Tenable ブログ
ブログ通知を受信するクラウド資産の保護の第一歩 : 手始めはどこから?
動的なクラウド環境を保護する上で、クラウド資産の継続的な検出、評価機能があれば、新たな脆弱性が公開されたり環境が変化したりしたときに迅速に問題を検出することができます。このブログでは、クラウド資産保護の開始に必要な情報をまとめました。
クラウドサービスやアプリケーションはエラスティックで費用対効果も高いのですが、最も重要なポイントは顧客ニーズに迅速に対応でき、増え続けるリモートワーカーに対応できることです。実際、81% の企業が少なくとも 1 つのアプリケーション、またはコンピューティングインフラストラクチャの一部をクラウド化しています。
クラウドには俊敏性や効率化というメリットがある一方で、資産やワークロードの保護が難しいという課題があります。大規模な情報漏洩事案から教訓が得られるとすれば、それはクラウド資産に対する最終的な責任はクラウドサービスプロバイダではなく、データ所有者にあるということです。
ネットワークや、エンドポイント、クラウド環境にわたり新たな脆弱性が増え続ける中、従来の脆弱性管理ツールでは今日の複雑な IT 環境には対応しきれず、現代のアタックサーフェスを保護できない、ということにお気づきの方もいらっしゃるでしょう。2015 年から 2020 年までの CVE の年々増加率は、平均で 36.6% でした。企業にはリスクが自社に及ぼす影響を基に、効果的に修正の優先順位を付けられるソリューションが必要です。
それでは、どこから着手すればよいのでしょうか? 自社の社員、プロセス、技術について、その順番で状況を詳しく考慮することから着手するように、と私は常に提案しています。なぜなら、企業が最高の技術を導入しても、セキュリティチームがクラウドチームと連携していなかったり、ビジネスプロセスに欠陥があったりした場合、クラウドで必要な保護を実行できないからです。
最初に解決すべきセキュリティ上の 3 つの課題
- 社員同士がコミュニケーションを取っていない。 ある企業で、セキュリティチームと事業部門が断絶している状況を目の当たりにしたことがあります。IT の同僚はその状況をこんな風に表現しました。「事業部門サイドと連携しようとすることは、まるで寒い冬の朝にペットのヨークシャテリアを散歩に連れ出そうとするようなものだ。僕がリードを引っ張っても、犬は僕と歩くのが嫌で別の方向に行きたがる。最後には僕も犬もすっかり疲れきってしまうのさ」と。多くの企業ではセキュリティチームとクラウドチームが、サイロ化された事業単位に分かれて機能しています。Tenable が Forrester Consulting に委託実施した最新の調査によると、400 人以上のセキュリティリーダーを対象に行ったアンケートの中で、他のチームと連携してリスク削減目標とビジネスニーズを整合させていると回答した人はたったの半数でした。チームが連携を取っていないなら、自社のクラウド資産の保護や制御、可視性を得ることは困難であり、自社のセキュリティ体制をリスクにさらすことになります。
- ビジネスプロセスにギャップが生じている。 オンプレミスの従来型ネットワークなら、ワークロードやアプリケーションの追跡は比較的簡単に行えます。しかしクラウド環境では、自社のフットプリントの規模を把握することは困難です。なぜなら、マーケティングや開発者などの IT 外の社員がしばしばクラウド資産を作成する (その後破棄することもある) ため、クラウドインベントリ全体を現実的に把握することが困難になるからです。最近お会いしたある企業の例では、企業側は当初 AWS のクラウド資産を 2000 程度だと見積もっていましたが、検出スキャンを掛けたところ、実際は 3,500 近くありました。さらに調査を続けると、タグ付けされていないクラウド資産や迷子アカウントなどビジネスプロセスにギャップが生じていることが判明しました。この結果は、多くの企業でよくみられる例です。
- 「見えないものを守ることはできない」 常套句とも言えるこの表現、クラウド資産の保護には今でも当てはまるのです。動的なクラウド環境において一時的な (寿命の短い) 資産を検出し、評価することに多くの企業が手こずっています。Forrester 社の調査によると、調査に応じた 800 人以上のセキュリティやビジネスリーダーのうち、自社の最重要資産についてしっかりとした可視性を得られていると回答した人は、44% のみ。 さらに、資産が検出された場合でも実際には全体の 20% しかエクスポージャーについて評価されていないという結果が Tenable の独自調査が示しています。なぜなら、従来型の方式ではクラウドの脆弱性管理は難しく、手間がかかるからです。スキャナーやエージェントをインストールする必要があり、新しい脆弱性検出が数週間遅れる可能性もあります。つまり、従来の IT セキュリティはクラウドのスピードの足元にもおよばない、ということです。
この時点で、「勘弁してくれよ」というため息が聞こえてくるようですが、どうか読み続けてください。次が解決方法です。
クラウド資産の保護 : 3 つの重要なステップ
- クラウドについて適切な会話ができるチーム間の連携を確立する。 部門のサイロ化を解消し、連携の取りやすい環境を作ることは、クラウド資産に対して一貫した可視性を得てコントロールするために必要な重要な最初の一歩です。Forrester 社の調査によると、ビジネス整合的なセキュリティリーダーは、サイロ思考型のリーダーの 8 倍、自社のセキュリティレベルやリスクレベルを自信を持って報告できます。クラウドを使用するチームメンバーと、サイバーセキュリティの脅威が及ぼす影響について会話するときには、彼らのビジネスニーズの枠内で話を進めることが重要です。会話の中で「スケーラビリティ」、「俊敏性」、「品質」、「継続性」などのキーワードを使います。また、定期的にミーティングを持ち見直しを行い、セキュリティチームのパフォーマンスを測定するメトリクスをビジネス上の利害関係者と共有するのも良いでしょう。管理者権限の許可が問題なら、許せる範囲の権限を IT セキュリティに許可するよう同意してもらい、例えばCloudFormation テンプレートを作成して、一般的なクラウドネイティブなフォーマットを使用して実装するなど、クリエイティブな対応方法を考えてください。このアプローチを取ることで、セキュリティチームが必要な成果を出せるとともに、クラウド管理者に要求される仕事量を減らすことが可能です。
- 良好なクラウドセキュリティの衛生管理を徹底する。 クラウド資産を保護する上で重要なもう 1 つのステップは、クラウドのスピードに付いて行けるセキュリティのベストプラクティスを構築することです。これらのベストプラクティスを企業文化全体に組み込むことで、事務的な負担を軽減し、ビジネスプロセスにおけるセキュリティのギャップを塞ぐことができます。例えばすべてのクラウド資産へのタグ付け戦略を実施すると、リソースやコストの管理、リスクの削減処理が効果的に行えます。開発者はテスト環境を自由にスピンアップできますし、セキュリティチームは作成されたものの追跡が可能になり、セキュリティの問題に対応するために資産とその所有者を探し出す時間を削減できます。そして、クラウドの衛生状態を維持するためにもう 1 つできる事は、すべての子アカウントを適切な親アカウントに紐づけることです。これにより管理者がクラウド資産全体の全体像を把握することが可能になり、サイバーリスクを効果的に削減し、どんなクラウド環境でも自社のエクスポージャーを理解することができます。
- 脆弱性の検出と継続的評価がカギ。 常に変化し拡大し続けるクラウド環境を保護し、安全に維持するために、クラウド資産を特定し迅速に評価できる能力を持つことが次の重要なステップになります。Amazon Web Services (AWS) のようなクラウドサービスをご利用されているなら、既存の投資価値を最大化するだけでなく、既知および未知の資産への完全な可視性を得る上でクラウド資産のライブ検出が必要不可欠です。ほぼリアルタイムでどんな資産を保有しているのかを十分に理解できる環境が整ったら、次は新しい資産が導入されたり、新たな脆弱性が公開されたりするたびに継続的にクラウドを評価するアプローチが必要です。
前述のとおり、従来型の方式によるクラウドの脆弱性管理は難しく、手間がかかることがあります。ここで役立つのが Tenable の Frictionless Assessment (摩擦のない評価) です。Tenable.io の一部として利用可能な Frictionless Assessment は 他の脆弱性管理ツールとは異なり、AWS Systems Manager (SSM) エージェントなどのネイティブな AWS ツールを活用するので、スキャンの構成、認証情報の管理、エージェントのインストールなどが必要なくなり、Elastic Compute Cloud (EC2) インスタンスの脆弱性を継続的に検出して評価できます。 従って、新しい脆弱性が公開されたときや、インスタンスが常に増減することで環境が変化したときも、セキュリティの問題をすばやく検出することができます。また、ほぼリアルタイムのクラウド環境ビューを提供し、常にリスク変動資産情報の正確なインベントリを提供します。動的なクラウド環境における一時的な(寿命の短い)資産の検出や評価には特に効果的です。
Frictionless Assessment はクラウドのスピードに合わせて機能するよう設計されています。 それに加えて、リスクベースの脆弱性管理の重要な要素として、Tenable の予測に基づいた優先順位付けもサポートするなど、脆弱性に関する包括的なインサイトを提供するので、Frictionless Assessment の活用によって本当に対応するべき事柄にフォーカスすることが可能になります。
リスクベースの脆弱性管理プログラム全体のセットアップは数秒で完了し、アクションに結び付く結果は数分で得られます。詳細は、動画 :「Frictionless Assessment の概要」でご覧いただけます。
関連記事
- Cloud
- Risk-based Vulnerability Management
- Tenable.io
- Vulnerability Management
- Vulnerability Scanning