本文の内容は、2024年4月16日に RYAN DAVIS が投稿したブログ(https://sysdig.com/blog/active-cloud-risk-why-static-checks-are-not-enough/)を元に日本語に翻訳・再構成した内容となっております。
もし、あなたのホーム セキュリティシステムが定期的にドアや窓が施錠されているかどうかをチェックするだけだったらどう思いますか? このセキュリティシステムは、あなたの家と、犯罪者がどのようにしてある部屋から別の部屋に移動し、最終的には金庫などの貴重な所有物の 1 つに到達するかを示す優れた視覚化を実現します。ただし、ドアホンや窓にカメラが付いているわけではなく、不審者が近づいてきたり、さらに悪いことに家に侵入しようとしたときにリアルタイムで警告する機能はありません。それで満足できますか?
これは、クラウド環境に動的なリスクがある場合に、クラウドセキュリティポスチャーの静的チェックに満足すべきではないのと同じ理由です。
静的リスク vs. 動的リスク
静的リスク
クラウドの動的ななリスクを理解するには、まず静的なリスクを理解する必要があります。静的リスクは、静的チェックから得る結果です。静的チェックは、通常、数時間ごとに取得されるクラウド環境の特定時点のスナップショットであり、セキュリティポスチャーを評価するために使用されます。従来のクラウド セキュリティ体制管理(CSPM) ツールは静的チェックを使用しており、次のような静的リスクを把握できます。
- 重大な脆弱性
- 設定ミス
- ポリシー/コントロールの失敗
- ネットワークの露出
- データの漏洩
静的リスク評価は依然として重要です。たとえば、クラウド ストレージバケットの構成が間違っていると、データ侵害が発生することがよくありますが、静的なリスクのみに依存し、クラウドが安全であると信じていると、誤った安心感に陥ります。これらのリスクは従来の CSPM では静的なままで、頻繁に変更されることはなく、ほとんどが悪用されることはありません。静的リスクの問題は、ドアに侵入しようとする泥棒のような、リアルタイムのアクティビティや変化を見逃すことです。そして率直に言って、ほとんどのクラウド環境では通常、スキャンごとに繰り返しポップアップする静的リスクが数千ではないにしても数百あり、優先順位を付けるのが難しい大量のノイズやアラートが生成されます。
動的なクラウドリスク
このため、動的なリスクを可視化し、優先順位を付ける必要があります。動的なクラウドリスクには、以下のようなリアルタイムのアクティビティや環境内の動的な変化が含まれます。
- リスキーな ID の振る舞い (例: ユーザーが MFA なしでアクティブにログインする)
- リアルタイムの構成変更 (例: 既知の悪意のあるネットワークへの接続)
- パーミッションの使用 (例: 事前の使用なしにアクティブ化された高特権アクセス)
- 重大な脆弱性のある使用中のパッケージ (例: CVSS の脆弱性が高いアクティブに実行中のソフトウェアパッケージ)
- ワークロードの脅威 (アップロードされた公開暗号化キーなど)
動的なクラウドリスクは、潜在的に環境内でリアルタイムに発生する重大なイベントです。これらは、今すぐに焦点を当てて優先順位を付けたいリスクです。そうすることで、最も重大なリスクに優先順位を付け、最も重要なときにタイムリーに対応することで、ノイズとアラート疲労を軽減できます。
ランタイムインサイトを利用して動的なクラウドリスクと戦う
より良い解決策は、ランタイム インサイトを使用して動的なクラウド リスクを発見し、これに対処することです。このようなソリューションは、静的チェックを超えて、リアルタイムの構成変更、不審なユーザー アクティビティ、使用している権限、脆弱性のある使用中のパッケージ、ワークロードの脅威などのアクティブなクラウド リスクを検出でき、リアルタイムのサービスとして提供できる必要があります。クラウド環境における最も緊急性の高い差し迫った脅威についての洞察を得ることができます。しかし、動的なリスクを単独で表面化するだけでは十分ではありません。
さらに重要なのは、ランタイム インサイト(実行時の洞察)を使用して、静的なリスクの発見を強化し、アクティブなリスク情報を重ね合わせて、複雑な問題や相互に関連するリスクの優先順位付け、調査、修正に役立てるべきです。静的リスクと動的リスクの最もリスクの高い組み合わせがスタックに順位付けされ、最上位に優先されます。そこから、攻撃経路分析を使用して、相互に関連するリスク (静的および動的の両方) をドリルダウンして視覚化し、調査を迅速化することができます。また、同じワークフロー内で、問題を迅速に解決できるようにガイド付きの修復を提供します。
動的なクラウドリスクは単なる EDR でしょうか?
ここまで到達すると、「動的なクラウドリスクの検出は、エンドポイントにおける検出と対応(EDR) の別のバージョンに過ぎないのでは?」と自問するかもしれません。簡単に言うと、「はい」でもあり「いいえ」でもあります。
なぜそうでは無いのから始めましょう。従来の EDR ソリューションは、エンドポイントへの侵入や脅威を検出するためにエージェントに依存していました。クラウドには、エンドポイントだけでなく、何百もの異なるサービスがあるため、エージェントを完全に計測することは不可能であり、大きな死角が残ります。
一方、「はい」の場合では、ランタイムの洞察はクラウドベースの検出と対応に役立ちます。そのため、Sysdig では、包括的な CNAPP ソリューションを使用したクラウドセキュリティへのプラットフォームアプローチを信じています。当社の CSPM 機能を使用してポスチャーと予防から開始し、ランタイム インサイトを活用して動的なリスクの優先順位付けと軽減を行うことができます。さらに、プラットフォームの機能をさらに拡張して、検出と対応を行うことができます。統合プラットフォーム アプローチは、ツールを統合するだけでなく、予防と検出から調査と対応に至るまでのワークフローを合理化し、一刻を争う場面での時間を節約します。
エージェントレスアプローチ vs. エージェントアプローチ
ここで、核心に迫り、「動的なクラウドリスクに対処するための基盤となるテクノロジー アプローチは何ですか?」と尋ねることを考えているかもしれません。従来の EDR ソリューションはすべてエージェントを使用して、エンドポイントに限定された侵入と脅威を検出しますが、従来のCSPMソリューションは、干渉を軽減し、セットアップとメンテナンスを簡素化するために、エージェントレススキャンの推進に断固として取り組んできました。
Sysdig では、可視性と保護の幅広さと深さを実現するために、どちらか、または、両方を使用するオプションを提供しています。ポスチャーと予防のユースケースでは、API を使用してエージェントレスで環境をスキャンし、構成ミス、脆弱性、その他のリスクを見つけることができます。しかし、それだけではありません。オープンソース Falco をベースにした独自の検出エンジンは、クラウドおよび SaaS ログデータをストリーミングする機能を備えており、エージェントレス検出を武器として追加します。そうです。エージェントを展開する必要がなく、ランタイム インサイトと動的なリスク検出のすべて得られます。これにより、広範囲をカバーし、クラウド資産全体を完全に可視化できます。
ワークロードの可視性をさらに追加し、ワークロードリスクのリアルタイム検出と優先順位付けを追加したい場合は、エージェントレスのスキャンと検出を補完するためにエージェントを導入することを選択できます。これにより、分析を深くし、主要なワークロードを詳細に可視化できます。もちろん、完全な CNAPP ソリューションまたはクラウド検出と対応(CDR)をお探しの場合は、ここでSysdigのエージェントを使用して最先端のワークロード検出を取得することもできます。
クラウドセキュリティのアプローチを変える時期が来ました
では、重要なクラウド環境に対する静的チェックにまだ満足していますか?
従来の CSPM ツールで使用されている静的チェックでは十分ではなく、率直に言って、今日の進化し、急速に変化する脅威の状況では、静的チェックはひどく人手不足になることがご理解いただけたと思います。より良いアプローチは、リスクをスキャンするだけでなく、リアルタイムの動的なクラウドリスクの優先順位付け、調査、修復に役立つ統合プラットフォームを見つけることです。
Sysdig の統合プラットフォームは、ランタイム インサイトを使用して幅広い可視性と防御の深さを実現する事で動的なクラウドリスクをあぶり出して対処する事を可能とします。また、エージェントの有無にかかわらず、これを行うオプションも提供されます。選択はあなた次第です – 正しい選択をしてください。