本文の内容は、2024年8月15日にMarla Rosner が投稿したブログ(https://sysdig.com/blog/the-evolution-of-cloud-security/)を元に日本語に翻訳・再構成した内容となっております。
皆さんが学生の時、教師に「歴史の事実を知る必要性がある時が学校外であるのか?」と尋ねたことがありますか?おそらくその教師たちは、「歴史を学ぶことは、過去を理解し、社会がどのように変化し、進歩してきたかを知るために重要であり、過去の経験や過ちから学ぶことができる」と言ったことでしょう。
もちろん、それは正しかったのです(当時はそう感じなかったかもしれませんが)。そして、これはセキュリティの歴史にも同様の事が当てはまります。私たちはどのようにして現代のサイバーセキュリティの状態に進化してきたのか、それが今後進むべき最善の道について何を教えてくれるのか?
幸運なことに、クラウドセキュリティに関しては、散らばった手がかりを探して考古学的遺跡を掘り起こす必要はありません。歴史は最近のものであり、アクセスしやすく、学ぶ準備ができています。それでは、早速始めましょう。
クラウドセキュリティはどこから来たのか
エンドポイントセキュリティの発展
エンドポイント保護プラットフォーム(EPP)に至るまでの旅は、1980年代に始まり、この40年間で激しい進化と統合を遂げてきました。1990年代後半から2000年代初頭にかけて、ILOVEYOUワームやアンナ・クルニコワウイルスなどのコンピュータウイルスが、急増するインターネット利用を利用して世界中に広がり始めました。
これらの脅威に対抗するために、最初のアンチウイルスソフトウェア(Anti-Virus eXpertやClamAVなどの著名な例を含む)が登場し、既知のウイルスのデータベースに対してシステムを保護するためにシグネチャベースの手法を使用しました。これらの製品は、侵入者の存在を示唆する不審なIPアドレス、ハッシュ、ファイル名など、セキュリティ侵害の指標(IoC)を探すことで、システム内の脅威を検出しました。
これに対して登場したのがポリモルフィックマルウェアで、シグネチャベースの検出を回避するためにコードを変更することができました。攻撃者は攻撃ごとにハッシュを変更でき、同じ被害者に対してさえ、異なるIoCを伴う可能性がありました。従来のアンチウイルスは追いつけなくなり、次世代アンチウイルス(NGAV)が登場し、機械学習やふる舞い分析を使用して、既知か未知かにかかわらず脅威を検出しました。
しかし、このアプローチは依然としてシステムの周辺で脅威をブロックすることに依存しており、ネットワークに侵入した攻撃を検出する方法がありませんでした。このギャップを埋めるために、エンドポイント検知と対応(EDR)ソフトウェアが作成され、リアルタイムで脅威を監視、検知、対応する能力を備えました。EDRソフトウェアは長年にわたり大いに改良され、拡張されてきました。しばらくの間、EDRとエンドポイントソリューションを改善し続けるだけで、サイバー攻撃から安全になると考えられていました。
クラウドへの大移行
そして、次なるサイバーセキュリティの大きな転機が訪れました。それはクラウドへの移行です。セキュリティの観点から見ると、クラウドはまったく異なるタイプのアタックサーフェスであり、オンプレミス上の攻撃よりも桁違いに大きく、動きも速いのです。
オンプレミスのエンドポイント保護とEDRセキュリティのみでクラウドを運用すると、クリプトジャッキング、クラウドデータの侵害、人やマシンIDの悪用など、多くの攻撃に対して組織が脆弱になります。さらに、クラウド攻撃の速度や、クラウド環境に対する多くの組織の限られた可視性を考えると、サイバー攻撃に成功したというニュースが日に日に増えているのも不思議ではありません。
オンプレミス環境向けに設計されたセキュリティツールやプロセスに頼ることでは不十分であることが明らかになりました。そこで、クラウド向けに特別に設計された新しい種類のセキュリティソフトウェアが登場しました。
エンドポイントセキュリティの初期の頃と同様に、クラウドセキュリティへの最初のアプローチもすべて予防に関するものでした。これには、クラウドセキュリティポスチャー管理(CSPM)やクラウドインフラストラクチャーエンタイトルメント管理(CIEM)を使用して、セキュリティコントロールを強制し、脆弱性、誤設定、および潜在的な脅威を監視することが含まれます。これらのソリューションは画期的なものであり、今日ではすべての組織のセキュリティスタックの不可欠な部分となっています。しかし、純粋に予防的なエンドポイントセキュリティと同様に、それだけでは十分ではありません。
クラウドセキュリティの次のステップ
このストーリーには論理的な次のステップがあります。クラウド以前の時代には、EDRが必要でした。これは、初期の防御線を突破して組織のネットワークに侵入した脅威を検出し、対応するためのものです。今日、業界は同じ理由でクラウドにおける検知と対応が必要であることを認識し始めています。
残念ながら、多くの組織はクラウド環境をカバーするために現在のEDRソリューションを拡張することで、仮のクラウドセキュリティ戦略を選択しています。一見するとこれは最も簡単な解決策のように思えるかもしれませんが、現実はそう単純ではありません。EDRソリューションとその親戚である拡張検出と対応(XDR)ソリューションは、クラウドには根本的に適していません。
EDRおよびXDRは、クラウド環境を監視するために必要な可視性を欠いており、攻撃者が潜り込める大きなセキュリティギャップを生み出します。これらのツールは、ハイブリッドおよびマルチクラウド環境で脅威が進行する速度や、クラウド検知と対応に必要な555ベンチマークに対応することもできません。
クラウドの独自性には、目的に特化した検知と対応能力が必要であり、幸いにも、セキュリティ市場はそれを提供するために進化しており、真のクラウド検知と対応(CDR)ソリューションが登場しています。CDRソフトウェアは、コンテナ、Kubernetes、サーバーレスコンピューティング、クラウドログとトレイル、およびLinuxとWindowsの両方のサーバーなど、広範なクラウド技術全体にわたって高度な検出と対応を提供します。
優れたCDRソリューションは、クラウド環境全体で既知および未知の脅威をリアルタイムで検知し、調査を迅速化し、脅威への対応を自動化します。これらは、CDRをXDRと区別するコア能力です。XDRがクラウド環境に関する断片的で分断されたデータを提供するのに対し、適切なCDRソリューションは、イベント、脆弱性、アイデンティティ全体で情報を自動的に相関させ、クラウドが求める速度で脅威を調査するために必要な豊富なコンテキストをアナリストに提供します。そして、CDRソリューションが提供する柔軟な自動対応オプションにより、チームはクラウドやコンテナ内で脅威が行動を起こすよりも早く対応することができます。これらのエンドツーエンドの能力により、CDRはセキュリティチームがクラウド環境の急速なペースに追いつき、クラウドの脅威に正面からリアルタイムで対応できるようにします。
過去から学びましょう。予防のパズルピースが整った今、クラウドにおける検知と対応を活用して、クラウド環境を内側から真に守り、より安全な未来へと進んでいく時です。
もっと詳しく知りたい方は、eBOOK「クラウドセキュリティの進化:予防から検知と対応へ」(英語版)をご覧ください。
日本語ではこちらのクラウドセキュリティ入門:CSPM、CIEM、CWPP、CNAPP に関する基礎知識でもクラウドセキュリティについて紹介しています。