本文の内容は、2023年7月26日にERIC CARTER が投稿したブログ(https://sysdig.com/blog/cisos-financial-services/)を元に日本語に翻訳・再構成した内容となっております。
金融サービス分野で競争が激化する中、今日の顧客が求めるシームレスなデジタル体験を提供するには、俊敏で効率的なアプリケーション開発が不可欠です。まだアプリケーションをクラウドやコンテナに移行していなくても、検討している可能性は高いでしょう。
しかし、クラウドネイティブの開発には、セキュリティやコンプライアンスへの影響も伴います。コンテナの72%が5分以内に動作するため、多くのレガシーなツールやプロセスでは、監査人を満足させ、侵害を阻止するために必要な可視性を提供できません。
言うまでもなく、リスクは高くなります。金融機関は依然としてサイバー犯罪者にとって最大の標的であり、敵の手口はますます巧妙になっています。2022年の調査によると、世界の金融機関の74%が、前年に少なくとも1回のランサムウェア攻撃を経験しています。一方、規制要件はますます厳しくなっており、その罰則は厳しいものになる可能性があります。現在、PCI規制に違反した場合の罰金は、コンプライアンスが確立されるまで毎月$5,000~$100,000となっています。
ベストプラクティスがない場合、ミスは攻撃者への隙を生み出します。例えば、2019年には、クラッカーが1億件以上のCapital Oneのクレジットカード申請書にアクセスし、数千件の社会保障情報と銀行口座情報を盗むことに成功しています。Capital One のソフトウェア エンジニアが、誤って設定された Web アプリケーション ファイアウォールを介してアクセスを取得し、会社に数億ドルの損害を与えました。開発チームがオープン・ソース・ソフトウェアやサード・パーティのコードに依存するようになるにつれ、コンテナのセキュリティに対する脅威はソフトウェアのサプライ・チェーンからも生じています。最近のFCEB(Federal Civilian Executive Branch:連邦民間行政機関)の情報漏えい事件では、イラン政府がLog4Shellの脆弱性を悪用してクリプトマイナーを展開し、認証情報を盗み出し、FCEB環境で永続性を維持しました。
安全と成功のためにはスピードが命
脆弱性の発見が遅れれば遅れるほど、開発スピード、そして組織の競争力に与える影響は大きくなります。顧客を維持し、次世代の消費者の期待に応えるためには、市場投入までの時間を短縮することがこれまで以上に急務となっている今、CISOは、クラウドやコンテナ環境にセキュリティを明示的に設計し、土壇場での遅れを最小限に抑えるようにしなければなりません。
リスクに対抗するためには、セキュリティ・ツール・セットが、特定のセキュリティとコンプライアンス・セーフガードをDevOpsプロセスに統合する必要があります。脆弱性のスキャンに加えて、ランタイム・セキュリティとインシデント対応にも取り組むことが重要です。
以下は、あなたの組織で取り組むことができる5つの重要な優先事項です:
1.ビルドプロセスにおける脆弱性のスキャン
「シフトレフト」には、コンテナが本番環境にデプロイされる前に脆弱性に対処できるように、セキュリティチェックを開発に組み込むことが含まれます。これらのチェックは自動化することができ、脆弱性をより迅速かつ早期に特定し、ビルド構成とイメージ属性の検証を可能にします。また、アプリケーションが本番環境にデプロイされる前に、サードパーティのコンテナ・ライブラリーをスキャンすることもできます。この重要なステップの重要性を考えるために、Sysdigは最近、お客様が日常的に使用している700万以上のコンテナを分析しました。その結果、本番環境で稼働しているコンテナ・イメージの87%に、クリティカルまたは深刻度の高い脆弱性があることがわかりました。通常、企業は本番リリース前にこれらの問題を修正します。
2.ランタイムの脅威と攻撃に対する安全性
「シフトレフト」は、コンテナが脆弱性を抱えたままデプロイされないようにするのに役役に立ちますが、ランタイム中に環境を危険にさらす新たな脅威から保護する必要もあります。そのためには、不正なユーザーの活動、コンテナへの過剰な権限、不正なネットワーク接続など、幅広いポリシーにまたがる違反をランタイムに検出する必要があります。ランタイムの脅威を包括的に検出するためのポリシーを手作業で作成するのは難しいため、コミュニティが提供するポリシーや機械学習ポリシーの活用が重要になります。もう1つの重要な要素は、アドミッションコントローラーを使用して、APIサーバーへの許可されたリクエストを管理し、危険な構成や脆弱性など、セキュリティ基準を満たしていない側面を持つワークロードが実行されないようにすることです。
3.ポシチャーとコンプライアンスの継続的な検証
CIS ベンチマークは、コンテナのハードニングガイドラインの最小限のセットを提供しています。さらに、規制上の要件は厳しくなっており、その傾向はますます強まっています。しかし、GDPR、PCI-DSS、NIST、ISOなどの要件を満たすことは、コンテナが絶えず変化する変化の速いコンテナ環境では複雑な場合があります。当社のお客様調査によると、現在、1週間以上稼働しているコンテナはわずか6%です。ポスチャーとコンプライアンスを検証するには、各規制とベンチマークを特定のポリシーにマッピングし、ソフトウェア開発ライフサイクルのビルド段階と、本番環境での継続的なコンプライアンスを確保するためのランタイムでチェックする必要があります。
4.過剰なクラウド権限の管理
クラウド環境には、業務を遂行するためにアクセスや権限を必要とするユーザーやリソースが多数存在します。時間の経過とともに、クラウドIDに付与されたアクセス権やアクセス許可を制御・管理するのは困難になってきます。組織は結局、未使用のアイデンティティと過剰なアクセス許可を抱えることになり、敵のエントリー・ポイントとして狙われる可能性があります。クラウド資産とアイデンティティを完全に可視化し、過剰なアクセス許可を検出して削除することは、必要なアクションを実行するのに十分なアクセス許可だけを付与する最小権限アクセス・ポリシーを実施するための鍵です。クラウド・インフラストラクチャー・エンタイトルメント・マネジメント(CIEM)ツールは、すべてのアイデンティティとアクセス管理(IAM)の役割、権限、および使用状況を自動的に検出し、ビジネスを保護するための適切な権限設定を推奨するのに役立ちます。
クラウド権限の90%は使われていない。出典 :Sysdig 2023年度クラウドネイティブセキュリティおよび利用状況レポート
5.アクティビティを監査し、セキュリティイベントを調査する方法を確保する
コンテナの寿命は非常に短いため、コンテナ停止後も保持される詳細なコンテナ・アクティビティを記録する方法を確立することが不可欠です。異常な動作が発生した場合、どのようなプロセスが生成されたかを把握する必要があります。どのような接続が行われたのか?どのファイルが変更されたのか?どの HTTP リクエストが処理されたのか?そして、このシステム・アクティビティとユーザー・アクティビティを相関させる必要があります。どのユーザーがコンテナにアクセスしたのか?彼らは何をしたのか?このような深いコンテナ・アクティビティにアクセスできれば、何が起こったかを効果的にトリアージし、迅速に対応することができます。そうしなければ、何が起きているのかが見えなくなってしまうでしょう。
まとめ
組織が重要なアプリケーションにコンテナやKubernetesの利用を増やすにつれて、これらの技術を悪用する取り組みがエスカレートするでしょう。
これらの5つの側面を念頭に置いてセキュリティ・プロセスを再考するCISOは、イノベーションを促進する一貫した方法で、コンテナやクラウド全体のセキュリティ脅威に立ち向かうためのより良い体制を整えることができるでしょう。
コンテナセキュリティとコンプライアンスに関心がありますか?他のリソースもご覧ください:
- 包括的なKubernetesセキュリティガイドでさらに深掘りしましょう。
- PCIコンプライアンスがコンテナにとって非常に難しい理由をご覧ください。
- そして最後に、Sysdig Secureがどのようにお客様のお役に立てるかをご覧ください。今すぐお試しください!