ノーパワーは、より大きな責任を伴う

ロドマン・ラメザニアン - エンタープライズ・クラウド・セキュリティ・アドバイザー、Skyhigh Security

2022年5月19日 6 分読み

大いなる力には大いなる責任が伴う」という言葉を聞いたことがあるだろう。ピーター・パーカーの原則」とも呼ばれるこの言葉は、大衆文化の中でよく知られるようになったのは、主にピーター・パーカーが主人公のスパイダーマンのコミックや映画のせいである。このフレーズは今日、ウィキペディアに独自の記事があるほどよく知られている。この言葉の要点は、もしあなたがより良い変化を起こす力を与えられたなら、そうする道徳的義務があるということだ。

 

しかし、クラウドのセキュリティ、特にIaaS（Infrastructure as a Service）のセキュリティについて顧客と話すうちに気づいたのは、私が「ジョン・マクレーンの原則」と呼んでいる現象だ。

ジョン・マクレーンの法則」は、誰かが何かを修正する責任を与えられているにもかかわらず、同時に必要な変更を行う権限を与えられていない場合に起こります。表面的には、このシナリオは不条理に聞こえるかもしれませんが、多くの情報セキュリティチームがこの問題に共感していることは間違いないでしょう。会話は次のようなものです：

• CEOからインフォセックへ：クラウドの安全性を確保してください。私は次の[最新の情報漏えいをここに挿入]になりたくない。
• インフォセックからCEOへ：ええ、クラウドをどのように使っているかを調べてみたのですが、問題の大半はプロセスと知識の欠如に起因しています。当社にはクラウド上で独自のことを行っているチームがたくさんあり、私は彼らが何をしているのか完全に把握できていません。
• CEOからインフォセックへ：よし、直せ。
• インフォセックからCEOへ：問題は、私がそのチームに対して何も言えないことだ。彼らはやりたい放題だ。問題を解決するには、クラウドの使い方を変えなければならない。管理職の賛同を得る必要があるが、その管理職は何も変えたくないと言っている。
• CEOからインフォセックへ：君ならきっと解決できる。幸運を祈る。

その時こそ、「力がなければ、責任は重くなる」という言葉が真実味を帯びてくる。

それはなぜでしょうか？それは、IaaS（Infrastructure-as-a-Service）がITの利用方法を根本的に変え、それに伴いセキュリティの拡張方法も変えたからです。もはや、インフラリソースを立ち上げるために、購入リクエストを提出し、長い長いプロセスを経る必要はありません。今やクレジットカードさえあれば、世界中の誰もが数分でデータセンターと同等のものを立ち上げることができるのです。

しかし、この俊敏性は、情報セキュリティに意図しない変化をもたらしました。クラウドセキュリティを拡張するためには、1つのチームが単独で責任を負うことはできません。むしろ、クラウドセキュリティはプロセスに組み込まれなければならず、開発、アーキテクト、運用の間のコラボレーションに依存します。これらのチームは、クラウドセキュリティにおいてより重要な役割を担うようになり、多くの場合、セキュリティを強化するために変更を実施できる唯一の存在となりました。情報セキュリティは現在、ゲートキーパーではなくシェルパとして、すべてのチームが同じ安全なペースで進んでいることを確認する役割を担っています。

しかし、John McClaneが言うように、クラウドセキュリティを担当するチームが多ければ多いほど、必ずしも優れたソリューションがあるわけではありません。実際、優先順位の異なる複数のチームにまたがって調整しなければならないため、セキュリティはさらに複雑になり、スピードも低下します。そのため、開発者、アーキテクト、情報セキュリティのコラボレーションを促進しながらも、同時にガードレールを提供し、隙を与えない合理的なセキュリティソリューションが必要なのです。

Skyhighのクラウドセキュリティサービスは、クラウド上でアプリケーションを移行・開発するお客様のために特別に構築されました。私たちはこれをSkyhighCloud-Native Application Protection Platform 、またはSkyhigh CNAPPと呼んでいます。

Skyhigh CNAPPとは？Skyhigh CNAPPは、Cloud Security Posture Management (CSPM)、Cloud Workload Protection Platform (CWPP)、Data Loss Prevention (DLP)、Application Protectionのソリューションを1つに統合したソリューションです。CNAPPを構築したのは、情報セキュリティ・チームがクラウド・ネイティブ・アプリケーションを幅広く可視化できるようにするためです。むしろ、開発チームが迅速に行動できるようにしながら、情報セキュリティチームがクラウドセキュリティに必要な可視性とコンテキストを提供するにはどうすればよいかを考えました。

スカイハイCNAPPにはどのような機能があるのかを簡単に説明し、お客様から支持されている機能を挙げてみます。

クラウドサービスポスチャーマネジメント(CSPM)

今日のIaaSにおける侵害の大部分は、サービスの誤設定によるものです。ガートナーは2016年に "クラウドセキュリティの失敗の95%は顧客の責任になる "という有名な言葉を残しています。2019年、ガートナーはその言葉を更新し、"クラウドセキュリティの失敗の99%は顧客の責任になる "と言っています。私は、ガートナーのが "105% will be the customer's fault" と言う日を待ち望んでいます。

なぜ、その割合が高いのでしょうか？理由は複数ありますが、お客様からよく聞くのは、新しいサービスを安全に利用するための知識が圧倒的に不足していることです。各クラウドプロバイダーは、目まぐるしいスピードで新しいサービスや機能をリリースしており、採用の妨げになるものはありません。しかし、残念ながら、これらの新しいサービスや機能をどのように構成するのがベストなのかを知り、理解する人材が、業界のペースに合っていないのです。スカイハイのCNAPPは、すべてのクラウドサービスを即座に監査し、CIS Foundation、PCI、HIPPA、NISTなどのベストセキュリティプラクティスや業界標準に照らしてサービスをベンチマークする機能を顧客に提供します。

その監査（私たちはこれをセキュリティインシデントと呼んでいます）の中で、Skyhigh CNAPPは、セキュリティを向上させるためのサービスの再設定方法に関する詳細情報を提供します。また、このサービスは、誰が何を所有し何を変更する必要があるのか曖昧にならないように、サービスレベル契約（SLA）により開発チームへセキュリティインシデントを割り振る機能を提供します。これらのワークフローはすべて自動化できるため、複数のチームがほぼリアルタイムで問題を発見し、修正することができます。

さらに、Skyhigh CNAPPは、お客様の環境特有のリスクの高い設定ミスを特定するためのポリシーを作成できるカスタムポリシー機能や、セキュリティ基準を満たさないデプロイメントに対するフィードバックを提供するJenkins、Bitbucket、GitHubなどの開発者ツールとの連携機能を備えています。

クラウドワークロードプロテクションプラットフォーム

IaaSプラットフォームは、Linux（OS）、Docker（コンテナ）、Kubernetes（オーケストレーション）のようなオープンソースソフトウェア（OSS）の触媒となっている。これらのツールを使用する際の課題は、ソフトウェア・ライブラリや新しいサービスをデプロイする際の設定ミスに見られるCVE（Common Vulnerabilities and Exposures）のリスクを内在していることだ。ガートナーによるもう一つの有名な引用は、"コンテナに対する攻撃の70%は、修正可能であった既知の脆弱性と誤設定によるものである "というものだ。しかし、情報セキュリティチームは、特に複数の開発者チームがCI/CDパイプラインに頻繁なリリースをプッシュするエフェメラルな環境において、これらの脆弱性や誤ったコンフィギュレーションをどのように迅速に発見するのだろうか？

Skyhigh CNAPPは、IaaSで稼働するすべてのコンピュートインスタンス、コンテナ、コンテナサービスを識別し、重要なCVE、リポジトリと本番コンテナサービスの両方の設定ミスを識別し、いくつかの新しい保護機能を導入することでワークロードを完全に保護します。これらの機能には、アプリケーションの許可リスト、OSのハードニング、ファイルの整合性監視などがあり、近日中にナノセグメンテーションとオンプレミスのサポートを導入する予定です。

お客様のお気に入り

• テナント内DLPスキャン：多くのお客様は、一般に公開されているクラウドストレージサービス（バケットと呼ばれることもあります）に対して正当なユースケースを持っていますが、同時にそれらのバケットに機密データがないことを確認する必要があります。このようなサービスにDLPを使用する際の課題は、市場で入手可能な多くのソリューションがデータをベンダー自身の環境にコピーしてしまうことです。このため、イグレスチャージによる顧客コストが増加し、データ転送によるセキュリティ上の課題も生じます。CNAPPを使用すると、データはIaaS環境から出ることなく、テナント内でDLPスキャンを実行することができます。
• クラウド向けMITRE ATT&CKフレームワーク：セキュリティオペレーションセンター（SOC）の言語はMITREですが、クラウドのセキュリティインシデントがこのフレームワークにどのように適合するかには、多くのニュアンスがあります。Skyhigh CNAPPでは、すべてのCSPMとCWPPのセキュリティ・インシデントをMITREにマッピングするエンドツーエンドのプロセスを構築しました。これにより、情報セキュリティチームと開発チームは、すべてのクラウドインシデントを自動的にMITREに分類し、迅速な対応とより良いコラボレーションを促進することで、より効果的に連携できるようになりました。
• 統合アプリケーション・セキュリティ：CNAPPは、ガートナーMagic Quadrant Leader forCloud Access Security Broker (CASB)のMVISION Cloudサービスと同じプラットフォーム上に構築されています。お客様は、SaaS アプリケーションと IaaS で構築しているアプリケーションを、同じソリューションで詳細に可視化し、セキュリティ管理できるようになりました。当社の顧客は、コンシューマー向けのSaaSとビルダー向けのIaaS、すべてのチームにわたってアプリケーション・リスクの全体像を把握できる1つのコンソールを気に入っています。

まだまだ強調したい機能はたくさんありますが、その代わりに、ぜひご自身でこのソリューションをチェックしてみてください。リリースの詳細については、https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.htmlをご覧いただくか、https://www.skyhighsecurity.com/forms/demo-request-form.html でデモをリクエストしてください。Skyhigh CNAPPが、クラウドでより力を発揮し、責任を果たすためにどのように役立つのか、ぜひご意見をお聞かせください。

ブログへ戻る