パブリッククラウド利用システムにおける
セキュリティ診断

Share

SQAT® Security Report 2019年9月号

雲とネットワークのイメージ図

※本記事は、SQAT®Security Report 2019年 9月号の記事、
「パブリッククラウド利用システムにおけるセキュリティ診断」の一部抜粋になります。

増えるパブリッククラウド利用とセキュリティ事情

クラウドサービスは、自社でサーバを抱える必要がないことから、導入および運用コストが大幅に削減できるため、今や企業ネットワーク環境構築における選択肢の1つとなっており、オンプレミスからクラウドに移行する企業は増えている(下グラフ参照)。その際、スケジュール等の事情によりシステムを見直す余裕がなく、そのままの状態で移行せざるを得ないケースもあるのが実情だろう。しかしながら、開発や改修後のリリース前にシステムの脆弱性診断を実施すべきであるのは、クラウドへの移行時も例外ではない。

クラウドサービスの利用状況

出典:総務省「平成30年通信利用動向調査の結果」(令和元年5月31日公開)

自組織が業務用のパブリッククラウド(AWS、Microsoft Azure等)を利用している場合、ハードウェアまではクラウド事業者が管理しているが、OSおよびそれより上の層については利用企業側に責任があることを忘れてはならない。パブリッククラウド上のWebアプリケーションやECツール等で使用しているOS、ミドルウェア、アプリケーションといった各コンポーネントは、経年により脆弱性が発見される宿命だ。セキュリティ対策として、定期的にそれらを更新する必要がある。

オンプレミスと同様、パブリッククラウド上にシステムを構築している場合も、自組織のシステムが情報漏洩や改竄、DoS攻撃等の被害に遭う危険性があるかどうか、適宜把握しておく責任がある。このため、パブリッククラウド上のシステムにおいても、定期的に脆弱性診断を実施するのが望ましい。

パブリッククラウド向け脆弱性診断の必要性

パブリッククラウド向けでない一般的なリモート診断では、ファイアウォール越しで実施するため、ファイアウォールでアクセスを許可しているポートに対してしか診断できない。これに対し、パブリッククラウド向け診断では、直接アクセスできるセグメントに対して実施するため、管理用ポート等、ファイアウォールでアクセス制限されていることの多いポートに対しても診断可能だ。

インシデントのリスクは、外部に公開されたシステムにとどまらないことを忘れてはならない。例えば、AWSを社内インフラとして使用している企業があるとする。そういったシステムは (…続き)


本記事はここまでになります。

この記事の続きでは、テレワークの隙を狙った攻撃の脅威をご紹介し、それに対して企業がどのように脆弱性対策に取り組むべきかということについて解説しています。ぜひご一読ください。

※参考(続き)
contents
3.CISベンチマークを利用したセキュリティチェックの必要性
4.診断を受けるにあたっての注意点

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。

 


 

セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


 

SQAT® Security Serviceページへのバナー

 

BBSecコーポレートサイトへのバナー



 

Share

診断結果にみるクラウドセキュリティの今

Share

弊社では現在、Amazon Web Services(以下AWS)、Microsoft Azure(以下Azure)、Google Cloud Platform(以下GCP)の主要三クラウドを対象とした「クラウドセキュリティ設定診断サービス」をご提供しています。本記事では、弊社の視点で、診断を行う中でみえてきた、クラウドセキュリティの今をお伝えします。

クラウドをめぐるトレンド

昨今、クラウド関連では新しいキーワードが続々と登場しています。例えば、皆様も以下のような言葉を耳にしたことがあるのではないでしょうか。

  • ゼロトラストアーキテクチャ
  • SDP(Software Defined Perimeter)
  • IDaaS(Identity as a Service)
  • コンテナ・マイクロサービス

「ゼロトラストアーキテクチャ」「SDP」は、クラウドを含む企業インフラの在り方を変える仕組み、「IDaaS」は多くのIT関係者の頭痛の種である認証機構をクラウドで実現する新しいサービス、「コンテナ・マイクロサービス」は、開発や運用を効率化するクラウド技術であり、いずれも、しばしば「革新的」「画期的」といった形容詞と共に語られます。しかし、「革新的」「画期的」なものを取り入れさえすれば、クラウドのセキュリティは担保されるのでしょうか。

診断結果からみえてくるもの

弊社ではAWS、Azure、GCPというIaaSを対象としたクラウドセキュリティ設定診断サービスをご提供しています。診断で検出されることが多い問題は、表 1のとおりです。

表1 弊社のクラウドセキュリティ設定診断で多く検出される問題

ID/アクセス管理(IAM)に関する問題
  • 利用されていない認証情報が存在する
  • 長期間ローテーションされていないキーが存在する
  • MFA(多要素認証)が有効化されていない
  • パスワードポリシーが基準を満たしていない
  • セキュリティキーの適用が有効になっていない管理者アカウントが存在する
  • ロギングに関する問題
  • 必要なログが記録される設定になっていない
  • ログが適切に暗号化されていない
  • モニタリングに関する問題
  • ログメトリックフィルタとアラート/アラームが存在しない
  • ネットワーク通信に関する問題
  • SSHやリモートデスクトップサービス(RDS)へのアクセスが制限されていない
  • その他
  • 推奨される暗号化が施されていない
  • OS Loginがプロジェクトで有効になっていない
  • 均一なバケットレベルでのアクセスが有効になっていない
  • 特に目立つのは、ID/アクセス管理(以下IAM)の設定周りの不備です。IAMはクラウドのセキュリティにおける最重要事項であり、この領域でさまざまな問題が検出されているという結果は、危機感を抱くべき状況といえます。

    例えば、「パスワードポリシーが基準を満たしていない」、「長期間ローテーションされていないキーが存在する」、「MFAが有効化されていない」(仮想MFAのみ有効である場合も含む)といった問題は、従来のオンプレミス環境での運用水準を前提とした設定・運用を、クラウド環境に対してもそのまま適用していることが原因ではないかと推測されます。また、「利用されていない認証情報が存在する」のは、異動した社員や退職者の認証情報が削除されずに放置されているためと推測されますが、もし、「ひょっとしたら」「うちの会社も」と感じられるようでしたら、早急に確認することをおすすめします。

    ロギングやモニタリングに関する問題も目を引きます。まず、本番環境において適切なロギングやモニタリングが行われていない場合、対象の環境に何らかの問題が起きた時になすすべもない状況に陥る可能性があります。また、開発環境やステージング環境については、ロギングやモニタリングが無効になっている場合、そのことが問題発生時の原因究明を阻害する要因になりえます。開発環境やステージング環境で意図的にロギングやモニタリングを無効にしている場合は、そのようなリスクがあることを認識し、適宜対応の見直しを検討する必要があります。もちろん、その前提として、本番環境とステージング・開発環境が厳密に分けられていて、アクセスや認可がしっかり設定されていることが必要です。

    さらに、ネットワーク通信に関しては、「SSHやリモートデスクトップサービス(RDS)へのアクセスが制限されていない」という問題が検出されています。これについては、Shodanなどで各ポートを開放しているサーバを検索するとクラウドサービスのFQDNを表示するサーバ多数がクエリを返してくる、という状況があり、そのことをご存知の方であれば、「ああやはり」という感想をお持ちになるのではないでしょうか。クラウドでもオンプレミス環境同様、SSHやRDSへのアクセスを制限しないことは攻撃者に初動の足掛かりを与えることにつながります。制限を掛けることが必須であるはずなのに、案外そうなっていないケースがみられる、というのが、診断結果における現状です。

    いずれの問題についても、「うっかり」も含め、クラウド環境での基本的なセキュリティ設定への対応が十分に行われていないことを示す結果になっているといえます。

    実際のインシデント・事件ではどうだったか

    では、実際のインシデントではどのような対応不備が確認されているのか、クラウドコンピューティングのセキュリティに取り組む国際的非営利団体「クラウドセキュリティアライアンス」(以下CSA)が本年9月に公開したケーススタディ分析「Top Threats to Cloud Computing: Egregious Eleven Deep Dive」から見てみましょう。

    同資料では、近年発生したクラウド上での大規模セキュリティインシデントの中から9件を取り上げ、CCM(Cloud Control Matrix)というフレームワークを用いて分析しています。なお、CCMは、クラウドサービスに必要な管理策・統制とその実装方法の提示を行うフレームワークとして、情報セキュリティとITガバナンスの観点から対処すべき点に関する指針をまとめたものです。同フレームワークに基づく指摘項目数をインシデントごとに集計したものが表 2となります。

    表 2 ケーススタディ事例に対するCCMコントロールドメイン別の指摘項目数

    9件中8件で指摘されたのが、まず、弊社のクラウドセキュリティ設定診断結果でも顕著であった「IAM」、そして「SEF」(セキュリティインシデント管理、Eディスカバリ、クラウドフォレンジックス)関連の不備でした。また、インシデントの過半数において、「TVM」(脅威と脆弱性の管理)、「HRS」(人事)、「IVS」(インフラと仮想化のセキュリティ)、「CCC」(変更管理と構成管理)の問題が指摘されています。

    先ほど述べたとおり、CCMは情報セキュリティに加えてITガバナンスの観点を含むフレームワークであり、弊社がセキュリティ診断で用いている指標との間に直接の互換性はありません。しかしながら、例えば、「利用されていない認証情報が存在する」問題は前述の「IAM」に加えて「HRS」に、ロギングやモニタリングの問題は「IVS」に関連付けられます。また、「TVM」は弊社の脆弱性診断と共通の目的を持つものです。その意味で、セキュリティ面での課題を解消・改善する取り組みは、確実にインシデントの発生抑制に寄与するといえるでしょう。

    新しいキーワードに目を向ける前に

    クラウドサービスの急速な普及が進む中、セキュリティ対策が不十分な状態で導入に踏み切り、セキュリティ事故を引き起こす組織が後を絶ちません。背景には、従来のオンプレミス環境で「外からアクセスされるわけではないから今まで通りでもまあいいか」と設定や運用をなおざりにしてきた「うっかり」を許し、設定ミスを防げなかった、等さまざまな状況があると考えられます。ID/アクセス管理といった基本的な対応の不備が目立つのもその表れでしょう。

    クラウドは今まさに旬のテクノロジーであり、冒頭に紹介したような新しいキーワードは、今後も次々に登場するものと思われます。キーワードを考慮して新たな戦略を練る前に、利用するクラウドサービスの基本的なセキュリティ設定はできているかを確認することが大切です。例えば、「ゼロトラストアーキテクチャ」を本気で適用しようとした場合、もしIAMの設定に不備があったとしたらどうでしょう。ゼロトラストアーキテクチャに求められる厳格な認証・認可の運用に致命的な問題を引き起こしかねません。新しいものに目を向ける前に、足元を見直す。弊社は診断サービスを通じてこれを支援していきたいと考えています。

    まずは無料で資料をダウンロード

    クラウドセキュリティ設定診断サービスの詳しい内容が記載されている資料がダウンロードできるURLをお送りいたします。
    見積もりについてのご相談は、お問い合わせよりご連絡ください。


    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Share

    クラウドセキュリティの必要性とは?

    Share

    クラウドを導入する企業が過半数を超え、政府もAWSの導入を決めるなどクラウド利用の普及が進んでいます。AWS、Azure、GCPなどのクラウドサービスの代表例と、クラウド導入のメリットと不安、セキュリティの要件と担保する方法を解説します

    日本の各企業でも、クラウドサービス(クラウド)の利用が進んできましたが、ハードウェアを自社内やデータセンター等の設備内に設置する「オンプレミス」と比べ、セキュリティに対する漠然とした不安の声もあります。導入担当者やセキュリティ担当者は、クラウドのセキュリティを確保していく必要があります。

    この記事では、企業で活用されているクラウドサービスを例示しながら、「クラウド」「SaaS」「PaaS」「IaaS」「オンプレミス」などクラウド関連の用語を解説します。またクラウドサービスのメリットや懸念点を挙げた上で、最後にクラウドセキュリティについて論じます。

    クラウドサービスとは

     クラウドサービスとは、ソフトウェアやサーバ、インフラなどを製品としてではなくサービスとしてクラウド事業者が提供するものです。これまでのソフトウェアやサーバの調達と異なり、利用者はサブスクリプション形式で利用料を支払い、クラウド上にあるリソースをサービスとして利用します。

    クラウド(cloud)という名称は、ネットワークの模式図上で雲のような形状で示されるところからきました。ひとつの雲で表されますが、実際には複数のサーバ機器やネットワーク機器で構成され、サーバにはサービスに必要なソフトウェアが導入されています。

    サーバを事業所内に設置するような利用形態「オンプレミス」という用語は、「クラウド」の対義語のように使われていますが、英語のon-premiseの本来の意味合いは「敷地内の」というものです。

    なおクラウドサービスを分類すると、3つの主要サービスがあります。具体的なイメージを掴めるよう、法人で幅広く使われているクラウドサービスを挙げながら紹介します。

    SaaS(Software as a Service、サース、サーズ)

    Gmail(Webメール)、Microsoft Office 365(オフィスソフト)、Dropbox(ストレージ)、Slack(チャット)などのサービスがあります。一般ユーザが使用するアプリケーションをサービスとして提供します。

    IaaS(Infrastructure as a Service、アイアース、イアース)

    利用者が選択したスペックやOSに合わせた、仮想的なマシン(インフラ)を提供します。利用者側で必要なアプリケーションをさらにインストールするなどして、用途に合わせてカスタマイズできます。

    たとえばWebサービスを顧客に展開するときに、Webサーバとして活用するケースがあります。Amazon Elastic Compute Cloud(Amazon EC2)、Azure Virtual Machines、Google Compute Engine(GCP)といったサービスがあります。

    PaaS(Platform as a Service、パース)

    IaaSが提供する仮想マシンに加え、上位のミドルウェアを含め提供するプラットフォームがPaaSです。さまざまなサービスがありますが、たとえばAWSのAmazon Relational Database Service(Amazon RDS)では、主要なリレーショナルデータベース(RDB)をサポートします。また、GCPのGoogle App Engine(GAE)は、JavaやPythonなどで開発したアプリケーションをGCPのインフラ上で簡単にデプロイ、管理できるようになっています。

    CaaS(Container as a Service、カース)

    コンテナ技術を用いると、例えば開発用、本番用といった異なるサーバやOS間で同一の環境を持ち運べるなど、効率的なアプリケーション開発が実現できますが、複数のコンテナを組み合わせた大規模な環境では、それらを運用、管理するのに手間がかかります。CaaSは、複数のコンテナ利用に必要なオーケストレーション機能(管理/サポートする機能)を多数提供し、開発業務のさらなる効率向上を可能にします。代表的な例には、Docker、GKE(Google Kubernetes Engine)、Amazon ECS(Elastic Container Service)、VMware PKSなどのサービスがあります。

    なお企業向けのクラウドセキュリティの議論はIaaSやPaaSを対象にしたものが中心です。これは、SaaSのセキュリティ管理は、クラウド事業者とサービサーが担うため、企業側で対応する余地があまりないためです。この記事でも、特に断りのない限りIaaSやPaaSを念頭に説明を進めていきます。


    日本政府もAWSを導入!クラウド活用する日本企業は6割に

    2020年2月、政府が「政府共通プラットフォーム」にAWSを利用する 方針であることを発表しました。政府が採用を決める前から、企業でもクラウド利用が広がっています。以下は、総務省の通信利用動向調査の結果です。クラウドを全社的または一部の部門で活用する日本企業は毎年増え続け、2018年には58.7%に上っています。

    国内におけるクラウドサービス利用状況


    出典:総務省「平成30年通信利用動向調査の結果(令和元年5月31日公表)


    クラウドサービス導入のメリット

    ピーク性能に合わせて購入するのが一般的なオンプレミスと比べ、クラウドでは必要な時に必要なスペックで サーバやソフトウェアの契約を行うことが可能です。

    1.どこからでもアクセスできる

    WebメールやオンラインストレージといったSaaSを利用している場合、どこにいてもインターネットがあればアクセスできます。

    2.負荷に応じて動的にシステム変更可能

    アクセスの増減に合わせて、Webの管理ツールを操作するだけで、サーバを追加したり削減したりできます。オンプレミスと比べ、変更にかかる時間を大幅に短縮できます。 TVで取り上げられた場合などに発生する、突発的なアクセス増にも柔軟に対応可能です。

    3.開発者が多くどんどん便利になっている

    利用が急拡大しているグローバル規模のクラウド事業者は、世界中から優秀な開発者を集めており、次々と機能追加が行われています。


    クラウドサービスに対する4つの不安

    1.情報漏えいリスク

    どこからでもアクセスできて便利な反面、オンプレミス環境のように手元に情報を保持していない分、漠然とした不安や、攻撃対象になりやすいのではないかといった懸念があります。こうした懸念に応えるセキュリティ対策については後述します。

    2.システム稼働率や法規制対応

    クリティカルなサービスを提供する企業では、稼働率などを保証するSLA(Service Level Agreement)や、冗長構成を必要とする場合があります。また、クラウドサービスの利用にあたり、社内の基準やコンプライアンス、業界基準、国内法に準拠している必要があります。

    これらの不安に対応して、AWSなど大手のクラウドサービスではSLAや第三者機関から取得した認証など、各種基準への対応状況を公表しています。

    3.従量課金による費用変動

    クラウドサービスの課金体系には、月額・日額の固定料金制もあれば、従量課金制もあります。利用形態によっては、オンプレミス環境を用意したほうが安価な場合もあります。システム利用計画を建ててから契約しましょう。

    4.カスタマイズやベンダーのサポート体制

    クラウド事業者は複数の顧客に共通のサービスを提供することで。オンプレミス環境と同様のカスタマイズやサポートは望めない場合もあります。


    クラウドサービスのセキュリティ対策

    クラウドサービス提供者側のセキュリティ要件として、たとえば総務省では「クラウドサービス提供における情報セキュリティ対策ガイドライン」を提供しています。

    クラウド事業者は施設の物理セキュリティや、ネットワークなどのインフラのセキュリティに責任を持ちますが、利用者側にもネットワーク周りの設定や管理アカウントの管理などの対策が求められます。

    クラウドの設定ミスに起因するインシデント事例

    AWSに置かれていた、米ウォールストリートジャーナル紙の購読者名簿220万人分が、第三者による閲覧が可能な状態になっているという事故がありました。これは、利用者側の設定ミスに起因するものです。

    オンプレミス環境ではサーバを直接操作する人は限られており、サーバルームの入退室記録簿等々、事故が起こらないようにさまざまなルールや、それを守る体制がありました。しかしクラウドでは、前述したようにどこからでもアクセスして、Web管理ツールで簡単にシステムを変更できるという利点が、逆に事故につながる場合があります。

    クラウドのセキュリティを担保する方法は?

    ひとつは、クラウドサービスの設定に関わるベストプラクティス集を利用することです。各クラウドベンダーから公開されており、日本語版も用意されています。CISベンチマークという第三者機関が開発したセキュリティに関するガイドラインもあります。ただし、網羅性が高く項目も多いため、必要な項目を探すには時間がかかる場合もあります。

    もうひとつは、クラウドの設定にセキュリティ上の問題がないか診断するツールの利用が挙げられます。実用するには一定の習熟が必要で、たとえば出力された多数の脆弱なポイントについて、どこを優先して対処していくかの判断が求められます。セキュリティ企業が提供する診断サービスを利用する方法もあります。パブリッククラウドの設定にリスクがないか専門家が診断します。


    まとめ

    ・クラウドのセキュリティは、クラウドサービスの提供側と利用者側双方で担保する
    ・提供側はインフラ等のセキュリティに責任を負う
    ・利用者側はセキュリティ、ネットワーク、アカウントなどの設定・管理を適切に行う
    ・利用者側の対策として、ベストプラクティスの活用、自動診断ツール、セキュリティベンダーの提供するサービスの利用がある


    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Share