力なきところに、より大きな責任が伴う

Rodman Ramezanian 著 - エンタープライズクラウドセキュリティアドバイザー、Skyhigh Security

2022年5月19日 6 分で読めます

「大いなる力には大いなる責任が伴う」というフレーズを、おそらく耳にしたことがあるでしょう。「ピーター・パーカーの原則」とも呼ばれるこの言葉は、主人公ピーター・パーカーが登場するスパイダーマンのコミックや映画によって、大衆文化に広く知られるようになりました。このフレーズは今日では非常に有名で、Wikipediaに専用の記事があるほどです。この言葉の要点は、より良い変化をもたらす力を与えられたのであれば、そうする道義的責任があるということです。

 

しかし、私がお客様とクラウドセキュリティ、特にIaaS（Infrastructure as a Service）のセキュリティについて話す中で気づいたことがあります。それは、私が「ジョン・マクレーン原則」と呼んでいる現象です（無関係な人々を保護するため、名前は変更されています）。

ジョン・マクレーン原則とは、何かを修正する責任を与えられたにもかかわらず、同時に必要な変更を行う権限を与えられていない場合に発生します。一見すると、このシナリオは不合理に聞こえるかもしれませんが、多くのInfoSecチームがこの問題に共感できると確信しています。その会話は次のようなものです。

• CEOからInfoSecへ: クラウドのセキュリティを確保する必要があります。次の[最新の侵害をここに挿入]になりたくありません。
• InfoSecからCEOへ: ええ、弊社のクラウド利用状況を調べたところ、問題の大部分はプロセスと知識の不足に起因しています。多くのチームがクラウドで独自の活動を行っており、彼らが何をしているのかを完全に把握できていません。
• CEOからInfoSecへ: よし、解決してくれ。
• InfoSecからCEOへ: ええと、問題は、私がそれらのチームに対して何の権限も持っていないことです。彼らは好きなようにできます。問題を解決するには、彼らがクラウドの利用方法を変える必要があります。マネージャーからの賛同を得る必要がありますが、彼らは物事が遅くなるからと、何も変更することに興味がないと言っています。
• CEOからInfoSecへ: きっと解決できるでしょう。頑張ってください、そして侵害は絶対に避けなければなりません。

そのとき、「権限がなければ責任が増す」という言葉が真実味を帯びてきます。

なぜでしょうか？その理由は、Infrastructure-as-a-Service (IaaS) がITの消費方法、そしてそれに伴うセキュリティの拡張方法を根本的に変えたからです。もはや、インフラリソースを立ち上げるために購入申請を提出し、長く煩雑なプロセスを経る必要はありません。今や、クレジットカードさえあれば、誰でも数分で世界中にデータセンターと同等のものを立ち上げることができます。

しかし、俊敏性は情報セキュリティ部門にいくつかの意図しない変化をもたらし、規模を拡大するためには、クラウドセキュリティが単一チームの責任であってはなりません。むしろ、クラウドセキュリティはプロセスに組み込まれ、開発、アーキテクト、運用間の連携に依存する必要があります。これらのチームは現在、クラウドセキュリティにおいてより重要な役割を担っており、多くの場合、セキュリティを強化するための変更を実装できる唯一の存在です。情報セキュリティ部門は今や、すべてのチームが同じ安全なペースで進むことを確実にするために、ゲートキーパーではなくシェルパのように導く役割を果たしています。

しかし、ジョン・マクレーンが言うように、クラウドセキュリティを担当するチームが多ければ多いほど、必ずしもより良いソリューションが得られるわけではありません。実際、異なる優先順位を持つ複数のチーム間で調整する必要があるため、セキュリティはさらに複雑になり、作業が遅れる可能性があります。したがって、開発者、アーキテクト、InfoSec間のコラボレーションを促進しつつ、同時にガードレールを提供することで、何も見落とされないようにする合理化されたセキュリティソリューションが必要とされています。

当社のクラウドセキュリティサービスは、クラウドでアプリケーションを移行および開発しているお客様のために特別に構築されました。当社はこれをSkyhigh Cloud-Native Application Protection Platform、または単にSkyhigh CNAPPと呼んでいます。なぜなら、すべてのサービスには頭字語がふさわしいからです。

Skyhigh CNAPPとは？ Skyhigh CNAPPは、Cloud Security Posture Management (CSPM)、Cloud Workload Protection Platform (CWPP)、Data Loss Prevention (DLP)、およびアプリケーション保護のソリューションを単一のソリューションに統合します。当社は、情報セキュリティチームがクラウドネイティブアプリケーションに対して広範な可視性を得るためにCNAPPを構築しました。私たちにとっての目標は、すべてを安全にするために物事を遅らせる方法ではなく、開発チームが迅速に作業を進めながら、情報セキュリティチームがクラウドセキュリティに必要な可視性とコンテキストをどのように提供するかでした。

Skyhigh CNAPPが持つ機能と、お客様に人気の機能をいくつかご紹介します。

クラウドサービスポスチャ管理 (CSPM)

今日のIaaSにおける侵害の大部分は、サービスの設定ミスによるものです。ガートナーは2016年に「クラウドセキュリティの失敗の95%は顧客の責任である」と有名に述べました。2019年には、ガートナーはその引用を更新し、「クラウドセキュリティの失敗の99%は顧客の責任である」と述べました。私はガートナーが「105%が顧客の責任である」と言う日を待っています。

なぜこれほど高い割合なのでしょうか？理由は複数ありますが、お客様からは、新しいサービスを安全に利用する方法に関する知識が大幅に不足しているという声を多く聞きます。各クラウドプロバイダーは、導入を妨げるものがないまま、目まぐるしいペースで新しいサービスと機能を提供しています。残念ながら、業界はこれらの新しいサービスと機能を最適に構成する方法を知り理解している人材の育成に追いついていません。Skyhigh CNAPPは、お客様がすべてのクラウドサービスを即座に監査し、それらのサービスをCIS Foundations、PCI、HIPPA、NISTなどの最高のセキュリティプラクティスおよび業界標準に対してベンチマークする機能を提供します。

その監査（当社ではセキュリティインシデントと呼んでいます）において、Skyhigh CNAPPはセキュリティを向上させるためにサービスを再構成する方法に関する詳細情報を提供しますが、このサービスは、セキュリティインシデントを開発チームにサービスレベル契約（SLA）付きで割り当てる機能も提供するため、誰が何を所有し、何を変更する必要があるかについて曖昧さがありません。これらのワークフローはすべて自動化できるため、複数のチームがほぼリアルタイムで問題を発見し、修正する権限を与えられます。

さらに、Skyhigh CNAPPにはカスタムポリシー機能があり、お客様は自社の環境に固有の危険な設定ミスを特定するためのポリシーを作成できます。また、セキュリティ標準を満たさないデプロイメントに関するフィードバックを提供するJenkins、Bitbucket、GitHubなどの開発者ツールとの連携も可能です。

クラウドワークロード保護プラットフォーム

IaaSプラットフォームは、Linux（OS）、Docker（コンテナ）、Kubernetes（オーケストレーション）といったオープンソースソフトウェア（OSS）の触媒となっています。これらのツールを使用する上での課題は、ソフトウェアライブラリに見られるCVE（Common Vulnerabilities and Exposures）の固有のリスクや、新しいサービスをデプロイする際の誤設定です。ガートナーの有名な引用によると、「コンテナに対する攻撃の70%は、修正可能であった既知の脆弱性や誤設定に起因する」とされています。しかし、InfoSecチームは、特に複数の開発チームがCI/CDパイプラインに頻繁にリリースをプッシュする一時的な環境において、これらの脆弱性や誤設定をどのように迅速に発見できるのでしょうか？

Skyhigh CNAPPは、IaaSで実行されているすべてのコンピューティングインスタンス、コンテナ、コンテナサービスを識別することで、完全なワークロード保護を提供します。同時に、重要なCVE、リポジトリおよび本番コンテナサービスの両方における設定ミスを特定し、いくつかの新しい保護機能を導入します。これらの機能には、アプリケーションの許可リスト化、OSの強化、ファイル整合性監視が含まれており、ナノセグメンテーションとオンプレミスサポートを近日中に導入する予定です。

お客様のお気に入り

• テナント内DLPスキャン: 弊社のお客様の多くは、公開されたクラウドストレージサービス（「バケット」と呼ばれることもあります）を正当な目的で利用していますが、同時にそれらのバケットに機密データが含まれていないことを確認する必要があります。これらのサービスにDLPを使用する際の課題は、市場に出回っている多くのソリューションがデータをベンダー自身の環境にコピーしてしまうことです。これにより、お客様はデータ転送費用（エグレスチャージ）が増加し、データ転送におけるセキュリティ上の課題も発生します。CNAPPは、データがIaaS環境から決して離れることなくテナント内DLPスキャンを実行できるため、プロセスがより安全で費用も抑えられます。
• MITRE ATT&CK Framework for Cloud: SOC（Security Operation Centers）の共通言語はMITREですが、クラウドセキュリティインシデントがこのフレームワークにどのように適合するかには多くのニュアンスがあります。Skyhigh CNAPPでは、すべてのCSPMおよびCWPPセキュリティインシデントをMITREにマッピングするエンドツーエンドのプロセスを構築しました。これにより、InfoSecチームと開発チームは、すべてのクラウドインシデントを自動的にMITREに分類することで、より効果的に連携し、迅速な対応とより良いコラボレーションを促進できます。
• 統合されたアプリケーションセキュリティ: CNAPPは、当社のMVISION Cloudサービスと同じプラットフォーム上に構築されています。MVISION Cloudサービスは、Gartner Magic Quadrant Leader for Cloud Access Security Broker (CASB)に選出されています。お客様は、SaaSアプリケーションとIaaSで構築しているアプリケーションの両方に対して、同じソリューションで詳細な可視性とセキュリティ制御を得られるようになりました。お客様は、消費者向けのSaaSと開発者向けのIaaSという、すべてのチームにわたるアプリケーションリスクの全体像を提供する単一のコンソールを高く評価しています。

強調したい機能は他にもたくさんありますが、代わりに、ご自身でソリューションをご確認いただくことをお勧めします。リリースに関する詳細については、https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.html をご覧いただくか、https://www.skyhighsecurity.com/forms/demo-request-form.html でデモをリクエストしてください。皆様からのフィードバックをいただき、Skyhigh CNAPPがクラウドにおいて皆様がより権限を持ち、責任を果たす上でどのように役立つかをお聞かせいただければ幸いです。

ブログへ戻る