ブログ(トレンド&インサイト)

安全なクラウドは「見ること」から

クラウドサービスは通常、ほぼ無制限のログデータを提供しますが、この機能を完全利用可能な状態にしている組織は多くはありません。あるいは、ログを正しく収集し、保護することができないままでいます。

サービスに対する注意深い監視や、デプロイメントの本当の性質を理解なしでは、以下を行うことは困難です:

  • 環境がどのように動作するかを理解する
  • 想定通りに動いていないものを発見する、あるいは最悪の場合、サービスインスタンスが侵害されているということを判断する
  • 発生しうるリスクを緩和するセキュリティを確立するために、サービスを十分に理解する

問題が発生した場合に、どのように調査、理解、対応するかをあらかじめ計画し、データとログを収集し、保存しておく必要があります。

クラウドサービスの持つ本質と性質は、クラウドサービスごとに大きく異なることが多いため、問題の特定と対処に関する計画を、定期的に演習することが非常に重要です。そうすることで、遅延の最小化と、サービスが予期せず変化した場合にも、迅速な対応のために必要なすべてのデータを保ち続けることができます。

攻撃者は、システム上での攻撃痕跡を消去したり隠したりすることに尽力する傾向があることから、ログの保存は非常に重要な意味を持つのです。高度な認証、機密性の保証や改ざん防止機能など、クラウドのロギングサービスにはさまざまなセキュリティ機能が備わっていますが、攻撃に対してログはまだまだ脆弱です。

データを暗号化している暗号鍵を破るという方法も考えられますが、これにはかなりの労力が必要であり、成功の可能性は非常に低いことが証明されているため、実際起こる可能性は低いでしょう。それよりも、攻撃者が管理アカウントを侵害し、データを保護するために使用されているAPTを操ることのほうが可能性として高いでしょう。

フィッシングは、システムに侵入するための最も簡単かつ効果的な方法の1つであり、それはクラウドに関しても言えることです。機密情報に日々アクセスするユーザーはいくらでもいます。攻撃者はほんの少しの技術的工夫を施すだけで、フィッシング目的を達成するに足るメッセージ作り上げることができてしまいます。

また、クラウド開発環境やテスト環境もよく狙われる対象となっています。APIキーは、定期的にエンコードされるか、保護されないまま残されています。また、本番環境と同じレベルの精査でこれらの環境を保護したり、監視したりすることはほとんどありません。これにより、これらの環境は高価値で、攻撃者の保護対象としては不十分です。

クラウド移行が促進する中、オンプレミス環境で培われたのと同等の対策がクラウドで実施されているケースは多くありません。これは、承認や納品を待ったりする必要がなくクラウドに環境を展開することができるためであり、特にプロバイダとマスター契約を結び、すべてを自動的に生成できるようにする場合、顕著になります。

オンプロミス環境ではハードウェアの調達や保守が求められる一方で、コストは各プロジェクトに直接紐付けられるようになったことで、必要ではないものを除去する必要性が一気に高まりました。ほとんどのクラウドデプロイメントには、テスト環境や開発環境がいくつも用意されていますが、これはあくまでも将来予期しない必要性が発生した時に不便がないよう、備えているに過ぎません。

実際のデプロイメントをトラックする作業は非常に面倒なものであり、時間を消費しますが、インシデントの際には時間を節約するのに役立つものです。まず、インスタンスの所有者と使用対象を識別するインスタンスにタグ付けする必要があります。タグ付けは、重要なリソースや依存関係を明示することで、セキュリティチームがセキュリティイベントに迅速に対応するために必要なコンテキストを追加し、トリアージや優先順位付けを支援します。タグは、アセットにとっての「病院で手首に巻かれる識別テープ」のようなものだと考えて下さい。あなたが話すことができない状態の時、唯一代わりに話せるのはその識別テープなのです。

まとめ

クラウド上の実環境、テスト環境、開発環境の全てに対し、クラウドプロバイダから最大限の可視性が提供されるよう、注意を払って下さい。非常に多くの組織が、それを認識せずに、膨大な盲点の中、クラウド展開を運用しています。環境を通じた可視化は非常に重要であり、可視化なしにリスクの特定や対策を行うことなど不可能なのです。