クラウドワークロード保護: クラウドセキュリティリスクを効果的に軽減

全侵害事例のうち 80% 以上が、クラウドに保存されたデータに関連しています。クラウドワークロード保護 (CWP) を使用していないセキュリティチームが、最小の労力で可能な限り多くのデータにアクセスしようとする攻撃者に先んじることはほぼ不可能でしょう。 多くの場合、1 回のクラウド侵害がこうした機密性の高い環境への最も直接的な入口になります。 平均すると、インシデント対応と復旧にかかるコストはおよそ 500 万ドルです。 それでは、なぜ数多くの組織が、動的なクラウド環境向けに設計されていない従来のオンプレミスのセキュリティ対策をいまだに使用しているのでしょうか?

ワークロードをクラウドに移行するグローバルな組織が増えているのに伴い、攻撃者もそうした複雑なクラウド環境を標的にすることが多くなっています。 クラウドワークロードはデータの宝庫です。 また多くの場合、相互に関連しています。そのため、1 つの侵害が成功すれば、攻撃者たちには巨額の報酬を得られる機会が、侵害された組織には悪夢がもたらされるおそれがあります。

Tenable の「2024 年クラウドセキュリティの展望」によれば、回答したほぼ全員、95% もの回答者が過去 18 か月間にクラウド関連の侵害を経験したと述べています。 うち約 40% は、同期間内に 3 ～ 4 件の侵害を受けていました。

しかもこうした侵害は、何を見つけられるかと攻撃者が単に探りを入れられただけではありません。 90% 以上の回答者が自組織の機密データの露呈があったと述べており、60% 近くはこうした露呈による被害があったと回答しました。

IBM の「Cost of a Data Breach Report 2023 (2023 年データ侵害のコストに関する調査レポート)」でも同様の結果が示されています。2023 年に発生した侵害の 82% はパブリック、プライベート、ハイブリッドのいずれかのクラウド環境に保存されていたデータに関連していたことが指摘されています。

2023 年に世界中で最も懸念されていたクラウドセキュリティ上の問題はフィッシングとマルウェアであり、次いで以下のような問題が挙げられています。

• ユーザーアカウントの侵害
• 偶発的なデータ流出
• クラウドインフラを標的とする攻撃
• データ盗取
• 管理者アカウントとサプライチェーンの侵害

Tenable の調査回答者は、安全でない人/サービスのアイデンティティ、リスクのある権限、クラウドの設定ミスなどが主なセキュリティリスクであると述べていました。 複数件のクラウド侵害を経験したほぼすべて (99%) の回答者が、その原因としてアイデンティティと権限のリスクを挙げました。

こうしたクラウド侵害の増加は、とりわけ組織がサイバーセキュリティ人材を惹きつけて雇用を維持するにあたり抱える課題を考えると、驚くべきことではありません。 世界経済フォーラムによれば、世界中でのサイバーセキュリティ人材の不足は 2030 年までに 8,500 万人にも達するとのことです。 その結果として、8.5 兆ドル近くの年間利益を実現できなくなる可能性があります。 Tenable の調査回答者の 95% がクラウドインフラ保護の専門知識の不足によって影響を受けたと述べたのは、こうした事情によるものかもしれません。

これらのレポートは、多くの組織が苦労しながら学んでいるということをはっきり示しています。 もはや、自組織がクラウド攻撃を受ける可能性があるかという問題ではなく、攻撃をいつ、何回受けるかという問題なのです。

クラウドワークロードへの攻撃に先んじることは簡単ではありません。 これは特にセキュリティチームが、常に変化する複雑なクラウド環境向けに設計されていない従来のサイバー手法を使用している場合に当てはまります。

幸い、この問題には解決策があります。 クラウドワークロードセキュリティのベストプラクティスと CWP 技術が必ず役に立ちます。

CWP とは?

Cloud Workload Protection (CWP) は、マルウェア、データ漏えい、コンプライアンス違反からクラウドワークロードを保護します。 クラウドワークロードセキュリティの包括的なアプローチです。 CWP には、以下のような技術やソリューションが含まれています。

• 脆弱性スキャン
• クラウドセキュリティ態勢管理 (CSPM)
• 脅威ハンティング
• クラウドデータセキュリティ

CWP は包括的で成熟したセキュリティ対策の不可欠な要素です。 CWP はクラウド環境内のセキュリティ問題に対する可視性を高めますが、クラウド内のすべての脆弱性の発見と修正を行うものではありません。 CWP の目的は、リスク重視の事前対策型アプローチを取って、オペレーティングシステム、コンテナ、アプリケーション、サービスなどにわたってクラウドの脆弱性を軽減することです。 どのクラウドセキュリティ問題が組織にリスクをもたらすのか把握することで、最初にどこに専念するべきかを知るためのものなのです。

CWP はなぜ重要なのか?

クラウド環境には機密データが含まれていることがよくあり、事業運営に不可欠な環境でもあるため、クラウドワークロードは攻撃者にとって魅力的な存在です。 しかし、クラウド環境は複雑で常に変化しているため、 この環境を安全に保つことは、特に従来のオンプレミス型セキュリティ手法に頼っている組織では困難なものとなります。

包括的なクラウドセキュリティという観点から、CWP はクラウドセキュリティのリスクの発見と修正、コンプライアンス規則の遵守、セキュリティのコスト節約などに役立ちます。

クラウドワークロード保護には、ほかにも以下のような重要なメリットがあります。

• 事前対策型の脅威検出: CWP ソリューションは、クラウドワークロードに対して脆弱性、設定ミス、不審なアクティビティについての継続的なスキャンを実施し、クラウドリスクを低減します。
• セキュリティ態勢の成熟化: CWP は、チームがワークロードを安全に設定し、業界標準とコンプライアンス要請に準拠できるようにすることで、クラウドセキュリティポスチャーを強化します。
• 修正の優先順位付け: CWP ソリューションでは、深刻度とリスクに基づいて脆弱性を優先順位付けできます。
• アタックサーフェスの削減: CWP ツールは、脆弱性の特定、設定ミスの修正、アクセス制御の制限によってアタックサーフェスを最小化します。
• 可視性の向上: CWP が提供するクラウドセキュリティポスチャーについての集約されたビューにより、セキュリティチームはトレンドを特定し、リスクを分析して、クラウドセキュリティに関する意思決定をより多くの情報に基づいて行えます。
• コストとワークフローの最適化: 自動化されたワークフロー、アラート、ポリシー、テンプレートを備えた CWP ソリューションは、セキュリティインシデントに伴う高コストな侵害やダウンタイムが生じる可能性を減らすのに役立ちます。

CWP の主要な技術とツール

クラウドの複雑性を乗り越えてその安全性を高めるために、クラウドセキュリティ技術とベストプラクティスを CWP ソリューションの一部として使用することも、CWP ソリューションに追加して使用することも可能です。例としては、以下のようなものがあります。

• クラウド脆弱性管理を使用して、未適用のパッチ、設定ミスがあるソフトウェア、旧式のソフトウェアなどのクラウドワークロードの脆弱性を発見します。 これにより、適用するべきパッチ、アップグレード、その他のセキュリティ修正などを、脆弱性が攻撃者に悪用される前に把握できます。
• クラウドワークロードの脅威を先行的に探すために脅威ハンティングを実行して、損害が生じる前に脅威に対応できるようにします。

以下のようなさまざまなクラウドワークロードの保護に CWP を使用できます。

• 仮想マシン (VM)
• コンテナ
• サーバーレスコンピューティング

また以下に示すように、CWP はその他のサイバーハイジーン手法を成熟させる助けにもなります。

• セキュリティを向上させてクラウドの侵害やその他のクラウドセキュリティインシデントのリスクを低減します。
• PCI DSS、HIPAA、GDPR などの、業界または政府機関による規制への準拠を強化します。
• タスクの自動化と、クラウドセキュリティポスチャーの可視性の向上により、効率を高めて支出を削減することで、セキュリティチームがその他の業務に集中できるようにします。

次のような手段でもクラウドを保護できます。

• クラウドセキュリティポスチャー管理 (CSPM) を使用してクラウドセキュリティポスチャーの可視性を高めることで、設定ミスやその他のセキュリティ問題を発見して修正できるようになります。
• (保存時や転送中の) データ暗号化などのデータ保護を導入すれば、攻撃者はデータに対して不正アクセス、使用、開示、中断、改変、破壊を行えなくなります。

適切な CWP の選択

CWP は、クラウドワークロードを使用しているあらゆる組織にとって必要不可欠な投資であり、 世界中のすべての業界で適用できるものです。

しかし、どの CWP が自組織に適しているかはどのように見極めるのでしょうか? 以下に、CWP ツールを探す場合に考慮するべき要点をいくつかご紹介します。

• 自組織のクラウドセキュリティリスクは何か?
• 自組織にとって最も懸念される脅威のタイプは何か?
• 自組織のコンプライアンス要件は何か?
• 自組織のクラウド環境の規模と複雑さはどの程度か?
• 予算はどれほどか?
• 自組織のセキュリティ要件は何か?
• CWP の優先事項に責任を持つのは社内スタッフか、または社外のセキュリティコンサルタントか?
• 自組織には現在どのようなセキュリティソリューションがあるか?
• 検討中の CWP ツールはそれら既存のソリューションと統合しているか?
• 検討中のソリューションは、わかりやすくカスタマイズ可能なレポートやダッシュボードを提供できるか? チームがクラウドワークロードのセキュリティリスクを迅速に特定するために役立つか?
• そのツールは不審なアクティビティの調査 (ログまたはその他の監視) に対応しているか?
• 不審なアクティビティやその他のセキュリティ上の懸念事項について自動でアラートを出せるか?
• 軽減や修正の提案を行えるか?
• 業界のベストプラクティスやその他の重要なコンプライアンス要件を基盤としているか?
• セキュリティパッチまたはシステムアップグレードが利用可能な場合に自動で確認し、アラートを送信できるか?

Tenable でクラウドワークロードを保護する 

Tenable Cloud Security は統合型クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) の一部として CWP 機能を提供します。 これらの包括的な機能は、クラウド環境を構築段階から本番環境まで単一の直感的なツールで保護します。 Tenable は以下の 7 つの手法によって、クラウドインフラおよびその動的なクラウドワークロードの保護を支援します。

1. 継続的なクラウド脆弱性管理: Tenable を使用すると、オペレーティングシステム、コンテナ、設定などにわたってクラウドワークロードの脆弱性を自動でスキャンできます。 周期的スキャンのみが可能な他のクラウドワークロード保護ツールやソリューションと異なり、Tenable の継続的モニタリングでは、クラウドワークロードがどんなに素早く変化していようとも、新たに発見された脆弱性と潜在的なリスクを特定できます。
2. 文脈を踏まえた脆弱性分析: Tenable が支援するのは脆弱性の特定だけではありません。 深刻度評価、エクスプロイトの詳細情報、修正提案など、Tenable Research のサポートを受けた豊富な文脈情報も提供しています。 こうした情報により、セキュリティチームはリスクに優先順位を付けて、クラウドセキュリティリスク削減のための実用的な対策を実施できるようになります。
3. 設定ミスの検出とポリシーの適用: Tenable はセキュリティギャップを引き起こす可能性があるクラウドインフラ内の設定ミスを自動で特定します。 ベストプラクティスを適用してクラウド環境を確実に保護するための事前定義済みポリシーとテンプレートを備えており、Tenable は脆弱性管理だけでなく設定ミスの検出にも重点を置いています。この特徴は、1 つの焦点しか持たないその他のクラウドセキュリティツールとは一線を画すものです。
4. リスクのスコア化によるクラウドワークロードの優先順位付け: Tenable の高度な分析では脆弱性にリスクスコアを割り振ります。したがって、セキュリティチームは最も重大な問題に最初に取り組み、修正を最適化することができます。
5. 標準装備のポリシーによるコンプライアンス管理: CIS Controls や PCI DSS などの業界標準に整合した事前構築済みのコンプライアンスポリシーを使用して、コンプライアンスの取り組みを簡素化してクラウド環境を法規制の標準に準拠させることができます。
6. セキュリティのシフトレフト: Tenable は DevOps ワークフローと統合しています。したがって、開発者は開発ライフサイクルの初期にセキュリティ問題を特定して対処することができます。 シフトレフトのアプローチにより、チームは脆弱性や設定ミスが本番環境に到達する可能性を減らすべく先行的な対策を講じることができ、最終的にはセキュリティチームと開発チームの協力体制が築かれます。
7. ジャストインタイム (JIT) のアクセス制御: Tenable の JIT アクセス制御では、クラウドリソースへの一時的なアクセス権限を必要に応じて付与することでクラウドアタックサーフェスを最小化して、不正アクセスのリスクとクラウド侵害の可能性を低減させます。

Tenable Cloud Security の機能を活用することで、チームはすべてのクラウドワークロードを先行的に保護し、修正を優先順位付けして、クラウドセキュリティポスチャーの成熟を少ない労力でより自信を持って進められるようになります。

CWP の詳細と、CWP が自組織にどのように役立つかについて知りたい場合は、 ぜひ Tenable Cloud Security についての情報をご覧ください。