クラウドセキュリティとは?脅威の特定方法と対策の種類を解説

By 清水 孝郎 - APRIL 7, 2022
Topics: オープンソース, クラウド セキュリティ, コンテナ、Kubernetes、ホストのセキュリティ

SHARE:

本文の内容は、2022年4月7日にDaniella Pontesが投稿したブログ(https://sysdig.com/blog/understanding-cloud-security/)を元に日本語に翻訳・再構成した内容となっております。

Securing containers and cloud for Dummies - Download now

クラウド技術が進化するにつれ、攻撃者の技術も同様に進化しています。悪質な脅威を防ぐには、クラウドに特化したセキュリティ対策をおこなわなくてはなりません。

この記事では、クラウドセキュリティの基本として、クラウドの権限と設定の管理、クラウド内の脅威の検出、クラウドとコンテナの脅威検出のための統一されたアプローチの適用方法などを解説します。

関連記事

CIEMとは?CNAPPとは?IaCセキュリティとは?
クラウドのコンプライアンスと
ガバナンス		クラウドセキュリティの監視と管理クラウドの可視性とセキュリティ
CSPMとは?AWS Fargateのセキュアな運用方法マルチクラウドセキュリティとは?

クラウドセキュリティとは?

クラウドセキュリティとは、クラウドサービスの使用時に、またクラウド環境での発生するリスクに対応するためのセキュリティ対策のことです。

たとえば、クラウド環境に保持しているデータやアプリケーションを第三者の攻撃から守るための予防対策、セキュリティのために設計された一連の手順やセキュリティポリシー・ツール・技術などが含まれます。

現代では、自社内にサーバーを設置せず、クラウドサービスを使用する個人や企業が増加しました。そのぶん、クラウドセキュリティの重要性も高まっているのです。不正アクセス・情報漏洩も社内サーバーとはまた違った形で発生する可能性も考えられることから、十分な対策を講じなくてはなりません。


クラウドにおける脅威の特定方法

一般的なクラウドセキュリティ対策で使われる手法を紹介します。ただし環境によっては、まったく違うアプローチが有効となる可能性もあるため、臨機応変に対応することをおすすめします。

権限と設定の管理

企業では、クラウドを積極的に活用すればするほど、使用するクラウドサービスの種類、管理しなければならないID権限などが飛躍的に増え、その管理が複雑化する傾向に傾向にあります。

アプリケーションを構築するために使うこれらのサービスを、一般的には「資産」または「リソース」と呼びます。クラウドの資産、役割、権限の構成は、さまざまな要素をふまえておこなわなければなりません。作業には手間がかかるだけでなく、場合によっては設定ミスによるエラーが多発しやすくなることもあるでしょう。クラウドにおけるセキュリティインシデントの原因として、このような設定ミスや過剰な特権IDが該当しがちです。管理を徹底することで、リスクを軽減しやすくなります。

スタートアップの企業やプロジェクトでは、「クラウド資産がどのように設定されているか」、「クラウド内のどの権限がアイデンティティに付与されたか」を完全に制御するどころか、可視化すらできない状態で始まることも珍しくありません。

多くのユーザーは、S3(Simple Storage Service)バケットなど、必要に応じてクラウドサービスを手動で設定します。そのためIT部門が蚊帳の外となり、潜在的に危険な状態にさらされやすくなります。有効なまま放置されている元従業員・一時的なユーザー・ゲストなど第三者のアカウント、未使用の権限、不要な権限が付与されたユーザーIDもリスクを招きやすくなります。セキュリティの観点から、これらを放置するのはおすすめできません。定期的に確認し、適切に対処する必要があります。

クラウド資産と構成の発見

既存のクラウド資産とその設定は、セキュリティの観点から常に把握しておきたいもの。しかし手作業でおこなうのは困難ですし、目視に頼っているとミスも多発しやすくなるでしょう。

クラウドは絶え間なく変化しており、その規模が大きくなると複雑性も増します。対応するには、ある程度は自動化されたプログラムによるアプローチが必要です。

手動による検出プロセスは、致命的なミスを誘発するだけでなく、脆弱性を見落とすリスクも高まります。さらに設定ミスが重なることにより、正規ユーザーによる意図しない行為や、攻撃者による悪意ある行為を招く可能性もあるでしょう。アクティブなクラウド設定の状態を常に監視し、セキュリティの状態を良好に保つことは、クラウド環境にとって必要条件となります。

そのために重要なのが、クラウド・セキュリティ・ポスチャー・マネジメント(CSPM)ソリューションです。クラウド構成を管理するための機能を備えたツールであり、適切に活用することでセキュリティリスクを回避しやすくなります。

関連ページ:CLOUD SECURITY POSTURE MANAGEMENT(CSPM)

過剰権限のユーザーの特定

情報漏洩の最大の原因として、人間やそれ以外のアイデンティティ(アプリケーション、サービス、コンテナなど)に特権的資格の過剰付与があります。

最小特権の原則(必要なアクションを実行するために必要以上の権限を与えないという考え方)の適用が推奨されています。しかし実際におこなうのが難しいケースも少なくありません。一般的なクラウドプロバイダーは権限を細かく設定しているため、理論的には最小特権のポリシーにつながるはず、とも考えられますが、現実はもっと複雑です。

実際には、アクセス権は適切な方法で割り当てられていないことが多いです。そのため、既存のルールが再利用され、混乱を避けるために十分な範囲のパーミッションが設定されているケースにのみ注意すれば、ほとんどの場合は事足りるでしょう。

現代では、スピードとパフォーマンスを重視する傾向にあり、セキュリティでもそうであるべきです。実際にクラウドを扱う開発者やIT部門は、安全性を重視するあまり、権限が過剰にならないよう対処しようとします。しかし手動で微調整を行うと、必要以上に時間がかかるうえ、ミスも起きやすいです。さらに非アクティブなIDもパーミッションの脅威となりやすいでしょう。


クラウド・インフラストラクチャー・エンタイトルメント管理(CIEM)は、クラウドセキュリティの観点から、採用が推奨されているソリューションです。適切に設定することにより、アクティブ・非アクティブを問わず、クラウドIDに付与された過剰な権限を検出し、最小権限の原則を実施しやすくなります。

関連ページ:権限・エンタイトルメント管理(CIEM)

アクティブな脅威の検知

サイバー攻撃の脅威として、フィッシング、データの漏えい、クリプトマイニング、分散型サービス拒否(DDoS)攻撃などが含まれます。年々クラウドの脅威は進化し、精巧かつ複雑で、粗く、脈絡のないものになりつつあります。

これらの脅威が複雑になればなるほど、リアルタイムではないデータを使用し対処する、「従来のサイロ化したセキュリティソリューション」では対応が難しく、リスクを誘発しやすくなるでしょう。

攻撃を効果的に検知し、阻止するには、攻撃対象(悪意のある活動の全領域)をリアルタイムに可視化しなくてはなりません。これには、クラウドのセキュリティ制御の監視、たとえば「リスクを増大させる設定変更の検出」などが含まれます。


注目したいのは、多くの攻撃では「何らかの形で記録されたイベントの痕跡を残す」ということです。そのため、脅威の検知方法のひとつとして、クラウド監査ログを監視し、予期せぬ設定変更や権限の昇格など、異常な行動や悪意ある行為を見つけることが挙げられます。

なお、脅威のリスクは、必ずしも「悪意のある行為」から生じるとは限りません。クラウドの構成は常に変化しており、リスクへの影響を監視する必要があります。開発者がアプリケーションのデバッグやデプロイ時に設定や権限を変更した場合、それがもたらす追加リスクについて考慮されていないかもしれません。

有用な方法として、スケジュールされたプル間隔でアウトオブバンドのアクティビティログを分析したり、ログをセキュリティ情報およびイベント管理(SIEM)システムに送信して、脅威をスキャンしたりする、などがあります。しかし、以下のような欠点がある点には注意が必要です。

  • リアルタイムではないため、危険な設定や侵入者の検知に遅れが生じやすい。
  • プルインターバルの場合、リアルタイムでの検知ができないことに加え、悪意のあるイベントの完全なシーケンスを見落とす可能性がある。
  • SIEMツールは、リアルタイム検知ではなく、フォレンジック分向けのツールである。
  • 膨大な量のアクティビティログをクラウド外にコピーすることは、コストと管理が複雑であり、特定の業界ではコンプライアンス違反となる可能性もある。

定義されたランタイムポリシーに照らして分析されます。疑わしい行動が検出されると、リアルタイムでセキュリティイベントが発生します。このとき送信されるのはセキュリティイベントのデータのみで、すべてのログ記録は含まれません。また、監査ログのストレージ全体ではなく、新たに記録された各ログが検出ルールの条件と照らし合わせて分析されます。

ストリーム検知では、以下の例のように、クラウドの脅威の兆候をリアルタイムに検知することができます。

  • アクティビティ監査やロギングサービスが停止されている。

  • ユーザーロールが変更され、許容範囲を超えるポリシーが追加されている。
  • S3バケットを公開している。
  • 通常とは異なるアカウントからS3バケットへのアクセス形跡がある。
  • 静止時または転送時のデータの暗号化を弱くするか、しないように変更されている。
  • 多要素認証(MFA)なし、パスワードのローテーションなしなど、脆弱なパスワード設定に変更されている。
  • 不適切なファイアウォールルールやネットワークアクセスコントロールに変更されている。
  • 匿名または未承認のアクセス権を持つアプリケーションプログラミングインターフェース(API)アカウントが作成されている。

クラウドセキュリティ対策の種類

クラウドの安全性を高めるためのセキュリティ対策として、主に以下のような種類があります。

脅威を検知する統一アプローチの採用

今日のサイバー脅威の世界は複雑です。クラウドのセキュリティ制御、設定、権限の改ざんは、ワークロードの脆弱性を悪用することから始まる攻撃シナリオの戦術的ステップに過ぎません。

戦術として、ワークロードの脆弱性の悪用を足掛かりとし、ステルス性を高めてから気づかれずに感染させていく形の手口もあります。従来の一般的なセキュリティツールへの対策として、抜け道となる技術も多く確立されています。チーム別に分断された環境によりサイロ化したソリューションによって、残されたままになっている可視性のギャップも利用されがちです。

ですが、対処できないわけではありません。どんな環境でも、サイバー攻撃を阻止するには、まず「脅威を認識すること」が重要です。

このとき、既にサイロ化したソリューションから、分断したデータ同士を連携させようとすると、検出が遅くなり、脅威を見逃す可能性すらあります。対象となる脅威が見えなければ、対処は難しいです。悪意のある活動は、アプリケーション、コンテナ、Kubernetes、およびクラウド資産、サーバー、サーバーレスプラットフォームなどで広く確認できる可能性もあるでしょう。脅威検出においては、統一されたアプローチの採用を推奨します。

単一のイベントストアの採用

一般的には、単一のイベントストアが有効となることが多いです。

クラウドにおける統一アプローチでは、検出された全イベントが単一のイベントストアに格納され、攻撃の進化を示す連続したイベントタイムラインを可能にします。適切に連携されていないサイロ化データは検出を遅らせることから、1つのアクションにおける小さな悪意のある側面の検出には全く適さない場合があります。 このケースでは、サイロ化されたセキュリティツールを使用すると、各アクティビティが単独で表示されるだけで、完全な攻撃を組み立てることはできません。複数のシステムがバックドアやマルウェアファイルなどの悪意のあるアーティファクトに感染している高度な攻撃では、攻撃の構成要素と爆発範囲を完全に可視化しなければ、攻撃者を環境から完全に排除するのに数ヶ月かかるかもしれません。

単一のイベントストアによる一元的なビューであれば、クラウドやコンテナ環境における最初のアクセスから横方向への移動、悪意のあるアクションまでの攻撃者の一連の手順を明らかにすることができます。悪意のあるアーティファクトを直ちに封じ込め、除去するために必要な情報をセキュリティチームに提供しやすくなるでしょう。

ポリシー言語の統一

クラウドセキュリティでは、ポリシー言語を統一することをおすすめします。

セキュリティには検証や透明性が求められるため、プロプライエタリなソリューションは避けクラウド環境全体で一貫した検出ポリシーを設定することができます。ポリシー言語が異なると、学習曲線とセマンティックギャップが生じ、イベントを評価する際に構文解析や翻訳ロスが発生しやすくなりがちです。

クラウドとコンテナにまたがる脅威を検出するために単一のポリシーエンジンを採用しておくと、セキュリティチームのワークフローの効率を高め、ポリシー管理を容易にするだけでなく、MTTR(平均修復時間)インシデントを削減しやすくなるでしょう。

オープンソースの検証

クラウドの安全性を高めるには、オープンソースを検証する必要があります。

セキュリティには検証や透明性が求められるため、プロプライエタリなソリューションは避けたいところです。プロプライエタリなツールは通常、単一の組織によって管理され、イノベーションはそのリソースと優先順位によって制限されます。

オープンソースの標準に基づくソリューションは、通常、主要なコントリビュート組織があり、さらに意欲的なユーザーやコントリビューターのコミュニティが、追加のアイデアや機能をもたらしてくれます。フィードバックを提供し、問題を報告し、修正し、改善に貢献するための、よりダイナミックな環境も可能となるでしょう。

コミュニティベースの標準を持つことで、統合開発への投資が保護されるため、オープンソースプロジェクトを中心としたテクノロジーエコシステムの成長もより速くなります。オープンソースに見られる相乗効果は、現代のサイバー脅威に対抗するための基本であるコラボレーション、検証、およびイノベーションのスピードを促進するはずです。

まとめ

セキュリティソリューションは、導入すれば問題を解決できるわけではありません。導入したツールに効果があり、あらゆる攻撃に対する保護を維持し、サイバー犯罪の世界が進化しているのと同じスピードで新たな脅威を封じ込めるために進化し続けているか検証する必要があります。

クラウド脅威の検知には、Sysdigが開発したFalcoをご検討ください。Kubernetes、コンテナ、およびクラウド全体で継続的にリスクと脅威を検出するためのオープンソースとして業界の標準システムです。予期せぬ動作、設定変更、侵入、データ盗難をリアルタイムで継続的に検出するセキュリティカメラの役割を果たします。Sysdigは、多くのオープンソースプロジェクトのベンダーニュートラルな拠点であるCloud Native Computing Foundation (CNCF)にFalcoを寄贈しました。

こちらの資料「Securing Containers & Cloud」では、Infrastructure as Code(IaC)、脅威への対応、コンテナとクラウドのコンプライアンスの維持などについて解説しています。

Securing containers and cloud for Dummies - Download now