイトペーパー「Software Defined Perimeter(SDP)and Zero Trust」(ソフトフェア定義型境界とゼロトラスト)を発表した。
クラウドセキュリティの強化には、IAMとCASBの組み合わせが必要
アイデンティティー管理は今後の企業におけるクラウドセキュリティの要といえる。だが、カバーできない部分もある。これを補完するために検討したいのが、クラウドアクセスセキュリティブローカーの活用だ。