みなさんこんにちは、後藤まりです。
クラウドの普及が進む中で、セキュリティの課題もますます深刻になっています。
設定ミスによる情報漏洩や、権限管理の不備、複雑化する脅威に対して、どのように対応すればよいのでしょうか?
今回は、最新のクラウドセキュリティ対策として注目される「CNAPP(Cloud Native Application Protection Platform)」に焦点を当て、その必要性や導入ポイントについて解説します。
クラウド環境で増えているセキュリティ事故
クラウドサービスはオンプレミスに比べて「初期コスト削減・運用効率の向上・先進技術の活用」といった多くのメリットをもたらしてくれます。
2023年時点で約8割の企業に導入されており、今やビジネスに欠かすことができない基盤となっています。
そんな価値あるクラウドサービスですが、近年重大なインシデントが相次いで発生していることはご存知でしょうか?クラウドの設定不備による大規模な情報流出事例をいくつか見てみましょう。
クラウドの設定不備による情報流出事例
発生年 | 業種 | 事例 | 原因 |
|---|---|---|---|
2019年 | 金融業 | 約1億件の個人情報漏洩 | 設定ミス、アクセス権の過剰付与 |
2022年 | サービス業 | 約148万件の顧客情報漏洩 | 設定ミス |
2023年 | 製造業 | 約215万件の顧客情報漏洩 | 設定ミス |
2023年 | 情報通信業 | 約94万件の個人情報漏洩 | アクセス権の過剰付与 |
2023年 | 建設業 | 約3万件の個人情報漏洩 | 設定ミス |
2024年 | 情報通信業 | 約16万件の顧客情報漏洩 | アクセス権の過剰付与 |
「設定ミス」は文字通り意図しない設定ミス、「アクセス権の過剰付与」はセキュリティの「最小権限の原則」が守られず、業務で利用しない過剰な権限が与えられていたことを意味します。これらの設定不備は全てクラウド利用者側の「人」が作り出してしまう脆弱性の一種です。
私達はプログラムされたロボットのように正確ではありません。
いくらミスをしないように気を付けても「思い込み・見間違い・操作ミス」はいつ発生してもおかしくないのです。
ガートナーが2019年に公開した記事によると「 2025年にはパブリッククラウドの使⽤を制御できない組織の90%が機密データを不適切に共有してしまう 」と警告しています。
このような最悪なシナリオを避けるためには、早急に対策を打つ必要があります。
クラウド環境でセキュリティ事故が増えている背景
クラウド環境におけるセキュリティ事故が起きやすい背景として、以下が挙げられます。
クラウドサービスは新機能追加やバージョンアップの頻度が高い
クラウドサービスを利用する人が多岐にわたる(開発~保守チームまで、関連ユーザーが多い)
クラウドサービスに関する知識不足、人材不足
日々刻々と変化するクラウド環境を人手でチェックする運用はあまりにも効率が悪く、当然チェック漏れも出てきます。そのため、クラウド環境のセキュリティを維持するには、ツールをうまく活用することがベストだと考えます。
クラウドセキュリティの新たなアプローチ「CNAPP」
一昔前までクラウドセキュリティといえば、以下がメジャーな対策として認識されていました。
CSPM(Cloud Security Posture Management:クラウドセキュリティポスチャー管理)
CWPP(Cloud Workload Protection Platform:クラウドワークロード脆弱性管理)
しかし、近年はCSPMやCWPPだけではクラウドのセキュリティ強化が難しくなってきており、以下のような様々な要素でクラウド環境をチェックする必要があります。
CIEM(Cloud Infrastructure Entitlement Management:クラウド権限管理)
KSPM(Kubernetes Security Posture Management:クバネティスセキュリティポスチャー管理)
IaC(Infrastructure as Code:インフラストラクチャーのコード化)
CDR(Cloud Detection and Response:クラウド脅威の検出・インシデント対応)
これらを、それぞれ別で対策しようとすると、多くのツールを使い分ける必要があり、その分コストや運用負荷が増えてしまいます。 さらに、それぞれのツールが独立しているため、情報が分断され、セキュリティ管理が複雑になるという問題もあります。
そんな悩みを解決すべく、2021年にガートナーが提唱したのが「 CNAPP(Cloud Native Application Protection Platform、シーナップ) 」という新しい概念です。
CSPM、CWPP、CIEM、KSPM、IaC、CDRといったクラウド環境のセキュリティを一元管理するプラットフォームです。
CNAPPの登場により、これまでばらばらのツールで管理していたセキュリティ機能がひとつにまとまることで、効率的にクラウドのセキュリティ対策が実現できるようになりました。さらに、複数のクラウドサービスを利用するマルチクラウド環境では、クラウドサービスごとにサイロ化していた分析結果もまとめて可視化されるため、設定ミスやアクセス権の過剰付与といった問題に気づきやすくなるというメリットもあります。
CNAPP(Cloud Native Application Protection Platform)とは
CNAPPとは、クラウド環境のセキュリティを一元管理するプラットフォームです。サイロ化を解消し、包括的な対策がとれるようになります。
CNAPP(Cloud Native Application Protection Platform)製品で提供される機能例
役割 | 機能名称 | できること | |
|---|---|---|---|
クラウド基盤を保護する | CSPM | クラウドセキュリティポスチャー管理 | クラウド環境のセキュリティ状態を監視・評価・修正する |
CIEM | クラウド権限管理 | クラウド環境の権限管理と最適化を支援する | |
CDR | クラウド脅威の検出・インシデント対応 | クラウド環境の脅威を検出・対応する | |
アプリを | CWPP | クラウドワークロード脆弱性管理 | クラウド環境のワークロードのセキュリティを保護する |
KSPM | クバネティスセキュリティポスチャー管理 | Kubernetes環境のセキュリティ状態を管理する | |
リソースを管理する | IaC | インフラストラクチャーのコード化 | インフラのコード化による自動化・セキュリティ強化をする |
CNAPP製品の検討ポイント
CNAPPはまだ新しい概念のため、その概念を実現するCNAPP製品の中には、まだ成熟していないものも多いです。製品の検討をする時には、自社の環境にあわせて必要な要件をピックアップし、その機能を満たす製品を選ぶと良いでしょう。
以下に評価項目としてまとめましたので、良ければ参考にしてください。
CNAPP製品の評価項目
評価項目 | チェック項目 | |
|---|---|---|
機能の網羅性 | □ | 自社で採用しているセキュリティ基準/法規制への準拠状況が可視化できる |
□ | クラウド上の過剰な権限設定をチェックできる | |
□ | ワークロードの脆弱性管理ができる | |
□ | Kubernetesコンテナ設定からコンテナ実行環境まで、 | |
□ | IaC内の設定不備をチェックできる | |
□ | クラウド環境上のログから不審な挙動を検知できる | |
コンテクスト分析 | □ | 複数リスクの組み合わせによる横断分析ができ、深刻度に基づく優先度付けができる(コンテクスト分析ができる) |
マルチクラウド対応 | □ | 自社のクラウドサービスに対応している |
可視性 | □ | コンソールやダッシュボードを直感的に操作できる |
修正ガイダンス/自動修正機能 | □ | 検出された設定不備の修正手順を提示できる |
□ | 設定不備をワンクリックで自動修正することができる | |
さいごに
繰り返しになりますが、昨今のサイバーセキュリティの動向をみると、人に起因する「設定ミス」による情報漏洩が多いです。
設定ミスを防ぐには、CNAPP製品などを使って、設定を自動的にチェックしたり、継続的に監視したりすることで、セキュリティの強化を図ることが有効です。
皆様もこの機会に、CNAPP製品の導入を検討してはいかがでしょうか?
ちなみに、アシストでは「 Tenable Cloud Security 」というCNAPP製品を取り扱っています。
クラウド資産の設定ミスや不適切な権限を自動で検出し、リスクを明確に可視化することで、セキュリティ対策の優先度を正確に判断し、迅速な対応を可能にします。
アマゾン ウェブ サービス(AWS)、Microsoft Azure、Google Cloud、Oracle Cloud Infrastructure といった主要なクラウドプラットフォームに対応している完成度の高いCNAPP製品です。ご興味があれば、ぜひお気軽にお声がけください。
参考
マルチクラウド対応のCNAPPソリューションTenable Cloud Security の機能や導入後のイメージがわかります(PDF 全35ページ)。
[ 製品紹介資料 ] Tenable Cloud Security
\ こんな特徴があります /
・マルチクラウドに対応
・設定ミス、過剰権限を自動検出
・攻撃に使われそうなリスクを分析
・セキュリティ対応の優先度を提示
Tenable Cloud Security の概要を、デモンストレーションを交えながらご紹介します(オンデマンド動画 約17分)。
[ 製品紹介動画 ] Tenable Cloud Security
\ こんなデモンストレーションが見られます /
・クラウド環境の設定不備を確認
・IDの過剰権限を確認(CIEM)
・クラウド環境上の資産や脆弱性を確認(CWPP)
・コンプライアンス要件の適応状況を確認(CSPM)
・対応優先度の高いリスクを確認
・不審な行動の検知(CDR)
・外部に公開されているリソースと脆弱性を確認
※記載されている会社名、製品名は、各社の商標または登録商標です。
この記事を書いたスタッフ
後藤まり
後藤まり