- 認証
- ID管理
生成AIの利用をもっとセキュアに!Oktaで実現するスマートな認証
Webサービス利用増加によって生じる認証情報管理の課題とその解決策、そして最近注目されている「生成AI」をセキュアに使う方法をご紹介します。
|
|
クラウドサービスはオンプレミスに比べて「初期コスト削減・運用効率の向上・先進技術の活用」といった多くのメリットをもたらしてくれます。
2023年時点で約8割の企業に導入されており、今やビジネスに欠かすことができない基盤となっています。
そんな価値あるクラウドサービスですが、近年重大なインシデントが相次いで発生していることはご存知でしょうか?クラウドの設定不備による大規模な情報流出事例をいくつか見てみましょう。
| 発生年 | 業種 | 事例 | 原因 |
|---|---|---|---|
| 2019年 | 金融業 | 約1億件の個人情報漏洩 | 設定ミス、アクセス権の過剰付与 |
| 2022年 | サービス業 | 約148万件の顧客情報漏洩 | 設定ミス |
| 2023年 | 製造業 | 約215万件の顧客情報漏洩 | 設定ミス |
| 2023年 | 情報通信業 | 約94万件の個人情報漏洩 | アクセス権の過剰付与 |
| 2023年 | 建設業 | 約3万件の個人情報漏洩 | 設定ミス |
| 2024年 | 情報通信業 | 約16万件の顧客情報漏洩 | アクセス権の過剰付与 |
「設定ミス」は文字通り意図しない設定ミス、「アクセス権の過剰付与」はセキュリティの「最小権限の原則」が守られず、業務で利用しない過剰な権限が与えられていたことを意味します。これらの設定不備は全てクラウド利用者側の「人」が作り出してしまう脆弱性の一種です。
私達はプログラムされたロボットのように正確ではありません。
いくらミスをしないように気を付けても「思い込み・見間違い・操作ミス」はいつ発生してもおかしくないのです。
ガートナーが2019年に公開した記事によると「 2025年にはパブリッククラウドの使⽤を制御できない組織の90%が機密データを不適切に共有してしまう 」と警告しています。
このような最悪なシナリオを避けるためには、早急に対策を打つ必要があります。
クラウド環境におけるセキュリティ事故が起きやすい背景として、以下が挙げられます。
日々刻々と変化するクラウド環境を人手でチェックする運用はあまりにも効率が悪く、当然チェック漏れも出てきます。そのため、クラウド環境のセキュリティを維持するには、ツールをうまく活用することがベストだと考えます。
一昔前までクラウドセキュリティといえば、以下がメジャーな対策として認識されていました。
しかし、近年はCSPMやCWPPだけではクラウドのセキュリティ強化が難しくなってきており、以下のような様々な要素でクラウド環境をチェックする必要があります。
これらを、それぞれ別で対策しようとすると、多くのツールを使い分ける必要があり、その分コストや運用負荷が増えてしまいます。 さらに、それぞれのツールが独立しているため、情報が分断され、セキュリティ管理が複雑になるという問題もあります。
そんな悩みを解決すべく、2021年にガートナーが提唱したのが「
CNAPP(Cloud Native Application Protection Platform、シーナップ)
」という新しい概念です。
CSPM、CWPP、CIEM、KSPM、IaC、CDRといったクラウド環境のセキュリティを一元管理するプラットフォームです。
CNAPPの登場により、これまでばらばらのツールで管理していたセキュリティ機能がひとつにまとまることで、効率的にクラウドのセキュリティ対策が実現できるようになりました。さらに、複数のクラウドサービスを利用するマルチクラウド環境では、クラウドサービスごとにサイロ化していた分析結果もまとめて可視化されるため、設定ミスやアクセス権の過剰付与といった問題に気づきやすくなるというメリットもあります。
CNAPPとは、クラウド環境のセキュリティを一元管理するプラットフォームです。サイロ化を解消し、包括的な対策がとれるようになります。
|
|
| 役割 | 機能名称 | できること | |
|---|---|---|---|
| クラウド基盤を保護する | CSPM | クラウドセキュリティポスチャー管理 (Cloud Security Posture Management) |
クラウド環境のセキュリティ状態を監視・評価・修正する |
| CIEM | クラウド権限管理 (Cloud Infrastructure Entitlement Management) |
クラウド環境の権限管理と最適化を支援する | |
| CDR | クラウド脅威の検出・インシデント対応 (Cloud Detection and Response) |
クラウド環境の脅威を検出・対応する | |
| アプリを 保護する |
CWPP | クラウドワークロード脆弱性管理 (Cloud Workload Protection Platform) |
クラウド環境のワークロードのセキュリティを保護する |
| KSPM | クバネティスセキュリティポスチャー管理 (Kubernetes Security Posture Management) |
Kubernetes環境のセキュリティ状態を管理する | |
| リソースを管理する | IaC | インフラストラクチャーのコード化 (Infrastructure as Code) |
インフラのコード化による自動化・セキュリティ強化をする |
CNAPPはまだ新しい概念のため、その概念を実現するCNAPP製品の中には、まだ成熟していないものも多いです。製品の検討をする時には、自社の環境にあわせて必要な要件をピックアップし、その機能を満たす製品を選ぶと良いでしょう。
以下に評価項目としてまとめましたので、良ければ参考にしてください。
| 評価項目 | チェック項目 | |
|---|---|---|
| 機能の網羅性 | □ | 自社で採用しているセキュリティ基準/法規制への準拠状況が可視化できる |
| □ | クラウド上の過剰な権限設定をチェックできる | |
| □ | ワークロードの脆弱性管理ができる | |
| □ | Kubernetesコンテナ設定からコンテナ実行環境まで、 クラウドネイティブなアプリケーション開発環境全体をチェックできる |
|
| □ | IaC内の設定不備をチェックできる | |
| □ | クラウド環境上のログから不審な挙動を検知できる | |
| コンテクスト分析 | □ | 複数リスクの組み合わせによる横断分析ができ、深刻度に基づく優先度付けができる(コンテクスト分析ができる) |
| マルチクラウド対応 | □ | 自社のクラウドサービスに対応している |
| 可視性 | □ | コンソールやダッシュボードを直感的に操作できる |
| 修正ガイダンス/自動修正機能 | □ | 検出された設定不備の修正手順を提示できる |
| □ | 設定不備をワンクリックで自動修正することができる | |
繰り返しになりますが、昨今のサイバーセキュリティの動向をみると、人に起因する「設定ミス」による情報漏洩が多いです。
設定ミスを防ぐには、CNAPP製品などを使って、設定を自動的にチェックしたり、継続的に監視したりすることで、セキュリティの強化を図ることが有効です。
皆様もこの機会に、CNAPP製品の導入を検討してはいかがでしょうか?
ちなみに、アシストでは「
Tenable Cloud Security 」というCNAPP製品を取り扱っています。
クラウド資産の設定ミスや不適切な権限を自動で検出し、リスクを明確に可視化することで、セキュリティ対策の優先度を正確に判断し、迅速な対応を可能にします。
アマゾン ウェブ サービス(AWS)、Microsoft Azure、Google Cloud、Oracle Cloud Infrastructure といった主要なクラウドプラットフォームに対応している完成度の高いCNAPP製品です。ご興味があれば、ぜひお気軽にお声がけください。
|
|
|
|
[ 製品紹介資料 ] Tenable Cloud Security
|
|
|
Tenable Cloud Security の概要を、 デモンストレーションを交えながらご紹介します。 \ こんなデモンストレーションが見られます / ・クラウド環境の設定不備を確認 ・IDの過剰権限を確認(CIEM) ・クラウド環境上の資産や脆弱性を確認(CWPP) ・コンプライアンス要件の適応状況を確認(CSPM) ・対応優先度の高いリスクを確認 ・不審な行動の検知(CDR) ・外部に公開されているリソースと脆弱性を確認 |
※記載されている会社名、製品名は、各社の商標または登録商標です。
後藤 まり
|
|
Webサービス利用増加によって生じる認証情報管理の課題とその解決策、そして最近注目されている「生成AI」をセキュアに使う方法をご紹介します。
今、各企業で認証やID管理が広く見直されています。今回はその背景と現場が抱える悩み、そして見直しの最初の一歩を支援するアシストのサービスについてご紹介します。
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
