診断結果にみるクラウドセキュリティの今

Share

弊社では現在、Amazon Web Services(以下AWS)、Microsoft Azure(以下Azure)、Google Cloud Platform(以下GCP)の主要三クラウドを対象とした「クラウドセキュリティ設定診断サービス」をご提供しています。本記事では、弊社の視点で、診断を行う中でみえてきた、クラウドセキュリティの今をお伝えします。

クラウドをめぐるトレンド

昨今、クラウド関連では新しいキーワードが続々と登場しています。例えば、皆様も以下のような言葉を耳にしたことがあるのではないでしょうか。

  • ゼロトラストアーキテクチャ
  • SDP(Software Defined Perimeter)
  • IDaaS(Identity as a Service)
  • コンテナ・マイクロサービス

「ゼロトラストアーキテクチャ」「SDP」は、クラウドを含む企業インフラの在り方を変える仕組み、「IDaaS」は多くのIT関係者の頭痛の種である認証機構をクラウドで実現する新しいサービス、「コンテナ・マイクロサービス」は、開発や運用を効率化するクラウド技術であり、いずれも、しばしば「革新的」「画期的」といった形容詞と共に語られます。しかし、「革新的」「画期的」なものを取り入れさえすれば、クラウドのセキュリティは担保されるのでしょうか。

診断結果からみえてくるもの

弊社ではAWS、Azure、GCPというIaaSを対象としたクラウドセキュリティ設定診断サービスをご提供しています。診断で検出されることが多い問題は、表 1のとおりです。

表1 弊社のクラウドセキュリティ設定診断で多く検出される問題

ID/アクセス管理(IAM)に関する問題
  • 利用されていない認証情報が存在する
  • 長期間ローテーションされていないキーが存在する
  • MFA(多要素認証)が有効化されていない
  • パスワードポリシーが基準を満たしていない
  • セキュリティキーの適用が有効になっていない管理者アカウントが存在する
  • ロギングに関する問題
  • 必要なログが記録される設定になっていない
  • ログが適切に暗号化されていない
  • モニタリングに関する問題
  • ログメトリックフィルタとアラート/アラームが存在しない
  • ネットワーク通信に関する問題
  • SSHやリモートデスクトップサービス(RDS)へのアクセスが制限されていない
  • その他
  • 推奨される暗号化が施されていない
  • OS Loginがプロジェクトで有効になっていない
  • 均一なバケットレベルでのアクセスが有効になっていない
  • 特に目立つのは、ID/アクセス管理(以下IAM)の設定周りの不備です。IAMはクラウドのセキュリティにおける最重要事項であり、この領域でさまざまな問題が検出されているという結果は、危機感を抱くべき状況といえます。

    例えば、「パスワードポリシーが基準を満たしていない」、「長期間ローテーションされていないキーが存在する」、「MFAが有効化されていない」(仮想MFAのみ有効である場合も含む)といった問題は、従来のオンプレミス環境での運用水準を前提とした設定・運用を、クラウド環境に対してもそのまま適用していることが原因ではないかと推測されます。また、「利用されていない認証情報が存在する」のは、異動した社員や退職者の認証情報が削除されずに放置されているためと推測されますが、もし、「ひょっとしたら」「うちの会社も」と感じられるようでしたら、早急に確認することをおすすめします。

    ロギングやモニタリングに関する問題も目を引きます。まず、本番環境において適切なロギングやモニタリングが行われていない場合、対象の環境に何らかの問題が起きた時になすすべもない状況に陥る可能性があります。また、開発環境やステージング環境については、ロギングやモニタリングが無効になっている場合、そのことが問題発生時の原因究明を阻害する要因になりえます。開発環境やステージング環境で意図的にロギングやモニタリングを無効にしている場合は、そのようなリスクがあることを認識し、適宜対応の見直しを検討する必要があります。もちろん、その前提として、本番環境とステージング・開発環境が厳密に分けられていて、アクセスや認可がしっかり設定されていることが必要です。

    さらに、ネットワーク通信に関しては、「SSHやリモートデスクトップサービス(RDS)へのアクセスが制限されていない」という問題が検出されています。これについては、Shodanなどで各ポートを開放しているサーバを検索するとクラウドサービスのFQDNを表示するサーバ多数がクエリを返してくる、という状況があり、そのことをご存知の方であれば、「ああやはり」という感想をお持ちになるのではないでしょうか。クラウドでもオンプレミス環境同様、SSHやRDSへのアクセスを制限しないことは攻撃者に初動の足掛かりを与えることにつながります。制限を掛けることが必須であるはずなのに、案外そうなっていないケースがみられる、というのが、診断結果における現状です。

    いずれの問題についても、「うっかり」も含め、クラウド環境での基本的なセキュリティ設定への対応が十分に行われていないことを示す結果になっているといえます。

    実際のインシデント・事件ではどうだったか

    では、実際のインシデントではどのような対応不備が確認されているのか、クラウドコンピューティングのセキュリティに取り組む国際的非営利団体「クラウドセキュリティアライアンス」(以下CSA)が本年9月に公開したケーススタディ分析「Top Threats to Cloud Computing: Egregious Eleven Deep Dive」から見てみましょう。

    同資料では、近年発生したクラウド上での大規模セキュリティインシデントの中から9件を取り上げ、CCM(Cloud Control Matrix)というフレームワークを用いて分析しています。なお、CCMは、クラウドサービスに必要な管理策・統制とその実装方法の提示を行うフレームワークとして、情報セキュリティとITガバナンスの観点から対処すべき点に関する指針をまとめたものです。同フレームワークに基づく指摘項目数をインシデントごとに集計したものが表 2となります。

    表 2 ケーススタディ事例に対するCCMコントロールドメイン別の指摘項目数

    9件中8件で指摘されたのが、まず、弊社のクラウドセキュリティ設定診断結果でも顕著であった「IAM」、そして「SEF」(セキュリティインシデント管理、Eディスカバリ、クラウドフォレンジックス)関連の不備でした。また、インシデントの過半数において、「TVM」(脅威と脆弱性の管理)、「HRS」(人事)、「IVS」(インフラと仮想化のセキュリティ)、「CCC」(変更管理と構成管理)の問題が指摘されています。

    先ほど述べたとおり、CCMは情報セキュリティに加えてITガバナンスの観点を含むフレームワークであり、弊社がセキュリティ診断で用いている指標との間に直接の互換性はありません。しかしながら、例えば、「利用されていない認証情報が存在する」問題は前述の「IAM」に加えて「HRS」に、ロギングやモニタリングの問題は「IVS」に関連付けられます。また、「TVM」は弊社の脆弱性診断と共通の目的を持つものです。その意味で、セキュリティ面での課題を解消・改善する取り組みは、確実にインシデントの発生抑制に寄与するといえるでしょう。

    新しいキーワードに目を向ける前に

    クラウドサービスの急速な普及が進む中、セキュリティ対策が不十分な状態で導入に踏み切り、セキュリティ事故を引き起こす組織が後を絶ちません。背景には、従来のオンプレミス環境で「外からアクセスされるわけではないから今まで通りでもまあいいか」と設定や運用をなおざりにしてきた「うっかり」を許し、設定ミスを防げなかった、等さまざまな状況があると考えられます。ID/アクセス管理といった基本的な対応の不備が目立つのもその表れでしょう。

    クラウドは今まさに旬のテクノロジーであり、冒頭に紹介したような新しいキーワードは、今後も次々に登場するものと思われます。キーワードを考慮して新たな戦略を練る前に、利用するクラウドサービスの基本的なセキュリティ設定はできているかを確認することが大切です。例えば、「ゼロトラストアーキテクチャ」を本気で適用しようとした場合、もしIAMの設定に不備があったとしたらどうでしょう。ゼロトラストアーキテクチャに求められる厳格な認証・認可の運用に致命的な問題を引き起こしかねません。新しいものに目を向ける前に、足元を見直す。弊社は診断サービスを通じてこれを支援していきたいと考えています。

    まずは無料で資料をダウンロード

    クラウドセキュリティ設定診断サービスの詳しい内容が記載されている資料がダウンロードできるURLをお送りいたします。
    見積もりについてのご相談は、お問い合わせよりご連絡ください。


    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Share