本文の内容は、2025年4月8日に Crystal Morin が投稿したブログ(https://sysdig.com/blog/5-cloud-security-benchmarks-every-security-leader-should-track/)を元に日本語に翻訳・再構成した内容となっております。
クラウドサービスが堅牢で適切に保護されているかを検証したいとお考えですか?組織のクラウド環境を評価するために、以下の5つのクラウドセキュリティ・ベンチマークを検討してください。CISO(最高情報セキュリティ責任者)は、セキュリティプログラムがデータに基づいて構築されるべきであり、メトリクスが経営幹部や取締役会を含む組織の関係者に対してセキュリティ機能の現状を伝えるために不可欠であることを理解しています。KRI(重要リスク指標)は、組織内のサイバーセキュリティリスクを評価するための測定可能な指標として使用されるべきです。KRIはサイバーセキュリティ対策をビジネス目標と整合させ、文脈に応じてKRIスコアが低いまたは高いことが、効果的なリスク管理を示します。
クラウド上で運用している組織にとって、クラウドネイティブな企業であれ、導入を始めたばかりの企業であれ、CISOがチームと共に確認すべき5つのベンチマークと、それに関連するKRI(重要リスク指標)は以下の通りです。RI を以下に示します。
ランタイムの脆弱性
すべての脆弱性が同じように作られているわけではないことは周知の事実です。実際、そのほとんどは単なるノイズです。CISOは、セキュリティチームと開発チームが高リスクの脆弱性を積極的に優先し、修正できるよう、脆弱性管理プログラムに重要なコンテキストを追加する必要があります。CISOがベンチマークすべき3つのKRIは次のとおりです。
- ランタイムに特定された脆弱性の割合
- 既知のエクスプロイトがある脆弱性の割合
- 脅威アクターによって積極的に狙われている脆弱性の割合
これらのKRIは、クラウドに展開されたアプリケーションやサービスが直面する影響の大きいリスクに関する重要な洞察を提供します。使用中の脆弱性に焦点を当てることで、セキュリティチームは、影響度の低い脆弱性の海に埋もれてしまうことなく、重大なリスクに積極的に対処できるようになります。
調査までの時間
アラート疲労は現実の問題です。多くの場合、組織はチームが直面する大量のアラートの原因を評価・是正するための時間を確保できていません。単純にそのための時間がないのです。脆弱性と同様に、すべてのアラートが同じ重要度を持っているわけではありません。リアルタイムで対応すべきアラートが見過ごされるリスクもあります。
重要なアラートをリアルタイムで適切にトリアージするためには、規律あるアプローチが求められます。多くのセキュリティチームはいまだにノイズの多さに悩まされ、本当に重要なシグナルを見落としています。Sysdigの「555ベンチマーク」が示すように、クラウドセキュリティの実践は「5秒以内に脅威を検知」「5分以内に相関または調査」「5分以内に対応を開始」することを目指すべきです。これは、多くのセキュリティチームにとってパラダイムシフトであり、多くの重要なアラートが対応されないまま放置されたり、攻撃者が環境を悪用する可能性を下げるには遅すぎるタイミングでしか対応されないことがあるのです。
したがって、CISOがベンチマークすべき3つの主要リスク指標(KRI)は次のとおりです:
- 5秒以内に検知された脅威の割合
- ランタイムで発見され5分以内に調査されたアラートの割合
- 調査されたアラートのうち5分以内に対応した割合
「555ベンチマーク」は、攻撃者の戦術・技術・手順(TTP)に対抗できるよう、クラウドにおける検知および対応能力が迅速かつ効率的であることを求めます。CISOは、重大なシステムに対するアラートがチームによってどれだけ迅速に調査・対応されているかをベンチマークすべきです。
このプロセスの一環として、調査は組織の運用環境に即した文脈で行うようにしましょう。企業価値の源泉となるシステムやアプリケーションは、このベンチマークにおいて最優先事項とするべきです。検知および対応にかかる時間が短いほど、組織が侵害を回避できる可能性は高くなります。
アイデンティティ・ガバナンス
人間のユーザーだけでなく、サービスアカウント(マシンアイデンティティまたは非人間アイデンティティとも呼ばれる)に対する過剰な権限付与は、望ましくない慣行です。アイデンティティ・ガバナンスは、すべてのアカウントに対して最小権限の原則を基盤とすべきです。セキュリティリーダーが過剰な権限の存在に気づき始めたのはごく最近のことでした。多くのアイデンティティが運用環境において過剰に権限を付与されていることに気づかず、組織を重大なリスクにさらしていたのです。
ほぼすべてのセキュリティインシデントには、アカウントの乗っ取り(ATO)やアイデンティティの悪用が何らかの形で関与しています。実行時に悪用される脆弱性に注目することでシグナル対ノイズ比が改善される脆弱性管理と同様に、特権アカウントに対するアイデンティティ重視のベンチマークは、優先的に取り組むべき事項です。
CISOがベンチマークすべき3つの主要リスク指標(KRI)は次のとおりです:
- 過去30日間にアクティビティがなかったアカウントの割合
- 過去 30 日間にアカウントによって使用されなかった付与された権限の割合
- 強力な認証のない管理者権限または高リスクアカウントの割合
- リスクの定義と適切な認証レベルは組織によって決定され、ビジネス分野の規制や個人の好みによって異なる場合があります。
多くの組織では、非アクティブなアカウントを無効化または削除することを怠っています。これは私自身、何度も目の当たりにしてきた事実です。サービスアカウントにも同じことが当てはまります。CISOは、攻撃者の機会を減らすために、過剰に権限が付与されたアカウントを優先的に対象とする、組織全体のアイデンティティ・ガバナンスのベンチマークを確立する必要があります。
アカウントがアクティブでない場合は速やかに無効化されるべきであり、遅くとも30日以内には対応されなければなりません。また、使用されていない権限は、定められた期間内に取り消されるべきです。同様に、クラウドアカウントにおける認証の運用も適切にガバナンスされるべきであり、特権が与えられたアカウントには特に強力な認証が適用される必要があります。
インフラストラクチャーの構成ミス
たとえば、機密データを含むS3バケットが誤って公開されてしまい、データ漏洩につながった事例は誰もが知っているところです。クラウド運用やマイクロサービスの持つ本質的な複雑性は、安全な設定の重要性と、継続的な評価の必要性を浮き彫りにしています。構成ポリシー、ゴールデンイメージ、リファレンスアーキテクチャは、クラウドセキュリティリスクを最小限に抑えるための基盤です。
CISOがベンチマークすべき3つの主要リスク指標(KRI)は次のとおりです:
- 特定のクラウド サービス プロバイダ (CSP) について、インターネット セキュリティ センター (CIS) ベンチマークなどの構成ポリシーに照らして評価されるクラウド資産の割合
- ポリシーに準拠した構成の割合
- 指定された期間内に修正された構成ミスの割合
- 理想的には、誤った構成の修正は自動化されるべきである
設定ミスと脆弱性は、同じコインの裏表です。CISOは、自社の運用環境における安全かつ耐障害性のある設定の状態を評価するためのベンチマークを策定すべきです。セキュリティチームは、資産クラス全体にわたってCISベンチマークを含むポリシーを活用し、クラウド導入において安全な設定が例外ではなく標準となるようにすべきです。
また、調査に要する時間と同様に、重要なシステムにおける設定ミスへの対応タイムラインも積極的にガバナンスされるべきです。攻撃者に設定ミスを悪用される隙を与えないように、対応までの時間を最小限に抑える必要があります。しましょう。
セキュリティの範囲
セキュリティアプリケーションやツールは、正しく実装され、クラウドインフラ全体に展開されてはじめて効果を発揮します。クラウド専用に設計されたクラウドネイティブなツールは、クラウドのスピードで動作し、リアルタイムでクラウド上の脅威を検知・対応するためのテレメトリーを提供します。
CISOとセキュリティアーキテクトは、開発チームと連携し、ビジネスのスピード(現代の技術革新によって業務は急速に変化します)に対応可能でありながら、検証可能かつ包括的なセキュリティカバレッジを提供するセキュリティツールを導入すべきです。
CISOがベンチマークすべき3つの主要リスク指標(KRI)は次のとおりです:
- 適切に構成されたセキュリティ ログと監視テレメトリを備えたクラウド資産の割合
- 555ベンチマークに準拠したセキュリティアプリケーションとツールの割合
- 重要なアプリケーションおよびシステムにおける重大なインシデントの数
CISOは、セキュリティアプリケーションとツールが適切かつタイムリーなテレメトリを提供しているかどうかを継続的に評価する必要があります。これらの情報がなければ、クラウドベースの脅威の調査と対応は困難になり、セキュリティポスチャーは事後対応的な状態に戻ってしまいます。適切なセキュリティツールをクラウドのスピードで運用することで、CISOは、組織の優先事項に沿って、エンタープライズアプリケーションとシステムの回復力、ガバナンス、セキュリティを確保するために必要な確信を得ることができます。
まとめ
データに基づくアプローチは、クラウドセキュリティおよびレジリエンスの状況を検証し、伝達するうえで最も効果的な方法です。KRIは具体的かつ測定可能であり、主要なセキュリティ領域をベンチマークすることで、CISOはクラウド環境の安全性とビジネス目標との整合性を確保することができます。
最終的に、安全なクラウドの鍵となるのは「可視性」「スピード」「レジリエンス」です。クラウドの革新と脅威の進化が加速する中で、セキュリティチームはリアルタイムの対応能力を推進し、影響の大きいリスクを優先する必要があります。
ランタイムにおける脆弱性、調査にかかる時間、アイデンティティ・ガバナンス、インフラの設定ミス、セキュリティカバレッジといったKRIを継続的に追跡・改善することで、組織は自らのセキュリティ有効性を経営層やステークホルダーに対して自信を持って示すことができます。