Tenable ブログ
ブログ通知を受信するクラウドのセキュリティ : 責任共有モデルについて情報セキュリティリーダーが知っておきたい 3 項目 (日本語)
クラウドのセキュリティと一口に言っても、サービスプロバイダーによって対象が異なり、企業のセキュリティ組織の担当範囲によっても異なります。これからクラウドの導入をしようという企業も、何年もの導入実績のある企業も、時間をかけて対象範囲を明確にしておく必要があります。
2020 年も残り少なくなりました。振り返れば、春には新型コロナウィルス感染拡大を受けて、世界中の企業が余儀なく緊急処置を取りました。当時、一時的と考えられていた変化は、もう元には戻せないという認識が強まり、経営者は対応に迫られています。企業によっては、クラウドサービスの活用を倍増する戦略的な変更が必要な場合もあり、そのクラウドサービスにはサービスとしてのインフラ (IaaS)、プラットフォーム (PaaS)、ソフトウェア (SaaS) などが含まれます。
クラウドに移行することは今日の環境において有利なことは明らかです。従業員に業務の遂行に必要な、極めて重要なツールやデータにリモートでアクセスさせて、事業活動を維持することは必要不可欠です。今年、Tenable が Forrester Consulting に委託した世界的な規模の調査によると、企業のおよそ 2/3 (64%) が、従業員のリモートまたは自宅勤務を実行しています。調査の対象となった 416 人のセキュリティ責任者は、複雑な取り合わせのテクノロジーとサービスを管理していることも明らかになりました[パブリッククラウド (41%)、プライベートクラウド (45%)、ハイブリッド型 (39%)]。 リモートで完全に業務がこなせるチームを維持しなければならない状況が続く中、2021 年以降、クラウドのポートフォリオを追加する企業が増えることが予想されます。
クラウドのセキュリティと一口に言っても、サービスプロバイダーによって対象が異なり、企業のセキュリティ組織の担当範囲によっても異なります。これからクラウドの導入をしようという企業も、何年もの導入実績のある企業も、時間をかけてその両方を明確にしておく必要があります。情報技術では一般的なことではありますが、クラウドテクノロジーの特徴によって詳細が大きく変わります。下に、責任共有モデルの内容を、3 つの主なクラウドアーキテクチャー層別に簡潔にまとめてみました。情報は CSA のガイダンスに基づいています。
- IaaS : この層では、CSP の責任範囲は、仮想化セキュリティとインフラのセキュリティになります。データ、アプリケーション、ミドルウェア、ホストの各セキュリティは、顧客側の責任になります。簡単にまとめると、ユーザーにはゲスト OS とそこに含まれるものすべての責任があります。
- PaaS : この層では、CSP の責任範囲は多少幅広くなり、セキュリティ構成、管理、運営監視、インフラの緊急対応が含まれます。さらに、仮想ネットワーク、プラットフォーム層 (OS とデータベース)、アプリケーションシステムのセキュリティも含まれます。 ユーザーには、データとアプリケーションセキュリティの責任があります。
- SaaS : この層では、CSP の責任範囲は、アプリケーションとそれを支えるコンポーネントのセキュリティになります。ユーザーには、データセキュリティとエンドポイントのデバイス保護の責任があります。
下の図は、Microsoft の場合の典型的な責任共有モデルの例を表しています。
出展 : https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility
一見、簡単に見える責任共有モデルですが、各層において詳細が微妙に異なる点が多くあることに注意する必要があります。例えば、IaaS デプロイメントの場合、脆弱管理が特に困難で時間を要することがあります。まず、セキュリティチームに、VPC と EC2 にあるすべての資産のインベントリのイメージパイプラインを提供しなければんりません。スキャナーやエージェントの構成とインストールが必要で、さらに最新のアップデートを常時反映できるように継続的に管理する必要もあります。その結果、新しい脆弱性の検知には数週間の遅延が生じる可能性があります。これだけでもかなりの障壁になりますが、その上、不明のクラウドのアカウントや、動的に変化し続けるクラウド環境から派生する無数の盲点も考慮する必要があります。
もう1つの懸念は、ストレージのインフラのセキュリティが CSP の責任範囲であることで、なぜなら、これにはユーザーも大きく影響されるからです。対象が S3 のバケットであれ、EC2 のインスタンスであれ、不適切な構成は漏洩の最大の原因です。
また、責任共有の詳細は、Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Azure など、CSP によって異なります。 CSA (Cloud Security Alliance) がガイドラインを発行していますが、CIS (Center for Internet Security) も責任共有モデルにおける企業のセキュリティ部門の役割を説明したリソースを公開しています。
クラウドでの責任共有 : サイバーセキュリティ責任者が知っておきたい3項目
IDG 発行の 2020 Cloud Computing Study (2020 年クラウドコンピューティング調査)によると、調査の対象になった 551 人のIT 部門の意思決定者 (ITDM) の大多数 (81%) がすでにクラウドでのコンピューターインフラまたはアプリケーションを使用しており、そのほかの 12% は今後 12 か月間内にクラウドベースのアプリケーションの導入を計画しています。そのような方には、共有モデルについて次の 3 項目に留意されるようお勧めします。
- 文書や図表では同等の責任分担のように見えても、アタックサーフェスの防御 (?) にかかわる責任と実装の責任は、大幅にユーザーに依存しています。クラウドのデプロイメントの 1 つひとつに必要な投資を過小評価しないことが重要。セキュリティ担当者のトレーニングにかかる経費も含めてください。
- 監査項目と規格項目 (コントロールファミリー) によっては、クラウドプロバイダーのコントロールを受け継いだ形でクラウドに移行したほうが適合しやすい場合があります。受け継ぐことのできるコントロール項目には、パッチ管理、構成管理などがあり、経費節減に大きな効果が期待できることもあります。情報セキュリティチームが戦略を主導するのは当然ですが、社内の他の主要部門との連携 (特にガバナンス、リスクとコンプライアンス (GRC)、法務部門) も重要です。 社内の監査チームも特に重要な役割を果たせる場合があります。2018 年の Deloitte のレポートには、「企業の情報セキュリティ部門はクラウドの監視機能を構築できるが、[社内の監査チーム] は コントロール環境 の有効性の評価を支援、実行して、IT 部門が置き去りになることを防ぐことができる」と記されています。
- 万が一、漏洩や侵害が起きた場合、クラウドプロバイダが全体責任を負うと仮定しないこと。たとえ、CSP に落ち度があったと証明されても、その被害は企業のお客様、エンドユーザーに波及し、集団訴訟などで企業が告発される可能性があります。 多くの国の法律では、法的責任はデータ所有者の責であり、 すなわち、CSP ではなく、クラウドサービスを使用している企業の責となります。一口で言うならば、無頓着では済まされないということです。責任共有モデルにおける役割に前向きに対応すれば、データを安全に保てるだけでなく、万一訴訟が起きた際に会社を保護することもできます。
Forrester は、2021 年には「クラウドコンピューティングが企業の『新しい、不安定な常態』への適応を後押しする。今こそ、今年の始めに大急ぎで導入したクラウドソリューションを十分に評価し、今までのたサービスを再評価し、共有責任モデルで課せられたセキュリティに関する義務をすべて全うしていることを検証することが必要だ」と予測し、注意を喚起しています。
もっと詳しく:
- ウェビナー Frictionless Assessment of EC2 Assets (EC2 資産の摩擦のない評価) にご参加ください。
- ソリューション概要 Frictionless Assessment of AWS Assets (AWS 資産の摩擦のない評価) をご一読ください。近日中に日本語版が掲載されます。
関連記事
- Cloud
- Tenable.io
- Vulnerability Management
- Vulnerability Scanning