クラウドのセキュリティ診断で本番環境、開発環境の脆弱性を洗い出し、安全な活用を支援:ちょっとした設定ミスが不正アクセスのターゲットに
テレワークの広がりとともに、場所を問わずに利用できるクラウドサービスの活用が一段と加速した。ただその際、ちょっとしたミスや油断で、本来公開すべきではない情報が公開され、不正アクセスを受けてしまう事件が増えている。これを防ぐには、専門的な知見やツールを生かした脆弱性診断が有効だ。
新型コロナウイルス感染症(COVID-19)の感染予防対策として、オフィスでの密を避けるためにテレワークを導入し、出勤者率を抑えている企業もあるだろう。そんな中でも業務を円滑に進める環境として、クラウドサービスの存在感が増している。
そしてこれを機に、Web会議やSaaSだけではなく、オンプレミスで運用してきたさまざまなシステムを、Amazon Web Services(AWS)やMicrosoft Azure、Google Cloud Platform(GCP)といったパブリッククラウドへ移行し、場所を問わずに利用できる仕組みを整えるケースも増えている。
だが、急速なクラウド普及とともに新たな課題も生じてきた。オンプレミスのシステムやデータセンターならば、その導入や運用管理を基本的にIT部門が責任を持ち、一定のレベルで管理できた。だがSoftware as a Service(SaaS)はもちろん、Infrastructure as a Service(IaaS)、Platform as a Service(PaaS)といったクラウドの場合は、IT部門が知らないうちに事業部門が独自に導入することもあり、管理責任の所在が曖昧になりがちだ。
その上、コロナ対策として急きょクラウド導入が広がったことも相まって、本来実施すべき基本的なセキュリティ対策ができていなかったり、設定の抜け、漏れが生じたりするケースが多発している。「攻撃者はそうした隙を目ざとく見つけ、クラウド環境をターゲットに不正アクセスを仕掛けている状況だ」と、日立ソリューションズ セキュリティソリューション本部 セキュリティコンサルティング部 グループマネージャの矢沢澄仁氏は説明する。
専門的な知識が求められるクラウドのセキュリティ
例えば、外部の環境(ユーザーのローカルPCなど)からクラウドのリソースを利用する際に必要なクレデンシャル情報(※1)としてアクセスキーがあるが、その情報を、公開されていない開発環境だからと油断したのか、うっかり誰もが見られる設定にしてしまうことがある。しかも「メンテナンスのために必要だから」とそのまま一時的に公開してしまったために権限を乗っ取られて、情報漏えいにつながったり、勝手に仮想サーバを立てられて仮想通貨のマイニング(※2)に悪用されてしまったり、といった事例が発生している。
日立ソリューションズによると、最近の傾向として、クラウド上の本番環境は慎重に、堅牢(けんろう)に構築していても、開発環境や検証環境が侵害されるケースが目立つという。
「過去のオンプレミスの環境は境界型防御によって保護されていたため、開発環境や検証環境については外部からの不正なアクセスにそれほど留意しなくても済みました。しかし、クラウド環境の場合はインターネットに公開していないつもりで構築していても、ちょっとした設定ミスや油断で公開されてしまいます。それをきっかけに侵害されてしまうケースが多いように思います」(日立ソリューションズ セキュリティプロダクト本部 セキュリティプロダクト第1部 担当部長 河浦直人氏)
もちろん、「オンプレミスだから安全で、クラウドは危険だ」といった考え方がナンセンスなのは言うまでもない。クラウド環境にはセキュリティを堅牢にするためのさまざまな設定やオプションが用意されており、これらを適切に設定すれば、オンプレミス環境と同等のセキュリティレベルを実現できる。
問題は、それには相応の知識やノウハウが必要なことだ。例えば、「ユーザーに過剰な権限を与えない」という原則自体は、オンプレミス時代からもあったセキュリティの原則であり分かりやすい。しかし、それを利用しているクラウドの設定に合わせて落とし込むには一定の知識が求められる。コンテナやサーバレスといった新しい技術ともなればなおさらだ。
「クラウドの新しい技術に沿って設定しなければいけない項目自体がどんどん増えています。その中で単純に『権限を絞る』といっても、では具体的に誰にどういう権限をどこまで与えればいいのかを判断するのはなかなか難しいでしょう」(河浦氏)
ましてやそれを、マルチクラウド環境で実施していくとなると、難易度はさらに上がる。根本的な原則や考え方は共通でも、サービスによって細かな設定項目や内容、機能の名称は異なる。それらを理解した上で、自社のセキュリティポリシーに合致した形で設定したり、標準化したりするのは複雑な作業であり、見落としも発生しかねない。残念ながら、「専門知識のない担当者だけでセキュリティレベルを保っていくのは非常に困難です」(矢沢氏)というのが実情だ。
クラウド全体を、網羅的に脆弱性を洗い出す診断サービス
必ずしもクラウドのプロでも、セキュリティのプロでもない担当者にとって、必要な設定を漏れなく実施し、運用後もシステム変更がないかどうかをマニュアルで監視していくのは困難な作業だ。そこを補う手段として注目したいのが、クラウドに特化したセキュリティ診断サービスだ。
日立ソリューションズでも、これまで提供してきたセキュリティ診断サービスの体系の1つとして「クラウドセキュリティ診断」の提供を開始している。
日立ソリューションズでは以前から、企業システムに潜むさまざまな脆弱(ぜいじゃく)性をツールと専門家の知識を組み合わせて網羅的にチェックするセキュリティ診断サービスを提供してきた。「お客さまのシステムは攻撃者の目からどう見えるか」という観点で不備や脆弱性をチェックして「診断結果報告書」にまとめ、問題点を分かりやすく指摘した上で修正を支援するサービスだ。
「どの企業も当然セキュリティ対策は実施していますが、新たな脆弱性は次々と発生します。サービスの拡張やメンテナンスをきっかけに設定ミスが生まれる恐れもありますから、定期的に、健康診断のような形でチェックをすることが重要です」(矢沢氏)
新たに追加したクラウドセキュリティ診断も、こうしたコンセプトを踏まえ、インフラだけでなく、その上で動作するOS・ミドルウェア、アプリケーション、そしてデータに至るまで、クラウド環境を網羅的に診断し、パッチが未適用だったり脆弱性が含まれたコンポーネントがあったりしないか、設定ミスがないかといった事柄を洗い出すものだ。
「ちょうど人間ドックのように、頭からつま先に至るまで一通りチェックして、広範囲のリスクを洗い出せることが特長です。クラウドインフラの一部分にとどまらず、ミドルウェアやコンテナ、サーバレスの設定に至るまで、さまざまなシステムであっても広範囲なリスクをまとめて洗い出せます」(河浦氏)
しかも、侵入を防ぐために必要な設定のチェックだけでなく、万が一侵入された場合に被害を低減するための対策も確認できる。「攻撃者が感染拡大のため侵入後に行う常套(じょうとう)手段の1つが、OSの正規の機能を悪用して、内部の偵察や認証情報の窃取を行う『ラテラルムーブメント』です。攻撃者は情報窃取のため管理者権限を求めて認証情報を収集します。侵入後の被害拡大を防止するために、残置している認証情報がないかなどをこの診断では確認できます」(河浦氏)
もう1つの特長は、既存の、稼働中のシステムに影響を与えることなく診断が行えることだ。脆弱性を確認したいからといってさまざまな診断を行い、実サービスに負荷をかけたり、挙動に影響を与えてしまったりしては元も子もない。
クラウドセキュリティ診断サービスでは、利用中のシステムではなく複製したシステムに対して診断を行うため、既存システムに一切影響を与える恐れがない。クラウドベンダーが外部からの診断を本当の攻撃と勘違いして、接続が遮断されて対応に追われる……といったこともない。
また一般的な外部から攻撃をシミュレーションするタイプの診断では、インターネットに公開されている部分しか診断できないが、日立ソリューションズのクラウドセキュリティ診断は、クラウド環境を内部から診断するので、本番環境だけでなく、事故が多発している開発・検証環境の診断も実施できることもポイントだ。「内部の弱さ」も把握し対策しておくことで、万が一、開発・検証環境が一時的に外部に公開されてしまった場合でも被害を低減することができる。
診断を通じてセキュリティを確保しながらクラウド活用を
日立ソリューションズは今後、セキュリティ診断サービス体系の1つとして提供している「ペネトレーションテスト」の対象をクラウド環境にも広げることを検討している。また、基本的な項目を重点的にチェックするなど、よりお客さまのニーズに合わせたサービスメニューを追加することも予定しているという。
「最初はセキュリティを漏れなく設定していても、その後の機能エンハンスで新たなコンテナモジュールを追加したり、メンテナンスのために一時的に通信制御の設定を変更したりする際にどうしても設定ミスは生じますから、繰り返しセキュリティ診断を実施することが重要です」(河浦氏)
恐らく今後もクラウドシフトの波はとどまることはないだろう。その中で、さまざまな狙いを持ったサイバー攻撃者から、クラウド上で運用する本番環境はもちろん、開発・検証環境も含めて守っていくためには、専門的な知見を生かしたサービスの力をうまく取り入れることが有効だ。限られたリソースの中で安全にクラウドを活用するために、日立ソリューションズが提供するクラウドセキュリティ診断をぜひ検討してみてはいかがだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社日立ソリューションズ
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年9月17日