クラウドネイティブ・アタックサーフェスにおける脅威検知

By 清水 孝郎 - JANUARY 25, 2024

SHARE:

本文の内容は、2024年1月25日に ANNA BELAK が投稿したブログ(https://sysdig.com/blog/cloud-native-attack-surface/)を元に日本語に翻訳・再構成した内容となっております。

パブリッククラウド インフラストラクチャーは、現在では、新しい事業をゼロから立ち上げ、ビジネスを急速に拡大するためのデフォルトのアプローチとなっています。セキュリティの観点から見ると、これはまったく新しい (つまり、10 年以上前のものである) アタックサーフェス(攻撃対象領域)です。「攻撃対象領域」とは、悪用可能な IT 資産の集合体、またはハッカーがシステムにアクセスしたり、データを盗んだり、ビジネスに損害を与えたりするために使用できる可能性のあるさまざまな経路すべてを指す、一般的に使用される用語です。


クラウドの攻撃対象領域は異なります。米国時間の2024年1 月 31 日に開催されるウェビナーでは、ゲストのForresterのAllie Mellenとともに、イノベーションのスピードに合わせてクラウドネイティブ環境を理解し、保護することの微妙な違いについて詳しく掘り下げていきます。


いつものように、古いやり方ではなく「クラウドのやり方」で物事を進めることには、長所と短所があります。たとえば、デフォルトのログ記録など、クラウドプロバイダーの組み込みコントロールからある程度のデフォルトの可視性を取得できます。また、すべてが API で定義され、API にアクセスできるため、資産のインベントリを簡単に作成できます。忘れられたクローゼットに秘密サーバーが存在することはもうありません。 

その一方で、クラウドの最大の喜びの 1 つは、21 世紀のイノベーションの驚異的なペースで新しいリソース、新しいアプリケーション、新しいセキュリティ ギャップを作成できる無限の自由です。この時代の偉大な創造者はソフトウェア開発者であり、おそらく、クラウド、DevOps、その他多くの最新の IT パターンの進化の大きな原動力は、開発者がより多くのソフトウェアをより迅速に作成できるようにすることです。私たちがこのフロンティアを開拓することにかなり成功したと言っても過言ではありません。

開発者はクラウドの攻撃対象領域をこれまで以上に急速に拡大しています。

クラウドの攻撃対象領域の拡大は、クラウドによって可能になる、より迅速で革新的な開発の直接の結果です。これは、収益にプラスの影響を与えるため、ほとんどの組織が喜んで引き受けてきたリスクです。私たちはシフトレフトやゼロトラストなどの戦略でこのリスクを軽減すると主張してきましたが、現実世界のほとんどのデータは、それが実際には機能しておらず、少なくともセキュリティリーダーが満足できるほどには程遠いことを示しています。

もし、防御がうまくいかない場合は(時々そうなりますが)、脅威検知とインシデント対応がそれを補ってくれることを祈るしかありません。Forrester のこのブログで、Allie Mellen 氏は「検知サーフェース」について説明しています。Forrester によれば、これは「攻撃者のアクティビティの検出が行われる IT 資産の種類」です。彼女は、さまざまな資産範囲やセキュリティ ツールに関連する検知サーフェースを具体的に区別しています。Allie は、「どの検出サーフェースをカバーしていますか?」という質問に対する潜在的なベンダー調査の回答の例を挙げています。クラウド検知について議論する際のベンダーの反応は「コンテナ、IaaS インスタンス、SaaS アプリケーション [など]」である可能性がありますが、EDR 導入を争っているベンダーのエンドポイントの検出対象領域は「Windows、Mac、iOS、Android [など]」である可能性があります。 」 

開発者がクラウドの攻撃対象領域を増やすと、クラウドの検知対象領域も拡大します。

パブリッククラウドにデプロイされたものはすべて、何らかの方法で考慮されます。同様に、ほとんどすべてのものに何らかのテレメトリが関連付けられています。クラウドログは、さまざまなチームによって作成された新しいアセットをレポートし、データソースを明示的に定義したり構成したりすることなく、それらに関連するアクティビティを記録します。問題は、あなたの SOC がそのデータをどう扱うべきか考えているかということです。SIEM に流入している場合、この検知サーフェースで最新の脅威を実際に検知するための内容があるのでしょうか?

ほとんどのセキュリティ運用チームは、クラウドに関する専門知識を身につけ始めたばかりで、これらの最新環境向けの脅威検知プログラムを構築する初期段階にあります。あなたの組織はクラウド検知サーフェースをカバーしていますか? 収益を生み出すクラウドネイティブソフトウェア開発活動をカバーできるように SOCを成熟させる戦略はありますか? 答えよりも疑問がある場合は、ゲストスピーカーの Allie Mellen が登場する 1 月 31 日のウェビナーに参加して、クラウドの検出と対応、および SOC の将来について話し合いましょう。