マルチクラウドコンプライアンスの課題

Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP) などの複数のパブリッククラウドを使用している企業は、各プラットフォームが独自の方法で処理を行っており、その違いがそれらすべてのセキュリティを確保する上での課題を生み出していることを認識しています。 Tenable のクラウドセキュリティのコーヒーブレイク・ウェビナーシリーズの最新エピソードでは、それらの課題と、Tenable Cloud Security がどのように役立つかについて話し合いました。この記事はそのハイライトです。

Terraform のような自動化とインフラのコード化ツールは、パブリッククラウドにおけるシステムの導入と管理の方法に関する大小さまざまな変革を可能にしてきましたが、これはクラウドの無秩序な拡大や設定ミスにもつながり、セキュリティ上の問題を引き起こす要因ともなりました。 多種多様なチームやワークロードが多く分散している環境では、セキュリティ上の問題が災害に発展しないように、内容を把握して修正するのが難しくなっています。

この問題は、マルチクラウドの導入によってさらに悪化しています。1 つのクラウドに依存して自社のすべてを託すのを避けるために、マルチクラウドを導入して 2 つ以上のパブリッククラウドプラットフォームを使用する企業が急速に増えていますが、多様化には利点もある反面、それぞれのプラットフォームで処理の方法が若干異なるため、セキュリティ上の課題も生じます。 通常、そのようなプラットフォームのセキュリティを確保するには、専門家による個別の管理が必要になります。

しかし、個別に対応していては、クラウドインフラが拡大してさらに分散した場合に拡張が難しく、実用的ではありません。 Tenable のクラウドセキュリティのコーヒーブレイク・ウェビナーシリーズの最新エピソードでは、Tenable の情報セキュリティシニアマネージャーである Phillip Hayes と Tenable のセキュリティエンジニアリングシニアマネージャーである Alex Feigenson を交えて、これらの課題とマルチクラウドのコンプライアンスの実現方法について討議しました。 

自動化の良い面と悪い面

Terraform、AWS CloudFormation、Dockerfile、Helm チャート、その他のインフラのコード化ツールを使用すると、システムのプロビジョニングを迅速かつ簡単に自動化できますが、企業のセキュリティポリシーに準拠していないインスタンスも簡単に作成できてしまいます。

「非常に優れた自動化ツールは数多く存在しており、Terraform や AWS CloudFormation などいくつものツールの中から選択できるが、そうしたツールの多くには実のところ、正当なデフォルトというものが存在しない」と Feigenson は述べます。 

数行の Terraform コードで、数百から数千もの AWS や Azure のインスタンスを数分で立ち上げることができます。 使用するデフォルト設定の一部は安全かもしれませんが、安全ではないデフォルト設定が多数見つかる可能性もあります。

「ウェブから Terraform のサンプルコードを持ってきたあなたはこう思うでしょう。 『AWS のマシンを立ち上げてみたけど、 なんて簡単なんだろう』 と。ところが、次の瞬間、セキュリティチームから電話がかかってくる!」

企業をセキュリティリスクにさらす、クラウド環境の設定ミスが検出されること自体、大問題かもしれませんが、その原因に加え、すべてを修正する方法を突き止めようとするとさらに問題は深まります。 「マルチクラウドの場合は、そのような問題がクラウドの数だけ増えるから、事態はさらに悪化する」と Feigenson は指摘します。

Hayes は、このようなシナリオを回避することは、情報セキュリティの責任者としての日々の業務の一部と捉えています。これは、特にこの 10 年間、その存在を説明することが難しくなってきている問題です。

「今の時代でこれほど高速かつ低コストでこのような自動化を実現できるのは素晴らしい。「しかし、知らないうちに安全でないものを導入している可能性もあるし、ユーザーがよく理解していない新機能を AWS がリリースしたために、72 時間前には安全だったものが突然安全でなくなるということも起こり得る」と Hayes もコメントしています。

複数のクラウドのセキュリティ確保には通常複数のツールが必要

パブリッククラウドベンダーはこの問題を認識しており、顧客の環境とその環境内で実行されるワークロードのセキュリティの確保に役立つツールを開発してきました。 しかし、すべての規模が拡大して、複数のクラウドを使用するセキュリティチームは、プラットフォームごとに、通常各クラウドベンダーから提供される個別のツールを複数使うことになります。 

ここで Hayes のチームは、効率化を図るためにニーズに合ったツールを探し、すぐに見つけました。 彼らは Tenable Cloud Security (旧名 Tenable.cs) を使って、実際にどのようにニーズを満せるかについてユーザーフィードバックを Tenable Cloud Security 担当のエンジニアに提供しています。Tenable Cloud Security では、クラウド API を使用してさまざまなクラウドプラットフォームからデータを収集し、そのデータを集約して、セキュリティ上の問題がないかスキャンして、結果を統合します。 そして、さまざまなクラウドリソースとそれらに影響を与えるセキュリティ上の設定ミスのすべてを、同一条件で表示します。

「世の中には、非常に多くのクラウドが存在する。 集約と集中管理は、急速に必須要素となる」と Hayes。

Tenable Cloud Security は複数のクラウドに単一のインターフェースを提供

Tenable Cloud Security を使用すれば、 AWS、Azure、GCP を一元的に可視化できるようになるため、セキュリティチームはパブリッククラウドで動作しているすべてのものを確認して、最も重大な問題を特定し、統合された Jira チケットや Git プルリクエストを使用して修正プロセスを開始できます。

セキュリティチームは、さらに、CIS (Center for Internet Security)、NIST (米国国立標準技術研究所)、SOC-2 (Systems and Organization Controls) などのさまざまなセキュリティフレームワークへのコンプライアンスや、GDPR (一般データ保護規則)、HIPAA (医療保険の相互運用性と説明責任に関する法律) などの規制へのコンプライアンスをサポートする 1,500 を超える設定済みのポリシーを利用できます。 クラウドリソースがこれらに準拠しているかどうかは、フィルターで迅速に確認できます。

「これは毎日の業務に役立つものだ」と Hayes。 「インシデントのトリアージを実施している場合でも、 ユーザーのリソースに問題がある場合でも、アクセスが多すぎる場合でも、もののありかを探している場合でも、 すぐに役立つのがデータの集約だ。 個別のクラウドツールに比べて、これは我々のニーズを非常に効率的に満たしてくれる」 

彼は、Tenable Cloud Security を使用すれば、セキュリティ監査報告を従来より簡単かつ迅速に行えるとも述べています。 組み込みのレポート機能によって、ガバナンスとコンプライアンスのチームに詳細なまとめを提供できるようになります。

「これらすべてをチェックして、準拠している箇所としていない箇所を具体的に示すツールを構築する必要がないため、多くの時間が節約でき、 我々が常に対応し続けなければならない、継続的な業務の効率化に役立っている」と Hayes は加えています。

CSPM と Tenable Cloud Security の詳細はこちらからご確認ください。