AWSの「継続的なクラウドセキュリティ」を実現するためのチェックリスト

By 清水 孝郎 - APRIL 11, 2021

SHARE:

本記事は、ホワイトペーパー「Continuous Cloud Security Checklist for AWS」を日本語に翻訳し、再構成した内容となっております。

クラウドの導入が加速する中、ダイナミックな環境におけるセキュリティリスクを管理する必要性が高まっています。

マルチクラウドアーキテクチャーでは、企業はセキュリティを確保しなければならないサービスの数の多さに圧倒されてしまいます。1つのサービスの設定ミスが深刻なデータ漏洩につながる可能性がありますが、現実にはヒューマンエラーを避けることはできません。セキュリティギャップを常に把握するためには、自動化が必要です。

ガートナー社(Gartner: Innovation Insight for Cloud Security Posture Management)によると、”クラウドサービスに対する成功した攻撃のほぼすべてが、顧客の設定ミスや間違いの結果である “としています。また、2023年までにクラウドのセキュリティ障害の少なくとも99%は顧客の責任になると予測しています。

重要なサービスの1つが突然動作しなくなるというシナリオを想像してみてください。DevOpsエンジニアが調査を行い、数時間の作業の後、障害が発生したサービスを保護すべきファイアウォールルールが手動で変更されていることを発見します。さらに悪いことに、彼女は他にも多くの予定外のファイアウォールルールの変更を発見します。彼女は、それらの変更のうちの1つが調査のきっかけになったことを幸運に思っています。

どのようにしてAWSのサービスの追加や変更を把握することができるでしょうか?どのようにして 複数のクラウド間での設定ミスや不審な動きにフラグを立てるには?どのようにして真の脅威を示すアラートに焦点を当てるか?このようなクラウド特有のセキュリティリスクに対処するには、継続的かつ自動化されたアプローチが必要です。

本記事では、AWSにおけるクラウドセキュリティリスクを管理するための「継続的クラウドセキュリティチェックリスト」について説明していきます。


1.クラウドアセットのディスカバリー

  • クラウド環境で稼働しているシステム、アプリケーション、サービス、スクリプトを特定します。それらが安全でコンプライアンスに準拠しているかどうかを判断します。
  • アカウント、VPC、リージョン、S3バケット、RDSなどのクラウドアセットをマッピングする。顧客データやコンプライアンス規制の対象となるデータなどの機密データがどこに保存され、処理されているかを把握する。
  • 複数のクラウドサービスにおけるクラウドアクティビティを可視化します。
これにより、現在の運用状態をベースライン化するとともに、最も重大な脅威が存在するサービスを優先し、修復を加速することができます。


2.静的コンフィグレーションリスクの管理(CSPM)

リスクのある構成設定を特定し、クラウドやコンテナ環境の現在のセキュリティ態勢を可視化します。

公開されたストレージバケット、公開されたセキュリティグループ、漏洩したシークレット/クレデンシャルなどの誤設定を検出します。また、設定ドリフトがあるかどうかも判断します。AWSサービスのセキュリティを確保するためのCISベンチマーク、コミュニティが提供するポリシー、または独自のセキュリティベースラインに対して、クラウドの構成をチェックします。

AWS Cloud Benchmarksでは、厳選されたチェック項目をお客様のAWSアカウントで定期的に実行することができ、どのサービスや構成がセキュリティ上の課題となっているかを知ることができます。AWSコンソールやCLIコマンドを使用して、セキュリティ体制を強化するための実装ガイダンスを含む修正手順を入手できます。

3.クラウドの脅威を継続的に検知・対応する

クラウドのアクティビティログを分析することで、すべてのクラウドアカウント、ユーザー、サービスにおける不審なクラウドアクティビティを継続的に検出します。

  • 疑わしいパターンや異常な動作を探し、そのデータをインシデント対応に活用します。
  • プロセスの実行パターンを検出して、予期せぬ動作やリモートコードの実行を確認する。
  • 特に有効期限の長い認証情報や高権限の認証情報について、認証情報の盗難を確認する。
  • クラウドリソース(S3など)、仮想サーバのインフラポート、コンテナ、コンテナオーケストレーションプラットフォームの構成の変更を特定する。
  • 意図しない情報の露出による機密データの漏えいを特定する。
  • 過去のインシデントのデータを調査し、パターンを検出する。


すべてのAWSアカウントでクラウドリソースが作成、削除、または変更されたときに、設定ミスや予期せぬアクティビティを検出します。

これにより、クラウドアカウントの侵害や意図しないヒューマンエラーによるリスクへのエクスポージャーを低減することができます。

AWS CloudTrailのイベントログとFalcoルールを運用監査の真実のソースとして使用することで、リスクを管理します。脅威が発生するとすぐに検出し、クラウドアカウントのガバナンス、コンプライアンス、リスク監査を可能にします。


4.クラウドのコンプライアンスとガバナンスの検証

NIST 800-53、PCI DSS、SOC 2、MITRE ATT&CK®、CIS AWS、AWS Foundational Security Best Practicesなどのセキュリティ基準やベンチマークに対応した豊富なFalcoルールにより、セキュリティフレームワークへの準拠を実現し、維持することができます。

組織固有のセキュリティ管理のガバナンスと実施を可能にします。これにより、DevOpsチームやクラウドチームは、監査人や顧客に対してコンプライアンスを容易に検証できるようになります。

ベンチマークや標準に対するクラウドコンプライアンスの進捗状況を、詳細なレポートやアラートで継続的に追跡することができます。ガイド付きの修復ヒントにより、平均応答時間(MTTR)を短縮します。Sysdig Secure DevOps Platformは、マルチクラウドインフラストラクチャーにおけるセキュリティポスチャーの継続的な監視と管理を支援します。

ランタイム検知のオープンスタンダードであるFalcoとCloud Custodianを使用して、すべてのクラウドアカウントにおける異常な動作や変更から脅威を検知することができます。クラウドのランタイムの動作を継続的に監視し、変化や不審な活動を検知することで、起こりうる問題をチームに警告し、迅速に対応することができます。

オープンソースツールは、迅速なコミュニティイノベーションとオープンスタンダードを活用しています。エンタープライズグレードのスケールとサポートを備えたSysdigプラットフォームを採用することで、セキュリティや可視化ツールの管理ではなく、アプリケーションの提供にリソースを集中させることができます。


Sysdigの無償トライアルでは、無料でクラウドのセキュリティを確保できます。

Sysdig Secure DevOps Platformは、コンテナ、Kubernetes、クラウドを自信を持って実行するために必要な可視性を提供します。オープンソース・スタック上に構築され、SaaS型で提供されており、根本的にシンプルな運用と拡張性を実現しています。

今すぐ無料トライアルをお申し込みください!