今日、クラウドアプリケーション利用に際しSaaS(Software as a Service)を選択する企業組織は少なくありません。ERPやCRM、HR、給与管理、社員間コミュニケーション、出張や経費精算などのビジネス機能をクラウド上のアプリケーションとして利用するケースもあるでしょう。
攻撃者たちにとってこういったアプリケーションは格好の攻撃ターゲットとなります。社員の個人情報や取引先に関する情報、会計や取引に関係する情報を得ることができるからです。
SaaSにおける責任共有モデル(Shared Responsibility Model)を正しく理解し、SaaSアプリケーションに影響を及ぼしかねないセキュリティ・インシデントへの対応に備える、効果的な戦略立案が求められます。
SaaSアプリケーションの責任共有モデルを理解する
図1: クラウドにおける責任共有モデル
SaaSモデルでは、クラウドサービス・プロバイダーがインフラ一般に対する責務を追う一方で、クラウドユーザー自身がデータ、エンドポイント、アカウント、アクセス、認証に対するセキュリティ的責務を負う必要があります。
インシデント対応の観点からすると、SaaSアプリケーションはセキュリティ侵害を検知、監視、対応することを前提に開発されているべきであるということになります。また、クラウドサービス・プロバイダーが彼らの責任範囲において発生するセキュリティ侵害に対する対応能力をも評価する必要があります。
企業組織の責任範疇におけるSaaSアプリケーションをターゲットとしたセキュリティ侵害を管理する
データやアカウントなどに影響を及ぼす不審な活動を検知するためには、SaaSアプリケーションが提供する監査ログやアクセスログを活用し、認可されていないアクセス、データ漏洩やデータ改ざんなどの不正な活動を可視化することができます。SaaSアプリケーションと他のソリューションを連携するためのAPIが提供されることもありますが、APIは攻撃者が不正な活動をする際に悪用することもあるため、ログ管理にはAPIも考慮する必要があります。
モニタリングに関しては、SaaSアプリケーション・ログがSIEMやCASBと統合可能かを確認してください。データやアカウント、アクセスなどに対するセキュリティ侵害(情報漏えいや流出、アカウント侵害、不適切な利用など)に対するユースケースやアラートを作成することで、モニタリングを各プラットフォームに実装することができます。さらに、クラウドサービス・プロバイダーには組み込みのセキュリティモニタリングやアラート機能を提供するところもあります。例えばSalesforceの「Transaction Security Policy」、ServiceNowの「Instance Security Center」、Dropboxの「Activity Reports」などがあります。
インシデント対応に関しては、ユーザー企業の責任範囲にあるアプリケーション・アーキテクチャ構成要素に影響を及ぼす侵害を検証、緩和する手段を講ずることで、一貫性があり、かつ効果的なインシデント対応を実現できます。以下の手順を踏むことで、インシデント対応活動を手際良くすすめることができます。
- アクセスの無効化
- IPアドレスの範囲やユーザーデバイスのタイプに基づいたアクセス制限
- パスワードのリセット
- 保存データ(Data-in-rest)の暗号化
- データのバックアップとリカバリ方法の策定
クラウドベースの認証やSSOなど、利用しているアイデンティティ管理(Identity and Access Management/IAM)に基づき、SaaSアプリケーションやIAMソリューション内で自律的に実行される手順もあります。さもなければ、クラウドサービス・プロバイダーの協力が必要になります。この場合、各手順を文書化して契約に盛り込み、オンボーディング作業中のレビューが発生します。
クラウドサービス・プロバイダーの責任範囲において発生したセキュリティ・インシデントの管理
クラウドサービス・プロバイダーの責任下にある構成要素に関しては、プロバイダー側アプリケーション、ネットワーク、OS、ハードウェア、データセンタなどに影響を及ぼすセキュリティ・インシデントに対する対応能力を評価しておきます。
通常、クラウドサービス・プロバイダーのインシデント対応能力の評価は契約書の関連項目のレビューとして行われ、裏付けとなる文書(情報セキュリティポリシー、標準、手続きなど)や、レポート(SOC 2、CAIQなど)、認証(ISO2700x)などが必要になる場合もあります。
不正活動の検知に関しては、クラウドサービス・プロバイダーがログやモニタリング標準を策定し、実装していることを確認する必要があります。標準化の観点からは、プロバイダーの責任下にあるサーバー、データベース、ネットワーク機器のログを取得していなければなりません。さらには、SIEMやIDSなどの技術スタックやプロセスによるログのモニタリングが明記されていなければなりません。
そして、プロバイダーの責任能力をみるために、ユーザー組織は、サイバーセキュリティ・インシデント管理プロセスが策定され、テストされているかを確認します。インシデントの詳細情報やレポートを利用者に伝えるための手段が明確に定義されていることで、SaaSアプリケーションに影響を与えるインシデントが発生した際の影響に対する可視化も行えるようになります。
FireEyeのクラウドセキュリティ
- FireEyeのクラウドセキュリティは、クラウド上で発生した脅威に対する包括的なモニタリングと検知を提供します
- クラウド・アーキテクチャとセキュリティ・アセスメントにより、既存のクラウドセキュリティを評価し、強化することができます。Microsoft Office 365、Microsoft Azure、Amazon Web Services(AWS)、Google Cloud Platform など、ほとんどのクラウドベースのアセットに対応しています。
- Cloudvisory Security Platformはスケーラビリティに優れたプラットフォームで、単一クラウド、ハイブリッドクラウド環境、マルチクラウド環境に対するセキュリティの集中管理を提供します。
本ブログは、米FireEyeが公開した May 06, 2020 「Approach and Challenges for Incident Response in SaaS Cloud Applications」(英語)の日本語抄訳版です。
日本語版:Reviewed by Noriko Yokokawa