AWS ネイティブツールでクラウドセキュリティ戦略を構築

Amazon Web Services を使用しており、クラウドセキュリティ戦略の構築をお考えでしょうか。もしそうなら、選択肢は豊富にあります。 それぞれの選択肢の長所と短所、そして Tenable Cloud Security のような CNAPP でそれらを補強する必要がある理由についてご紹介します。

Amazon Web Services (AWS) を利用していて、クラウドセキュリティ戦略の構築を検討しているなら、まず思い浮かぶのは AWS が提供する各種サービスの活用でしょう。実際、AWS には基盤となるセキュリティの確立、脅威の監視、コンプライアンス要件の遵守を支援する豊富なネイティブ機能が揃っています。しかし、規模を拡大し、動的な環境に対応しようとすると、すぐにいくつかの課題に直面することになります。 そこで価値を発揮するのが、Tenable Cloud Security のようなクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) です。

この記事は、AWS のネイティブツールを使って基礎的なセキュリティ戦略を構築しようとしているクラウドセキュリティ担当者のためのガイドです。 特にマルチクラウド、アイデンティティ、文脈が豊富なシナリオを保護しようとしている場合に、何に注意すべきかを探ります。

取り上げるトピックは以下の通りです。

• 中核となる AWS のネイティブセキュリティサービス
• AWS のネイティブツールでは不十分な点
• CNAPP を使用してネイティブツールを補強することで実現できること

核となる AWS ネイティブセキュリティサービスとその使用方法

AWS は、アイデンティティ、検出、設定、データ保護を含む幅広いツールを提供しています。

クラウドの導入を始めるにあたって、これらのツールを使ってセキュリティ原則を実装するのが最も自然なことです。

以下のセクションでは、提供されている主なツールとその用途について説明します。

アイデンティティアクセス管理 (IAM)

• AWS IAM: ポリシー、ロール、ユーザーグループを作成することで、きめ細かなアクセス制御を定義します。 ベストプラクティスには、最小権限の適用、ロールベースのアクセス制御の使用、ルートアカウントの使用を避けることなどが含まれます。 サービス間通信に IAM ロールを使用します。
• AWS IAM Access Analyzer: リソースの意図しない外部共有を検出するのに役立ちます。 Simple Storage Service (S3)、IAM ロール、Lambda 機能などのリソースにアタッチされた IAM やリソースベースのポリシーを分析し、リスクのあるアクセス経路を洗い出します。 さらに、Access Analyzer には、CloudTrail のアクティビティに基づいて最小権限ポリシーをオンデマンドで生成する機能など、実に興味深い特長がいくつかあります。
• AWS IAM Access Advisor: ユーザーまたはロールが使用を許可されている各 AWS サービスの最終アクセス時刻を表示することで、使用されていない権限を特定するのに役立ちます。
• AWS Organizations: アカウント全体にわたってガードレールを適用することで、一元的なガバナンスを可能にします。 サービスコントロールポリシー (SCPs) とリソースコントロールポリシー (RCPs) を適用できます。これらによって、最大アクセス許可の境界を、それぞれアカウント内のアイデンティティに付与、またはアカウント内のリソースに適用できます。

ネットワークセキュリティ

• セキュリティグループとネットワークアクセス制御リスト (ACL): 仮想ファイヤーウォールを実装し、インスタンスまたはサブネットレベルでインバウンド/アウトバウンドトラフィックを制御します。 セキュリティグループはステートフルであり、ネットワークアクセス制御リスト (NACL) はステートレスです。 定期的にオープンポートを監査し、既知の IP 範囲に制限します。
• 仮想プライベートクラウド (VPC) フローログ: VPC 内のネットワークインターフェースを行き来する IP トラフィックをキャプチャします。トラブルシューティング、フォレンジック分析、異常検出に役立ちます。
• AWS Network Firewall / AWS Web Application Firewall (WAF):
  • Network Firewall: VPC レベルで展開され、より詳細なパケットの検査とレイヤー 7 のフィルタリングを行います。
  • AWS WAF: CloudFront または API Gateway に適用され、一般的な OWASP の脅威からウェブアプリケーションを保護します。

データ保護

• AWS Key Management Service (KMS): カスタマーマネージドキー (CMK) または AWS マネージドキーを使用して、S3、Relational Database Service (RDS)、Elastic Block Storage (EBS) などのサービス内に保存されたデータを暗号化します。 鍵の自動ローテーションを設定し、CloudTrail 経由で鍵の使用状況を監査できます。
• Amazon Macie: 機械学習を使用して、S3 内の機密データを自動的に分類し、保護します。 個人を特定できる情報 (PII) 、財務データ、認証情報を検出します。 Security Hub と統合し、アラートを一元化します。
• S3 ブロックパブリックアクセス: S3 バケット、オブジェクト、アクセスポイントの公開を防ぐために、グローバルにルールを適用します。

脅威の検出とモニタリング

• Amazon GuardDuty: CloudTrail ログ、VPC フローログ、DNS ログを継続的に監視し、脅威を検出します。 偵察活動、インスタンスの侵害、アカウントの異常などの調査結果を提供します。 アカウント全体で簡単に有効化できます。
• Amazon Inspector: Elastic Compute Cloud (EC2) とコンテナイメージの脆弱性を自動的にスキャンします。 コンテナの脆弱性スキャンにおいて、Elastic Container Registry (ECR) がサポートされるようになりました。 古いパッケージや CVE を特定するのに役立ちます。
• AWS Security Hub: 複数の AWS サービス (GuardDuty、Macie、Inspector) および AWS パートナーツールからのセキュリティ調査結果を集約します。 一元的なダッシュボードを提供し、コンプライアンスチェック (例: CIS ベンチマーク) の実行を可能にします。
• CloudTrail と CloudWatch:
  • CloudTrail: アカウントのアクティビティ監査用に、すべての API コールをログに記録します。
  • CloudWatch: 運用およびセキュリティイベントのメトリクスを監視し、ログを記録し、アラームを設定します。 CloudWatch Logs Insights を使用して、リアルタイムの検索と分析を行います。

設定管理と態勢

• AWS Config: AWS リソースの設定を継続的に監視します。 マネージドルール (またはカスタムルール) を使用して、オープンなセキュリティグループや暗号化されていないボリュームなどのセキュリティ違反を確認します。
• AWS Trusted Advisor: お客様の AWS 環境をスキャンし、コストの最適化、パフォーマンス、セキュリティの推奨を行います。 使用されていないリソースと過度に寛容なアクセスを明らかにします。

AWS のネイティブセキュリティツールでは不十分な点

AWS がセキュリティに強くコミットしていることは明らかであり、その証拠に多彩なネイティブセキュリティソリューションを提供しています。例えば暗号化のための KMS など、多くのツールは有用かつすぐに利用可能で、導入初期からセキュリティのベストプラクティスを適用することができます。

しかし、こうした有用なネイティブ機能がある一方で、環境が拡大・成熟するにつれて、AWS のソリューションだけでは十分でない場面も出てきます。特に、クラウドセキュリティを包括的に戦略化し、さらに技術スタック全体におけるサイバーセキュリティやエクスポージャー管理の一環として位置づけたい場合、AWS の機能は個別の部品のように感じられることがあります。それらを組み合わせて一つの仕組みにまとめるのは、決して容易ではありません。

そのため、場合によっては、これらのネイティブツールを補強したり、(重複を避けるために) 専用のソリューションに置き換えたりすることもできます。これについては次のセクションで説明します。

以下にいくつか例を挙げます。

マルチクラウドとハイブリッドクラウドの可視性が限られる

• AWS ツールは AWS と深く統合されていますが、Microsoft Azure、Google Cloud Platform (GCP)、SaaS アプリケーションとはネイティブに統合されていません。
• 多くの組織がマルチクラウドやハイブリッドのセットアップで運用を行っており、統合されたビューと一元的な分析を必要としています。

ツールがサイロ化し、文脈が断片化する

• AWS の各セキュリティツールは、独自のダッシュボードとアラートシステムを備えています。
• Security Hub は検出結果を集約しますが、CNAPP のような深い関連付けやリスクの優先順位付けは行えません。

アイデンティティリスクの一部のみしか可視化できない

• IAM Access Analyzer はポリシーのロジックのみを調査し、実際の権限昇格経路は調査しません。
• 置換ポリシーの生成に関して、Access Analyzer には制限があります。特に、すべてのサービスに対して、またはデータイベントに基づいて、アクションレベルの分析が実行されません (AWS のドキュメントに記載)。 また、オンデマンドでの最小権限ポリシーの生成は非常に優れていますが、クォータが適用されるため、すべてのアイデンティティで、例外なく常時使用できるわけではありません。 さらに、生成されたポリシーは通常、使用する前に編集する必要があるため、そのまま適用できません。
• アカウントやサービス間の有効な権限のマッピングがネイティブでサポートされていません。
• サードパーティの権限の調査、フェデレーションアイデンティティの有効な権限の可視化など、いくつかのユースケースがありますが、標準装備でサポートされているわけではありません。
• すべてのアイデンティティが持つこうした種類のアクセス権を継続的に監視し、それに起因するリスクを把握するためには、これらのツールの運用に多くの投資をしなければなりません。しかし、それには大きなコストがかかる可能性があります (次のセクションを参照)。

データセキュリティポスチャー管理 (DSPM) の欠如

• Macie は S3 に焦点を当てていますが、全体的なデータの分類と文脈が不十分です。
• アイデンティティや公開されたエクスポージャーを経由した機密データへのアクセス経路を、追加設定なしですぐにマッピングすることができません。

文脈を考慮したリスクの優先順位付けの欠如

• ネイティブツールには攻撃者の視点が欠けています。 これらのツールは、外部からアクセスし、設定ミスのあるロールを経由して機密データに至る、悪用される可能性のある経路を関連付けません。
• 加えて、全体的なエクスポージャー管理の実践のためにこうしたツールから入力されたデータを解析したい場合、まだ多くの作業を行わなければなりません。

これらに加えて、このような戦略を大規模に採用する際に留意すべき重要な要素がもう一つあります。 それはコストです。

予測不可能で断片化された、大規模なコスト構造

一見すると AWS のネイティブツールはコスト効率が高いように見えますが、実際にはサービスごとに料金体系が分かれており、その多くは細かい注釈に隠れています。

たとえば GuardDuty、Macie、Inspector、IAM Access Analyzer などのサービスは、解析対象のオブジェクト数、ログの GB 数、監視対象リソースごとに課金されます。

その結果、セキュリティコストが制御不能な形で膨らみやすく、予算策定を難しくしてしまいます。

クラウドの専門家である Matt Fuller 氏が X で述べているように、IAM Access Analyzer のカスタムアナライザーはリソースごとに月額 9 ドルかかることがあり、詳細な料金モデルを把握していない利用者にとっては驚きとなるケースもあります。

多くの組織では、クラウドインフラのコストガバナンスは一元化されており、通常、セキュリティチームが担当することはありません。 そのため、こうしたさまざまなセキュリティツール全体にわたってコストを管理するのは困難です。 無秩序な増加は容易に起こりうることであり、組織は高額な使用料に不意打ちを食らうかもしれません。

CNAPP によるネイティブセキュリティツールの強化 – Tenable Cloud Security を選ぶべき理由

Tenable Cloud Security は、前述の制約を解消しつつ、AWS のネイティブツールを補完する CNAPP を提供しています。その特長は次のとおりです。

総合的なエクスポージャー管理

Tenable Cloud Security は、Tenable の広範なエクスポージャー管理プラットフォームとシームレスに統合されているので、組織は IT、オペレーショナルテクノロジー (OT) 、およびウェブアプリケーションから得た脆弱性とクラウドセキュリティの検出結果を統合することができます。 これにより、アタックサーフェス全体にわたるサイバーリスクが真の意味で一元的に可視化されるため、セキュリティチームは最も重大なエクスポージャーに優先順位を付けて修正できるようになります。

マルチクラウドの一元的な可視化

AWS、Azure、GCP、Kubernetes にわたる資産、設定、リスクを一元的に把握できます。 この統合された「一元的」アプローチによって、セキュリティ担当者は包括的な可視性を得られるため、個々のクラウド環境に特化した深い専門知識の必要性が減少します。 Tenable Cloud Security は、クラウドエコシステム全体から関連するデータソースを集約し、文脈を踏まえた豊富な情報を提供することで、効果的なリスク管理、エクスポージャー管理、脆弱性管理を推進すると同時に、ツールの無秩序な増加を緩和します。

慣れ親しんだ脆弱性管理からクラウドへの拡張

Tenable Cloud Security は、Tenable の信頼性の高い脆弱性評価をクラウドワークロードに拡張することで、既存の Tenable Vulnerability Management のお客様に大きなメリットを提供します。

つまり、クラウド環境とオンプレミス環境のすべてのワークロードを同じ UI と UX で評価することができ、アタックサーフェス全体にわたってデータの一貫性と脆弱性の一元的な可視性を確保できるということです。

この統合は、ハイブリッド環境の脆弱性管理を簡素化し、Tenable への既存の投資と Tenable の専門知識を活用するものです。

アイデンティティと権限のリスク分析

Tenable Cloud Security は、クラウドインフラ権限管理 (CIEM) コンポーネントを使用して、アカウント、サービス、およびフェデレーションロール全体にわたる効果的な権限分析を実行します。これによって以下が可能になります。

• クラウドへのサードパーティアクセスと、フェデレーションアイデンティティの効果的な権限を分析します。
• 権限昇格の経路、機密データにアクセスできる非アクティブなアカウント、危険な権限の組み合わせを検出します。
• 最も重要な点は、これらのアクションを、環境内のすべてのアイデンティティに対して、大規模に、自動的に、合理的なコストで実行できることです。

最後に、Tenable Cloud Security は、ジャストインタイムアクセスプラットフォームによる CIEM 機能の強化もサポートしており、クラウド環境や SaaS アプリケーションに対してゼロスタンディング権限を提供することができます。すなわち、特に必要とされる場合にのみアクセス権を付与できます。

文脈を踏まえた優先順位付け

• Tenable は、攻撃経路分析を使用して、クラウド環境に関連するさまざまな領域にわたって、実際に悪用可能なチェーンを特定します。これにより、クラウドセキュリティを、サイロ化された個別のツールではなく、単一の統合プラットフォームで管理できるようになります。
• 重要なのは、Tenable Cloud Security が、サイバー攻撃者はサイロの中で活動しないという認識のもと、さまざまなエコシステムを跨ぐ攻撃経路の認識と検出をサポートするということです。 例えば、 「パブリック IP を持つ EC2 インスタンスで、機密性の高い PII を含む S3 バケットへのアクセスを許可するロールが誤って設定されている」といったフラグを立てることができます。
• さらに、Tenable Cloud Security のデータは、Tenable One サイバーエクスポージャー管理プラットフォームに取り込めるため、エクスポージャーを総合的に管理することができます。

統合された DSPM 機能

• S3 だけでなく、クラウド環境全体の機密データを自動的に検出します。
• データアクセス経路をマッピングし、IAM やネットワークリスクと関連付けます。

DevSecOps とインフラのコード化 (IaC) セキュリティ

• デプロイメント前に Terraform、CloudFormation、Kubernetes のマニフェストをスキャンします。
• CI/CD パイプラインと統合し、リスクの高いコードを本番環境に被害が生じる前にブロックします。

修正のガイダンスと自動化

• Tenable は問題を発見するだけでなく、正確で実用的な修正も提供します。
• 修正のコード化をサポートし、チケッティングツールやワークフローツールと統合します。

AWS ネイティブツールと Tenable Cloud Security を組み合わせる方法

CNAPP ツールが IAM や KMS のような設定ツールや暗号化ツールに取って代わるものではないのと同様に、CNAPP を採用しても、すべての AWS ツールを置き換えることにはなりません。 むしろこれは、CNAPP の機能を上乗せしてさらなるリスク軽減を図るチャンスなのです。 以下に、そのアプローチ方法を説明します。

権限には AWS を、可視化には Tenable を使用する

• サービスコントロールポリシー (SCP)、リソースコントロールポリシー (RCP)、Config ルールを、エンフォーサーとして機能させます。
• Tenable によって、設定ミス、エスカレーション経路、残存リスクを特定します。

AWS のログと設定を Tenable に取り込む

• AWS アカウントを Tenable Cloud Security に統合し、設定や CloudTrail のログなどを取り込めるようにします。

修正を賢く優先順位付けする

• Security Hub による大量の検出結果の海に溺れる代わりに、Tenable のリスクスコアリングを使用して、最初に何を修正すべきかを決定します。

DevSecOps のループを閉じる

• AWS ネイティブの CodePipeline ツールと Tenable の IaC スキャンを組み合わせることで、設定ミスをランタイムに到達する前に阻止します。

報告を改善する

• Tenable のダッシュボードを使用して、文脈が豊富で経営幹部にも分かりやすいビジュアルで、リーダー層に態勢を伝達します。

まとめ: ネイティブクラウドセキュリティツールだけでは不十分

AWS は、ワークロードを保護するために不可欠な優れた基盤を提供しますが、あくまでも基盤でしかありません。 個別のアラートやコンプライアンスチェックにとどまらず、現実のシナリオにおいて脅威がどのように顕在化するかを把握する必要があります。 アイデンティティ、ネットワークエクスポージャー、データの機密性、設定ミスを関連付けなければ、何が重要か優先順位付けするのは困難です。

そのために力を発揮するのが、Tenable Cloud Security です。 この製品は CNAPP として、可視性とアクション、文脈と優先順位、ポリシーと適用のギャップを埋めることができます。 すでに AWS ツールを使用しているクラウド担当者にとって、Tenable を追加することはツールの代替ではなく、成熟した、スケーラブルな、リスク認識型のクラウドセキュリティに向けた次のステップです。

Tenable Cloud Security を今すぐに既存の AWS セットアップに統合することから始めて、明日のクラウドを保護するために必要な明確性を手に入れましょう。

Tenable Cloud Security が、より詳細な AWS 環境のインサイトをどのように提供できるかご覧になりたい場合は、 デモをリクエストしてください。