クラウド侵入検知とは?

ほぼすべてのサイバーセキュリティ計画において、侵入検知は重要な要素です。結局のところ、侵入されたことを知らなければ、それを阻止することはできません。しかし、テクノロジーの世界においてクラウドの採用が拡がり続けるにつれて、侵入検知の複雑さは増しています。現在では、単に自社の施設にある資産を保護するだけでなく、ほとんど管理できない施設内の資産も保護する必要があるため、より微妙な計画と様々な構成要素の連携が必要になっています。

クラウド侵入検知の仕組み

基本的には、クラウド侵入検知はオンプレミスの侵入検知とほとんど同じように機能します。適切に構築された侵入検知システムは、異常な振る舞いを検知し、疑わしいアクティビティが検知されると管理者に警告を発します。侵入検知システムは、インフラストラクチャを意識すればするほど効果的です。

例えば、ユーザが認証する際の相対的な物理的位置と時間を認識することは、侵入検知システムが考慮に入れることができる有用なパラメータかもしれません。システムユーザーのログイン・パターンを特定し、理解することで、異常値にフラグを立てることができます。つまり、あるユーザが通常とは異なる時間帯に、または通常とは異なる IP アドレスから認証を行った場合、よく定義された侵入検知システムはそれらのインスタンスを記録し、潜在的な侵害について管理者に警告することができます。

クラウドで侵入検知を使用するメリット

クラウド侵入検知システムの最も明白な利点は、潜在的な悪意のある活動を特定し、タイムリーに封じ込めることで、組織のクラウドセキュリティ態勢(Security Posture)を改善できることです。クラウド侵入検知がクラウドネイティブな組織の全体的なセキュリティ向上に役立つことは明らかですが、その他にも重要な利点があります。システムアクティビティの可視性の向上から、レスポンスタイムの短縮、さらに焦点を絞ったアラートまで、侵入検知はリソースを必要なところに確実に投資するための優れた方法です。

可視性の向上

「侵入検知」のキーワードは 「検知 」です。クラウド侵入検知システムの価値は、不審なアクティビティを管理者に迅速にアラートできることですが、こうしたアラートは最終的に、基盤となるシステム全体に関するオブザーバビリティ・データによってもたらされます。ネットワーク・トラフィックのモニタリングから、システムおよびユーザーのアクティビティ、さらにはアクセス・ログや行動分析に至るまで、このデータは、組織が依存するクラウドベースのインフラストラクチャ内で何が起きているのかについて、より完全な全体像を提供します。このようなすべてのシステム・アクティビティに対する可視性が向上することで、組織は悪意のある行動を迅速かつ効率的に特定し、対処するためのより優れた能力を備えることができます。

レスポンスタイムの短縮

煙探知機を使えば、煙が鼻に届くのを待つだけでなく、火災の可能性がある場合にはより迅速に対応することができるように、クラウド侵入検知システムを使えば、エンドユーザーやその他の利害関係者に気付かれるずっと前に、潜在的な侵害や悪意のある活動に対してより迅速に対応することができます。侵入検知システムは、リアルタイムのアラートを提供することで、すでに被害が発生した後ではなく、問題が発生した時点で対処する能力を提供します。さらに、多くのクラウド侵入検知システムは、不審なアクティビティが検知された場合、アラートを発して人の介入を待つのではなく、自動的にアクションを起こすように設定することもでき、これにより対応時間をさらに短縮することができます。

焦点を絞ったアラート

クラウド侵入検知システムの最も価値ある側面の1つは、アラートに焦点が当てられていることです。侵入の可能性が高いものを特定することで、管理者は不特定多数のアラートによる通知疲れに悩まされることなく、重要かつタイムリーなインシデントに対してアラートを発することができます。機械学習のような技術を活用してシステム・アクティビティを分析し、パターンを特定することで、多くの侵入検知システムは誤検知を発生させることなく、悪意のあるアクティビティを特定し、管理者に警告することができます。これにより、管理者は最も重要なアラートに注意を集中し、重要なアラートに迅速に対応することができます。

クラウド侵入検知の特徴

この記事ではこれまで、比較的一般的なクラウド侵入検知システムに焦点を当ててきましたが、実際にはこれらのシステムが使用する侵入検知の方法はいくつかあり、それぞれに利点と欠点があります。シグネチャ型の検知やアノマリー型の検知など、それぞれに長所と短所があります。

シグネチャ型の検知

シグネチャベースの検知は、脅威を特定するために悪意のある活動の既知のシグネチャを使用する侵入検知システムの一種です。市販のアンチウイルス製品に見られるものと同様に、このタイプの検知では、悪意のあるドメイン、バイトシーケンス、通信ヘッダなど、脅威を示す事前にプログラムされた動作を特に探します。シグネチャベースの検出は既存の脅威に限定されるため、ゼロデイ攻撃やその他のユニークな攻撃方法を特定するソリューションとしては不十分です。

アノマリー型の検知

アノマリー型の検知は、不審なアクティビティを特定するために機械学習を使用する侵入検知システムの一種です。これらのシステムは、既知の脅威を探すのではなく、システム・アクティビティのベースライン・シグネチャを確立・維持し、アクティビティがその標準から逸脱した場合に管理者に通知します。アノマリ型の検知は、ベースラインが適切に理解されるまでは誤検知率が高くなる可能性がありますが、組織の脅威モデルがシグネチャ型の検知では対応しきれないゼロデイ悪用のタイプを懸念している場合には、はるかに効果的な検知方法です。

クラウドにおける侵入検知の難しさと限界

クラウド侵入検知システムの有効性を制限する最大の要因の1つは、アクセスできるデータの量と質です。ご想像の通り、システムに利用可能なデータが多ければ多いほど、システムはより多くの情報を得ることができ、悪意のある活動を適切に検知し、抑制できる可能性が高くなります。

しかし、データ・アクセスは潜在的な問題の1つに過ぎません。ハイブリッドクラウドやマルチクラウドのデプロイメントでは、侵入検知システムでセキュリティを確保することが特に難しく、シングルクラウドのデプロイメントであっても、ベンダーロックインのリスクがあるため、それ以上の拡張が難しくなる可能性があります。

ベンダーロックイン

クラウド・プロバイダー自身よりも優れた侵入検知プロバイダーは存在しないことが多いものの、ベンダー・ロックインのリスクはインフラの移植性を困難にします。クラウド・ベンダーはいずれも、基盤となるシステムとうまく統合する独自のセキュリティ・ポリシーとツールを備えています。しかし、そのため、複数のクラウド・プロバイダーにまたがって機能する侵入検知システムを構成することや、あるクラウド・プロバイダーから別のクラウド・プロバイダーへ移行することさえ難しくなります。プロバイダーにとらわれないソリューションは、移植性が高いかもしれませんが、効果も低いかもしれません。

マルチクラウドの侵入検知

ハイブリッド環境やマルチクラウド環境では、データの統一性やアクセスレベルが不足する可能性があるため、侵入検知システムにとって特有の難しさがあります。データが複数のクラウド・プロバイダにまたがっている場合、システムが悪意のあるアクティビティを特定するために必要なすべてのデータにアクセスしたり、複数のシステム間のアクセス・パターンを相関させたりすることさえ難しくなります。さらに、クラウド・プロバイダーによってセキュリティ・ポリシーが異なる場合があり、複数のプロバイダー間で一貫したセキュリティ戦略を導入することは特に難しくなります。最後に、アクセスの問題は、クラウドベースとオンプレミスの両方の侵入検知を統合することを困難にするかもしれません。

クラウドにおける侵入検知のベストプラクティス

難しい課題もありますが、クラウドで侵入検知を利用するメリットはリスクをはるかに上回ります。クラウドに侵入検知システムを導入する際、成功するためのベストプラクティスがいくつかあります。まず（そして最も明白なことですが）、組織はシステムが適切に設定され、定期的に監視・保守されていることを確認する必要があります。ホーム・セキュリティ・システムを導入しても、一度も電源を入れないのでは意味がありません。

さらに、組織は、利用可能なあらゆる検出方法を使用して悪意のある活動を検出するために必要なすべてのデータにシステムがアクセスできることを確認する必要があります。行動検知の場合、脆弱性シグネチャを常に最新の状態に保つことは、車のオイル交換と同じくらい重要です。異常検知の場合、誤検知を防ぎ、アラート疲れや開発者の疲労からチームを守るために、ベースラインを適切に調整するために必要な時間と注意を払うことが重要です。

次のステップへ

クラウド侵入検知はクラウドセキュリティ・パズルの重要な一部ですが、考慮すべき要素はそれだけではないことを忘れてはなりません。ツールは、それを使用する人がいてこそ威力を発揮します。したがって、組織のメンバーが侵入検知システムの運用と保守のトレーニングを受けるだけでなく、継続的な専門能力開発活動に従事することで、スキルを磨き、インシデントが発生した場合に対応できるようにすることが不可欠です。