本文の内容は、2021年6月14日にJanet Matsudaが投稿したブログ(https://sysdig.com/blog/bad-guys-openings-in-your-cloud)を元に日本語に翻訳・再構成した内容となっております。
新聞の見出しを見て、「自分たちでなくてよかった」と思うことがあるかもしれません。過度に寛容なウェブサーバが1億件以上の消費者金融の申込書を公開したり、S3バケットが数億件のユーザー記録を公開したりしています。CISOとそのクラウドセキュリティチームにとっては悪夢のようなシナリオです。
Gartner社によると、「顧客によるクラウドリソースの誤設定は、クラウド環境におけるデータ損失の主な原因である」[1]とのことですが、従業員が誰でもすぐに新しいサービスに登録できるクラウドの世界で、どうやって誤設定を把握するのでしょうか。アプリケーションの配信を高速化することは、コントロールを手放し、より多くの人が変更できるようにすることを意味します。DevOpsのアプローチでは、変更を監視する新しい方法が必要です。
クラウドセキュリティチェックのスケジュール
クラウドセキュリティポスチャーマネジメント(CSPM)ツールは、セキュリティチームが組織で使用しているクラウド資産を発見するために使用できます。また、これらのツールは、リスクを低減するためのベストプラクティスとして、CISベンチマークに照らして構成をチェックする。これらのチェックは定期的に、通常は毎日行われます。しかし、攻撃者は、クラウドの構成が常に変化していることを認識しています。攻撃者は、自動化されたボットを使って、データを盗むために利用できる隙を常に探しています。つまり、定期的なチェックに頼る余裕はないということです。むしろ、設定が変更されたときには、その変更内容をリアルタイムで把握しておく必要があります。
不審な行動を監視する
構成の変更を監視することの重要性は、2020年に起きたMicrosoft社の情報漏洩事件で浮き彫りになりました。この事件は、匿名化されたユーザー分析を保存する顧客データベースへの侵入により、誤って2億5000万件のエントリを公開してしまいました。不幸にも、Azureサーバーが設定変更を採用したことで、このデータが公開されてしまったのです。今こそ、機密データの漏洩を防ぐために、クラウドのセキュリティ体制を継続的に管理することが必要です。また、DevOpsのワークフローを使用してデプロイされたアプリケーションのセキュリティを確保する際に、クラウドセキュリティがセキュリティスタック全体の中でどのように位置づけられるかを検討することも意味があります。
まず、継続的なアプローチについて考えてみましょう。クラウドログには、クラウドプロバイダーが提供するすべてのサービスにおけるアクティビティの記録が残っています。これらのログを調査することで、予期せぬ変化や、侵害を示唆する不審な行動を特定することができます。セキュリティチームは、MITRE ATT&CK@フレームワークなどの業界標準フレームワークにマッピングされたルールを使用して、不審な行動に警告を発しています。使用するツールは、組織の優先順位に基づいて警告をカスタマイズできるよう、柔軟なルールエンジンを備えている必要があります。また、ログに記録されているすべてのサービスを対象に、脅威を検知できるルールが必要です。
また、ツールがクラウドログをどのように分析するかについても検討する必要があります。一部のツールでは、ログを自社のデータストアにエクスポートしてから、変更や脅威がないかどうかを検査する必要があります。この場合、クラウドログの保存に加えて、イグレス料金を支払う必要があります。より効率的な方法は、データが生成されると同時に、ストリーミング方式でリアルタイムに分析することです。そして、その結果のみをツールに送り返すのです。このようにして、時間の経過とともに大きな節約が可能になります。もちろん、シンプルな価格設定にするのも良いアイデアです。
DevOpsの導入と同時に、DevOpsの安全性を確保する
クラウドへの移行が進むにつれ、企業が求めるアジリティを実現するためには、継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインを用いたDevOpsアプローチが必要であることに気づきます。組織をDevOps、コンテナ化されたマイクロサービス、Kubernetesといった新しい世界に対応させるには、新しいセキュリティスタックが必要です。プロプライエタリな、ファイアウォールの考え方に基づく現在のスタックは、アプリケーションの提供を遅らせます。セキュアなDevOpsは、ビルドをセキュアにするための『シフトレフト』だけでなく、検出とレスポンスのための『ロールライト』も必要です。効果的なセキュリティを実現するには、豊富なコンテキストを備えた深い可視性が必要であり、ツールはこの新しい環境に合わせて特別に設計されなければなりません。クラウドとコンテナのセキュリティツールは、クラウドサービスとワークロードを保護できるプラットフォームに統合されつつあります。セキュリティ、コンプライアンス、監視、トラブルシューティングのために、コンテナとクラウドを統合したプラットフォームを使用することは理にかなっています。統一されたプラットフォームは、コンテナやクラウドサービスを横断する脅威のラテラルムーブメントを目立たせることができます。また、必要なツールの数を減らし、セキュリティチームとDevOpsチームに単一の真実の情報源を提供することができるはずです。ルールやフレームワークの一貫性を維持することで、トレーニングにかかる時間を短縮し、効率を高めることができます。最後に、複数のクラウドで動作するプラットフォームを選択すれば、運用が簡素化されます。
セキュリティの未来はオープン
ベンダーが選択するコアテクノロジーは、イノベーションのスピードとツール間の相互運用性を左右します。現在、CI/CDパイプラインは、Kubernetes、Jenkins、GitLabなど、主にオープンソースのツールで構築されています。セキュリティは伝統的にクローズドなものでしたが、現在では、イノベーションのペースがプロプライエタリな開発モデルに制約されないことが明らかになっています。コミュニティによるコントリビューションはイノベーションを促進し、それはセキュリティ分野では明らかに重要です。攻撃者の一歩先を行くためには、最高のアイデアを提供してもらう必要があります。Falco、OPA、Cloud Custodianなどのオープンソースセキュリティプロジェクトの多くは、複数のレベルでのコントリビューションを認めています。プログラマーはコードを提供し、セキュリティチームは脅威を検出してコンプライアンスを検証するためのルールを提供します。オープンソースの人気が高まっているのは、多くのバージョンのUnixに代わってLinuxが登場したのと同じ理由からです。ITリーダーたちは、時の試練に耐えられると分かっている標準を採用することを好みます。現在、Kubernetesは、コンテナをオーケストレーションするためのデファクトスタンダードとなっています。Prometheusは、アプリケーションからメトリクスを収集するためのオープンスタンダードとして急速に普及しており、一貫したツールでアプリケーションのパフォーマンスを容易に監視できるようになっています。
CNCF(Cloud Native Computing Foundation)のような組織がガバナンスを提供することで、業界全体でベストプラクティスやコードを共有することが現実的になりました。コミュニティ内で標準を広く採用し、コードを共有することで、既存の環境に簡単に統合することができます。例えば、オープンソースコミュニティのメンバーが、Falcoを他のオープンソースツールや商用ツールと統合することを唯一の目的として、falcosidekickを作成しました。公開されて以来、45万回以上ダウンロードされています。
ランタイムセキュリティのFalcoやインシデントレスポンスのsysdigのように、オープンソースのセキュリティ標準が登場し始めています。sysdigもFalcoも複数の商用製品に組み込まれており、何百ものチームで使用されています。Sysdigオープンソースプロジェクトのダウンロード数は2,700万件を超えており、オープンソースセキュリティの普及が進んでいることは明らかです。
この12ヶ月間で、ほとんどの企業がクラウドへの移行を加速させています。この変化は、人、プロセス、テクノロジーに影響を与える大規模なシフトです。この変化に対応してチームを管理することが最大の課題となります。テクノロジーを適切に選択すれば、人々が役割やプロセスを変更する際に、テクノロジーによって容易に対応することができます。
[1] Gartner “Solution Path for Security in the Public Cloud ,” Richard Bartley, January 30, 2020.
Sysdigでクラウドを守る
このトピックをより深く掘り下げたい方は、攻撃者が脆弱なコンテナからラテラルムーブメントを実行し、クラウドインフラストラクチャ全体を侵害する方法についての記事をご覧ください。Sysdig Secure for cloudを使えば、悪者が侵入する前にクラウドの設定ミスに継続的にフラグを立てたり、流出した認証情報からの異常なログインなどの不審なアクティビティを検出することができます。これらはすべて単一のコンソールで実行されるため、クラウドのセキュリティ態勢を簡単に検証することができます。しかも、わずか数分で始められます!
Sysdig Free Tierで無料でクラウドのセキュリティ対策を始めましょう