サイロの打破: クラウドのセキュリティリスクをエコシステム視点で捉える

クラウドセキュリティに対するアプローチにまとまりがないと、状況が明確化されずノイズが増加し、最初に修正すべき問題の優先順位付けが難しくなります。 Tenable がクラウドセキュリティを一元的なエクスポージャー管理プラットフォームに統合することで、この課題をどのように解決し、組織の最大のサイバーリスクを特定するための文脈を提供するのかをご覧ください。

クラウドセキュリティを管理するだけでなく、真のサイバーエクスポージャーを把握しましょう。 

今日の複雑なマルチクラウド環境では、セキュリティチームが導入するツールが増えるほど、把握するサイバーリスクもより断片的なものになっていきます。 

脆弱性、設定ミス、アイデンティティの脅威、データエクスポージャーなど、あらゆるものを検出して管理しなければならないので、さまざまな製品やツールが使用されています。 それがどのような状況を生み出すかと言えば、言うまでもなく、バラバラな製品はうまく相互連携して機能できないということです。

その結末はどうなるのでしょうか。ツールの無秩序な増加によってセキュリティ予算が膨れ上がり、運用上の摩擦が生じ、アラート疲れが悪化し、リスクの優先順位付けが困難になります。 

セキュリティ運用、サイバーセキュリティ、DevSecOps、ガバナンス、リスク、コンプライアンスなどのサイバー担当チームは、バラバラに作業を進め、複数のダッシュボードから、それぞれ異なるデータソースから取り込んだデータを確認しています。

データソース別に生成されたさまざまなレポートが提示され、それぞれが組織のサイバー空間に露呈されたリスクの断片しか示していない場合、情報セキュリティの責任者は「何を最初に修正すべきか」という 基本的な質問に答えるのに苦戦することになります。

こうした質問に答えるために、ハイブリッド環境とマルチクラウド環境を有する組織は孤立したポイント製品の枠を超え、エコシステム全体でサイバーリスクを一元的に捉える必要があります。

Tenable One サイバーエクスポージャー管理プラットフォームと統合される CNAPP (クラウドネイティブアプリケーション保護プラットフォーム) である Tenable Cloud Security が実現する一元的な対応について、このブログで詳細をご確認ください。

まとまりのないセキュリティ戦略の代償

断片化されたセキュリティアプローチは、具体的に次のような結果をもたらします。

• 雑然としたリスクシグナル: クラウドセキュリティツールによって、重大な脆弱性を、公開されている資産における過剰な権限が付与されたアイデンティティと関連付けることができなければ、潜在的な攻撃経路の全体像を把握できません。 各ツールから断片的な情報は得られますが、それらすべてをまとめてくれるツールはありません。
• 運用の非効率化: リスクに関する情報が共有されないため、チーム間の協調や連携が困難になります。 DevOps チームは迅速かつ継続的にコードをリリースすることを優先するかもしれませんが、その一方で SecOps チームは開発に関する文脈のないアラートに圧倒されてしまいます。 このような足並みの乱れがあると、対応時間が長くなり、重大なリスクの存続を容認する状態になります。
• コストと複雑さの増大: CISO が導入するポイント製品が増えるのに伴って、ライセンス料、トレーニングの必要性、複雑さが増大します。 このようなツールの無秩序な増加により、まとまりのないセキュリティスタックの問題に取り組むことになるため、セキュリティが強化されるどころか、有効性が低下してしまいます。
• リスクの優先順位付けのギャップ: それぞれに特定の領域のサイバーリスクスコアが示されている複数のダッシュボードを確認する際に、どの問題がより重大なのかを判断するにはどうすれよいのでしょうか。 共通した均一なリスクスコアリングモデルがなければ、十分な情報を得たうえで判断を下し、それに応じてリソースを割り当てることはできません。

Tenable Cloud Security は、クラウドのリスクに対する統合ビジョン

組織がこのような課題を解決するには、クラウドセキュリティを別のサイロとしてではなく、より広範なエクスポージャー管理戦略に統合されたコンポーネントとして扱うクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) が必要です。 これこそが、Tenable が理解している重要な第一原則です。

Tenable One サイバーエクスポージャー管理プラットフォームを活用した Tenable Cloud Security は、インフラのコード化 (IaC)、クラウドランタイム環境、ユーザーアイデンティティ、IT インフラ全体のリスクを関連付けることでエコステム全体を把握します。 Tenable では、明確な情報をすべて 1 つのプラットフォームから SecOps、CloudSec、DevOps、GRC の各チームに提供する、単一の統合プラットフォームを用意しています。

全体像を把握するための主要機能

Tenable は、まったく異なるシグナルを結び付けて実用的な文脈を提供するよう設計され、緊密に統合された一連の機能を通じてこのような統合ビジョンを実現します。

1. 一元的なリスクの関連付け: Tenable は、単に脆弱性や設定ミスを列挙するだけでなく、 異なるリスクが重なり合う危険な状況である「有害な組み合わせ」を積極的に特定します。 たとえば、過剰な権限を付与されたアイデンティティでもアクセスできる、一般アクセスが可能なクラウドサーバー上の、悪用される可能性がある脆弱性を特定できます。 このように全体像を把握することにより、最も悪用される可能性が高い攻撃経路に、攻撃者に悪用される前に光を当てます。
2. 共通の優先順位付け: Tenable は、(CVSS や Tenable 独自の VPR (脆弱性優先度格付け) などの) 脆弱性データ、資産の重要度、アクセス経路を組み合わせて標準化したリスクスコアリングモデルを採用しています。 これにより、コンテナ、ネットワークデバイス、またはクラウドワークロードのいずれに由来するのかを問わず、リスクに関する単一のわかりやすい指標が示されます。 そしてそれにより、すべてのチームが共通の理解に基づいて業務を行い、アラート疲れを軽減して最大のリスクに注力できるようになります。
3. 開発からランタイムまでの文脈: セキュリティは後から付け足すことができません。 Tenable は、コードからクラウドまでのトレーサビリティを提供し、(Terraform のような) IaC テンプレートで見つかったリスクを実際のランタイム環境に結び付けます。 このような「シフトレフト」のアプローチにより、開発者はライフサイクルの早い段階でリスクを修正できるようになるうえ、セキュリティチームに完全な文脈が提供されるため、開発と運用のギャップが解消されます。
4. アイデンティティを意識した最小権限の適用: 効果的なクラウドセキュリティのカギを握るのは、統合されたクラウドインフラ権限管理 (CIEM) です。 Tenable は、人間とマシンすべてのアイデンティティの過剰な権限と使用されていない権限を明らかにします。 インターネットに公開されているリソースに対する管理者レベルのアクセス権限などの有害な組み合わせを可視化することにより、Tenable は組織が最小権限のポリシーを適用してアタックサーフェスを大幅に縮小できるよう支援します。
5. 取締役会レベルへの報告と戦略的な連携: Tenable は、複雑で技術的な検出結果を別の言葉に置き換えて、エクスポージャーをビジネスへの影響にマッピングしたエグゼクティブ向けのレポートを作成します。 これにより、セキュリティ部門の責任者はコンプライアンスを明示して投資の正当性を証明し、経営幹部や取締役が理解できる言葉で組織のリスク態勢を伝えることができます。

Tenable の強み: サイロからシナジーへ

クラウドセキュリティを包括的なエクスポージャー管理プラットフォームに統合することにより、Tenable Cloud Security は次のような革新的なメリットをもたらします。

• ツールの統合: 複数のポイント製品を単一の統合プラットフォームに置き換えることにより、コストと複雑さを低減できます。
• チーム間のコラボレーション: リスクに関する共通の文脈化されたビューを提供して SecOps、CloudSec、DevOps チームを連携させ、ワークフローを最適化して修正を迅速化できます。
• リスクベースの優先順位付け: リスクが環境内のどこに存在するのかを問わず、無数のアラートを追跡することから最も重要な問題を修正することへと移行できます。
• 継続的なコンプライアンス: 監査の準備を合理化し、一般的な業界や規制のフレームワークとの整合性を維持し続けることができます。

Tenable は、組織が DX 時代のアタックサーフェス全体のサイバーリスクを管理できるよう支援します。 そして、すばやく行動して安全にイノベーションを実現し、最も重大なサイバーリスクに対処するために必要な明確さ、文脈、自信を提供します。

Tenable Cloud Security がどのようにエコシステムのクラウドリスクの把握を支援できるのかについては、こちらをクリックして詳細をご確認ください。