企業におけるクラウドサービスの活用がますます拡大するのに伴い、“クラウドのセキュリティ”についても重要性が叫ばれている。しかしながら、その範囲は非常に幅が広いことなどから、結局何をすれば良いのかわからず対策の結論に辿り着かないといったケースも多いのが現状だ。そうしたなか、IaaSのセキュリティソリューションのカテゴリにおいて注目が集まっているのが「NDR:Network Detection & Response」と「CSPM:Cloud Security Posture Management」だ。このうちNDRはさまざまなネットワーク通信を記録・可視化できるツールであり、一方のCSPMはクラウドセキュリティの構成ミス、管理不備などを継続的に分析するツールである。

G-gen クラウドソリューション部 部長 杉村勇馬氏

G-gen クラウドソリューション部 部長
杉村勇馬氏

Google Cloud のプレミアパートナーであるG-genとサーバーワークスは、今後のマルチクラウド時代を見据え、クラウドのセキュリティのあり方についてのウェビナー「Ciscoと語る、今1番おさえておきたいセキュリティソリューションのカテゴリを徹底解説 〜NDRとCSPMとは〜」を2月8日に開催した。ウェビナーでは、AWS やGoogle Cloud などのパブリッククラウドやオンプレミスを横断的に監視可能なシスコ社のNDRツール「Secure Cloud Analytics」と、CSPMツール「Secure Cloud Insights」について、同社 セキュリティ事業 テクニカルソリューションズアーキテクトの二宮瑞樹氏と満江貴之氏が紹介した。それに加え、全AWS認定資格を取得し、Google Cloud 認定資格のProfessional Cloud Architectも所有するG-gen クラウドソリューション部 部長、杉村勇馬氏がツールのデモを行った。

なぜNDRやCSPMが必要なのか?その理由とそれぞれの役割とは

最初に登壇した二宮氏は、パブリッククラウドに対するNDRの必要性について解説した。

パブリッククラウドにおけるセキュリティの課題として、クラウドプロバイダー側とカスタマー側それぞれで異なるセキュリティ上の責任を負わねばならない「責任共有モデル」の存在がある。一方、攻撃者がパブリッククラウド環境を標的とする理由としては、ユーザーが意図しない設定ミスがあることや、環境が不変であるため脆弱性が生じやすい点、部門ごとに個別のクラウド環境がありセキュリティ基準がバラバラなことなどが挙げられる。それでもなおパブリッククラウドの利用量は急速に増加しているため、潜在的なリスクを伴う機密情報が増えるのは必然といえるだろう。

「こうした昨今の様々なセキュリティ脅威やリスクからクラウド環境を守るために、ID管理や暗号化をはじめとした、多層的な検知・防御テクノロジーの検討が必要になっている」と、二宮氏は強調した。

シスコ セキュリティ事業 テクニカルソリューションズアーキテクト 二宮瑞樹氏

シスコ セキュリティ事業
テクニカルソリューションズアーキテクト
二宮瑞樹氏

パブリッククラウドの構成としては、インフラレイヤーと、その中のワークロードレイヤー、さらにその中のアプリケーションレイヤーに大きく分けられるが、このうちインフラレイヤーを保護するのがNDRとCSPMである。このうちNDRは、他のセキュリティソリューションでは検知が難しい境界セキュリティを突破した攻撃をもネットワーク上の振る舞いから検知する役割を担う。エンドポイント内での振る舞いから脅威を検知するEDRとの違いとしては、NDRはエージェントレスのため導入環境を選ばずシステムにかかる負荷がない点、クラウド環境でも利用できる点などがある。

ガートナー社によるNDRの定義には、「NDRツールは他のセキュリティツールが見落としている不審なトラフィックを検出」するとある。また、マーケットにおけるNDRの定義については、シグネチャベースではない技術であることや、実際のトラフィックフローの記録を分析してモデルを構築すること、North-South方向の通信に加えてEast-West方向の通信も監視できること、不審なネットワークトラフィックの検出に対応するための自動または手動での応答機能を有することが挙げられる。

そんなNDRの役割について二宮氏はこう説明する。「従来ながらのセキュリティ対策では、境界を越えてくる攻撃がどうしても発生してしまう。そうした従来のセキュリティツールでは検出しづらい脅威をも補足することがNDRの役割となる。具体的には、偵察行為やC&C通信によるマルウェア拡散、データの持ち出しなどを1つ1つ見極めて検知を行うことができる」

  • NDRの役割

    NDRの役割

実際に、アメリカのIT企業であるSolarWinds社では、正規のアプリケーションの製造段階で不正なコードが仕込まれてしまい、バックドアとして機能してしまうこととなった。「このような攻撃は境界セキュリティを突破している段階からスタートするため、それを検知するために NDR や EDR といった振る舞い検知ソリューションで見つけていくのが重要となる」(二宮氏)

利用者からも高く評価されている圧倒的な誤検知率の少なさ

AWSやGoogle Cloud、Azureなどのパブリッククラウドやオンプレミスを横断的に監視可能なのが、シスコ社のNDRツールである「Secure Cloud Analytics」だ。Secure Cloud Analyticsは、AWSのVPC Flow Logsだけでなく、CloudTrailやCloudWatchなど、利用できる複数のテレメトリ情報を活用する。

その特徴としては、マルチクラウド環境を横串で一元的に監視・分析できること、誤検知の少ない高精度な機械学習エンジンを有すること、パブリッククラウドからオンプレミスネットワークまで一元的に可視化できることなどが挙げられる。このうち機械学習エンジンである「DynamicEntityModeling」は、普段の通信状態を学習してそれを基に異常を検知する。

実際、Secure Cloud Analyticsの既存顧客からのフィードバックでも、その非常に少ない誤検知が高く評価されている。

最後に二宮氏は、「Secure Cloud Analyticsは、マルウェア等に侵害された状況から致命的な状況の発生を防ぐことにフォーカスしており、早期の攻撃検知により早期対応を可能とし、ビジネスインパクトを最小限に抑えることができる」と力説した。

急拡大するクラウドの設定ミスがもたらす情報流出

続いて二宮氏の講演の内容を踏まえて満江氏が、パブリッククラウドにおけるセキュリティリスク管理を行うシスコ社のCSPMツール「Secure Cloud Insights」を紹介した。

シスコ セキュリティ事業 テクニカルソリューションズアーキテクト 満江貴之氏

シスコ セキュリティ事業
テクニカルソリューションズアーキテクト
満江貴之氏

オンプレミス環境とは異なりクラウド環境では、インフラの管理者がいなくなり、開発者・利用者はそれぞれのアカウントを持って利用することになる。このため、統一的なセキュリティポリシー下での管理者が不在という状況が発生してしまうのである。

満江氏は言う。「クラウドサービスは、利用者の観点からは利便性が上がるものの、その一方でセキュリティガバナンスを担う管理者の視点では、ファイアウォールなどインフラアプローチのセキュリティの実装が不可能という課題が生じることになる。加えて、さまざまなクラウドサービスを使用し、かつ利用者も多いと、アカウントが増え複雑になってしまい、利用者のセキュリティ設定やアクセスポリシーのチェックが困難となる。こうした可視性の欠如が、インシデントリスクの増大につながる」

2020年のクラウドセキュリティリポートにおいても、68%もの企業がクラウド設定の不備を最大のセキュリティ脅威として挙げている。クラウドの潜在的セキュリティリスクを示すケースとして代表的なのが、2017年12月にデータ分析会社のAlteryx社で発生したセキュリティインシデントである。このときは、同社が運営するAWS S3のアクセス権限の設定ミスにより、1億2千万世帯ものアメリカの世帯情報が公開されていたことが発覚したのだ。

「このように、クラウドの構成ミスが原因で流出したレコードが前年比で10倍近くにも増大しており、だからこそCSPMでしっかりと管理する必要がある」(満江氏)

マルチクラウド環境を深く可視化する「Secure Cloud Insights」

こうした課題を受けて、クラウドのコントロールプレーンにおける設定不備を発見するツールとなるのがCSPMである。NDRが顕在化した脅威を排除する役割を担うのに対し、CSPMは危険な設定を見つける、起こり得るリスクの把握と回避という役割を担う。

満江氏はこう語る。「まずCSPMで、やってはいけないことを、やっていない状態になっているかチェックして、もしそうなっていなければ把握してきちんと正すことが重要になる。とは言え実際にはどうしても攻撃が発生してしまうので、NDRでいま何が起きているかを知り、顕在化した脅威を排除するという、2つの対策が理想的なアプローチだといえる」

そのCSPMツールであるシスコ社の「Secure Cloud Insights」は、クラウド上で展開しているすべてのアセット情報を可視化し、効率的なリスクマネジメントを実現する。大きな特徴としては、アセット単体で存在しているのではなく関連付けを持ってデータとして保存するアセット同士の関連付けが挙げられる。ここまでは他のCSPMソリューションではほとんどカバーしていないため、他のCSPMソリューションでは難しい領域までも可視化できるのである。

  • Secure Cloud Insights ハイレベルアーキテクチャ SaaS型の提供形態

    Secure Cloud Insights ハイレベルアーキテクチャ SaaS型の提供形態

また、Secure Cloud InsightsはSaaS型の提供形態であるためエージェントやアプリなどは不要であり、ネイティブデータの取り込みやアセットの検出とマッピング、アラートとレスポンスなどを行うことができる。

ここで満江氏は、Secure Cloud InsightsのUIのスクリーンショットを用いて、事前に定義された550ものクエリを利用して複雑な状況が把握できたり、アセット間のリレーションシップを自動的にマッピングできたりといった、その特徴的な機能を紹介。「Secure Cloud Insightsは、すべてのクラウドアセットの情報を収集して可視化することで、資産やコンフィグレーションなど、マルチクラウド環境を深く可視化することが可能だ」と改めて強調して講演を締めくくった。

60日間のフリートライアルも

終盤に登壇した杉村氏は、Secure Cloud AnalyticsとSecure Cloud Insightsそれぞれのデモを披露した。

このうちSecure Cloud Analyticsのデモを行っている際に同氏は次のようにコメントした。「各パブリッククラウドはNDRに類似する機能は有しているものの、あくまで簡易的な機能となっている。また複数のパブリッククラウドを一画面で統合管理するにはSecure Cloud Analyticsのようなサードパーティ製品が必要になる。そしてSecure Cloud Insightsで特徴的なのが、クラウドリソース同士の関係性をグラフィカルに表示できることだ」

最後には視聴者からの質問コーナーが設けられ、無料トライアルについての質問に対して満江氏が、Secure Cloud AnalyticsとSecure Cloud Insightsどちらのサービスも60日間のフリートライアルが利用可能であることを紹介した。

関連情報

・G-gen公式サイト
>>詳しくはこちら

[PR]提供:G-gen