クラウドの可視化とセキュリティ

クラウド環境は複雑です。クラウド内の状況を把握するのは難しい課題となりがちであり、クラウドベンダーが提供する監視ツールや可視化ツールは部分的な解決策にしかなりません。

クラウドの真の可視化を行うには、適切なクラウドガバナンスポリシーとそれを実現するツールが必要です。クラウドガバナンスは、クラウドの設定やクラウドで運用するワークロードのタイプを定義する一連のポリシーで構成されます。クラウドガバナンスのルールを確立し、その適用を自動化すれば、プロバイダーが提供するツールだけでは全体を監視できないマルチクラウド環境であっても、クラウドインフラのセキュリティを最大限に高めることができます。

この記事では、クラウドの可視化とセキュリティを実現する上でクラウドガバナンスが果たす役割と、クラウドガバナンスを提供するために利用できる各種のツールについて説明します。

クラウド監視の基礎としてのクラウドガバナンス

厳密には、クラウドの可視化にクラウドガバナンスは必ずしも必要ではありません。クラウドガバナンスポリシーを定めなくても、クラウド内の状況を監視することはできます。

ただし、監視データをどう解釈するかを定義したクラウドガバナンスポリシーがないと、監視の価値はほとんどなくなってしまいます。ガバナンスルールを策定して、組織でどのようなクラウド構成を許可または禁止するかを定義しておかないと、たとえばストレージバケットへの匿名アクセスを許可する IAM ポリシーにどう対応すべきか、あるいはセキュリティ要件を満たすためにどのようなネットワーク設定を適用すべきかなどを判断できません。

つまり、クラウドガバナンスは、効果的なクラウド監視と可視化戦略を築くための基礎と言えます。

クラウドインフラのセキュリティ対策

クラウドガバナンスは、クラウドのセキュリティを確保するための構成を定義するだけで、それらの構成が実際に適用されているかどうかは保証されません。そのため、クラウドガバナンス要件を適用するときは、クラウドインフラセキュリティツールが必要になります。クラウドインフラセキュリティツールでは、クラウド環境が自動的に評価され、ガバナンスポリシー違反などのセキュリティリスクが検出されます。

クラウドインフラセキュリティツールは主に 3 つのタイプに分けられます。

Infrastructure as Code のセキュリティ

1 つ目は、Infrastructure as Code（IaC）の構成を自動的にスキャンしてポリシー違反やセキュリティリスクを検出するツールです。

IaC 構成の実体は、クラウド環境（またはその他のタイプのリソース）の適切な構成を定義するファイルです。IaC を使用すれば、クラウドで実行する仮想マシンをプロビジョニングしたり、オブジェクトストレージバケットを管理したりできます。一連の IaC ルールを作成し、クラウド環境全体に自動的に展開するだけなので、クラウドワークロードを手動で構成する場合と比べて多くの時間を節約すると同時に、作業ミスに起因するリスクを回避できます。

ただし、IaC ファイルにも大きなセキュリティリスクがあります。IaC テンプレートで定義した構成にセキュリティ上の問題があり、展開前にそれに気づかなかった場合、問題のある構成がクラウド全体に自動的に適用されてしまいます。そのため、IaC ファイルのスキャンは、クラウドガバナンスルールを適用しクラウドインフラを保護する上で非常に重要です。IaC ルールの作成または変更時に常に IaC テンプレートを解析して、セキュリティ上の問題がある構成（不適切なユーザーへのアクセス権の割り当て、機密データへの匿名アクセスの許可など）を自動的に検出することで、クラウドガバナンス違反につながる多くのミスを防止できます。

クラウドの不適切な構成

IaC の展開前のスキャンはガバナンス違反の防止に役立ちますが、不適切な構成がスキャンで検出されず、実際のクラウド環境に適用されてしまう可能性もあります。また、一部のクラウドワークロードを IaC テンプレートを介さず手動で構成する必要があり、人的ミスによって不適切な構成が適用されることもあるかもしれません。

CSPM（Cloud Security Posture Management）ツールは、このようなリスクを防止するために役立ちます。CSPM ツールでは、IAM ポリシー、ネットワークセキュリティグループとアクセス制御リスト、データ暗号化設定などに基づいて実際のクラウド構成を自動的かつ継続的にスキャンし、ガバナンスポリシーに違反する構成やクラウド環境に既知の脆弱性をもたらす構成が検出された場合はアラートを生成できます。これにより、構成を更新したり、IaC テンプレートに不適切な構成が定義されていた場合はテンプレートを修正したりできます。

CSPM ツールでは、自動的に設定を更新して不適切な構成を修復できる場合もあります。自動修復であれば、エンジニアの対応を待たずに、迅速にクラウドガバナンス違反を修正できます。

クラウドの可視化

クラウドインフラのセキュリティリスクに対する最後の重要な防御策は、クラウド可視化ツールです。このツールを使用すれば、不適切な構成に起因するアクティビティを検出できます。たとえば、発生している問題をリアルタイムで検知したり、セキュリティの問題を引き起こす不適切な構成を示すネットワークトラフィックやアプリケーションの動作パターンを特定したりできます。

クラウド可視化には幅広いカテゴリのツールを利用できますが、基本的な機能は、さまざまなタイプのデータソース（クラウド監査ログ、ネットワークログ、インフラのパフォーマンスメトリクスなど）からデータを収集して分析し、ガバナンス違反を示す動作を検出することです。たとえば、クラウドガバナンスポリシーに従えば切り離すべき 2 つの仮想プライベートネットワーク（VPC）間にネットワークトラフィックが発生したことを検出して通知できます。また、クラウドガバナンスルールでクラウドワークロード作成の権限が与えられていないアカウントがワークロードを作成したことも検出できます。

第 1 の目標は常に、ガバナンス違反や不適切な構成を未然に防止することですが、ミスは避けられません。クラウド可視化ツールを使用すれば、こうしたミスによるリスクを発生時に検出し、効果的に対応できます。

マルチクラウドでのガバナンス適用の注意点

クラウドガバナンスポリシーの利点の 1 つは、単一のクラウドだけでなく複数のクラウドに適用できることです。利用するサービスやそこで運用するサービスに関係なく、幅広いルールをガバナンスポリシーとして定義することにより、クラウドベースのすべてのアセットのリスクを管理できます。多くの組織が複数のクラウドを利用する今日、これは大きなメリットです。

ただし、複数のクラウド（またはハイブリッドクラウド環境）全体にクラウドガバナンスを適用することは、単一のクラウドを対象とする場合よりも困難が伴います。その大きな理由は、クラウドベンダーが提供する IaC、監視、監査サービスでは各ベンダーのクラウドしか対象にならないためです。たとえば、AWS のツールを使用して Azure や GCP を可視化したりガバナンスを適用したりすることはできません。

マルチクラウドアーキテクチャでガバナンスを適用するには、通常、クラウド構成のタイプに関係なくリスクを特定できるサードパーティのガバナンス管理ソリューションや可視化ソリューションが必要になります。データの収集にクラウドベンダーの監視サービスを使用することはできますが、その後のデータの統合と分析には、環境全体を一元的に可視化する外部ソリューションを使用する必要があります。

クラウドガバナンスを強化する

クラウドガバナンスは、ルールを作れば終わりではありません。すべてのクラウド、そしてクラウドライフサイクルのすべての段階にクラウドガバナンスルールを適用するための戦略を策定し、必要なツールを導入しなければなりません。そのためには、効果的なクラウド可視化戦略を策定し、クラウドインフラのセキュリティを最適化することが欠かせません。