ビジネス+IT Webセミナー「DX・ハイブリッドワーク時代のSASE・クラウドセキュリティ2023 秋」で登壇した内容です。
こんにちは、クラウドセキュリティアーキテクトの大島悠司です。
クラウドフォレンジックは、従来のオンプレミスに対するフォレンジックとアプローチが異なります。
オンプレミスからクラウドの移行が加速している現在、クラウド環境におけるフォレンジックのためにどのような備えが必要なのかをご紹介します。
はじめに
多様なビジネスに対応するために、多くの企業でクラウド活用が進んでいる一方で、クラウド利用におけるセキュリティインシデントは増加傾向にあります。
そんな中、クラウドを守るための様々な技術の登場や、求められる人材の見直しが行われています。
クラウド時代を生き抜くためには様々なクラウドセキュリティ技術や、求められる人材および育成について理解しておく必要があります。
クラウドに対する脅威と利用者の責任
クラウドを利用する企業は年々増加しています。
総務省の調査によると、昨今では70%以上の企業が社内でクラウドを利用していることが分かります。
クラウドセキュリティのベストプラクティスを広め推奨する活動を行っているクラウドセキュリティアライアンス(CSA)は、クラウドセキュリティの脅威動向をまとめた資料を公開しています。
直近では、2019年に「11の悪質な脅威」、2022に「パンデミック11」を公開しています。
両者を比較してみると、クラウド設定ミスや戦略欠如といったユーザ起因は継続しており、機密情報の不十分な管理などの具体的な脅威が増加していることが分かります。
クラウドを利利用すると便利ですが、ユーザの責任がゼロになるわけではなく、セキュリティ構成はユーザ責任で実施しなければなりません。
責任共有モデルやユーザの責任については以下のブログでも言及していますので、併せてご参照ください。
クラウド基盤を守る技術
ユーザの責任でセキュリティ対策をすると言っても、何から手を付けたらよいか分からないこともあります。
そういう時はセキュリティフレームワークを活用してみると良いでしょう。
セキュリティフレームワークを活用することで、セキュリティ対策の抜け漏れを防ぎ、効率良く運用管理体制を構築することが可能です。
また、第三者認証の取得にもつながり、信頼獲得に貢献することもできます。
代表的なセキュリティフレームワークを以下に示します。
- NIST CSF : 米国国立標準技術研究所(NIST)発行の重要インフラ向けフレームワーク
- CIS Controls : Center for Internet Security発行のセキュリティ対策ガイドライン
- ISMS : JIS Q 27001(ISO/IEC 27001)に基づいた情報セキュリティ管理対策
- PCI DSS : Payment Card Industry Security Standards Council発行のカード業界向け対策基準
クラウドセキュリティ技術には、セキュリティフレームワークをベースに監査するものもありますので、自組織の要件に合わせて活用すると良いでしょう。
具体的なセキュリティ対策を紹介していきます。
FW (Firewall) / WAF (Web Application Firewall)
ネットワークセキュリティ対策としては、FW (Firewall) / WAF (Web Application Firewall)があります。
FW (Firewall)は内部ネットワークと外部ネットワーク間の通信を検査します。
一方、WAF (Web Application Firewall)はクライアントとWeb サーバーとの間のHTTPトラフィックを検査します。
そのため、WAFではSQLインジェクションやXSSなどの攻撃通信を防御することが可能です。
脆弱性管理
脆弱性管理とは、ソフトウェアの脆弱性を継続的にスキャンしてリスクを可視化することであり、最近ではパッチの自動適応や構成管理情報の出力といった機能を有するものもあります。
CSPM(Cloud Security Posture Management)
CSPM(Cloud Security Posture Management)はクラウドセキュリティ態勢管理ともいわれており、フレームワークやガイドラインをベースにクラウドサービスの設定を継続的に評価します。
CWPP(Cloud Workload Protection Platform)
クラウドワークロード保護については、CWPP(Cloud Workload Protection Platform)があり、クラウド上のVMやコンテナ、サーバレスといったワークロードの監視と保護を行います。
CI/CDと連携することでコンテナイメージをスキャンでき、開発段階から品質を向上できるメリットもあります。
CNAPP(Cloud Native Application Protection Platform)
昨今話題なのはCNAPP(Cloud Native Application Protection Platform)であり、監査・管理の側面が強いCSPMと脅威防御の側面が強いCWPPを統合した概念になります。
開発から運用までライフサイクル全体で包括的なセキュリティ対策が可能であり、CI/CDツールと連携してDevSecOpsを効率的に実践可能というメリットもあります。
自組織の状況に応じて、これらのセキュリティ技術を適用していくと良いでしょう。
クラウド人材の育成
一般的にクラウド人材の育成は難しいと言われています。
その理由は、クラウドの幅広さと変化の速さにあります。
例えば、AWSでは毎年多くの新機能がリリースされ、昨今では年間数千という規模にまで増加しています。
クラウド人材に必要なスキルは様々ですが、以下3つが大事だと考えます。
ITに関する他分野の知識やクラウドの基礎知識
- オンプレからクラウドになってもITインフラ全般の知識は必要
- ハードウェア / ソフトウェア / OS / ミドルウェア / ネットワーク / セキュリティ など
クラウドの特性を生かした設計力
- クラウドのデザインパターンやベストプラクティスの理解
- 信頼性、パフォーマンス効率、運用の優位性、セキュリティ、コスト最適化 など
クラウド技術への探求心
- 幅広さや変化の速さに追従する力
- 変化を楽しむこと
これらを培っていくにはどうすれば良いでしょうか。
例えば、個別学習であれば資格取得はお勧めです。
資格取得により、クラウドサービスを体系的に学習することができ、デザインパターンやベストプラクティスも併せて学習できます。
また、資格取得数はパートナーシップの要件にもなっている場合があり、その貢献にも活用することができます。
毎年、稼げるIT資格ランキングが出ていますが、その大半がクラウド資格なので、将来的にも取得しておくと人生が一層豊かになるかもしれません。
クラウドコミュニティやカンファレンスに参加することもお勧めです。
勉強会や交流会を通じて、様々な知見や価値観を得ることができます。
また、カンファレンスはぜひグローバルのものに参加すると良いでしょう。
グローバルカンファレンスでは現地の熱量を感じることができ、世界中の人と交流することができます。
先日、アナハイムで開催されたAWS re:Inforceの様子を以下のブログで紹介しているので、併せてご覧いただければと思います。
まとめ
クラウドセキュリティの脅威動向として、ユーザ起因の脅威が継続しています。
そのため、ユーザとクラウド提供事業者の責任範囲や各サービス、アーキテクチャを理解したうえで、ユーザ自身がセキュリティ対策に責任を持つことが大事です。
セキュリティフレームワークを活用すると効率よくセキュリティ対策できます。
クラウドセキュリティの技術的の中にはセキュリティフレームワークに基づいたものもあるため、各技術のアプローチを理解し、自組織に必要なものを選択しましょう。
また、クラウド人材の育成にも気を配る必要があります。
個別の学習では資格を活用することで、効率的にクラウドを学べます。
さらに、コミュニティやカンファレンスに参加することで、視野を広げることができるため積極的に参加しましょう。
本ブログが、皆様のクラウド時代を生き抜くための助けになれば幸いです。
