Anshu BansalはCloudDefense.AIの創業者兼CEO—アプリケーションとクラウドインフラの両方を保護するCNAPP(クラウドネイティブアプリケーション保護プラットフォーム)を提供している。
ほとんどの組織は、俊敏性、イノベーション、自動化、スケーラビリティを求めてクラウドを採用した後、クラウドベースの技術に依存するようになった。多くの企業がワークロードをクラウドに移行し、最新のクラウド機能を活用して、チームの開発プロセスを迅速化している。
しかし、その結果は?組織を進化するデータ侵害にさらすことになっている。世界中のセキュリティ投資が1839億ドルに達した昨年でさえ、組織は依然として多数のクラウド侵害に直面している。
なぜこのようなことが起きているのか?クラウドのミスコンフィギュレーションが主な原因となっている。ガートナーの調査によると、クラウドのミスコンフィギュレーションはセキュリティインシデントの大部分を占めている。
ミスコンフィギュレーションは単純な問題に見えるかもしれないが、年々、クラウドのミスコンフィギュレーションは業界を問わず組織におけるインシデントの主要な原因となっている。監視の無効化や安全でないAPIなどの単純なミスコンフィギュレーションが、すべてを危険にさらす可能性がある。
これらの問題は複雑でも修正が難しいわけでもないが、見過ごされがちだ。組織が最新のクラウドセキュリティツールを導入しているにもかかわらず、クラウドのミスコンフィギュレーションは依然として基本的な脅威となっている。今日は、ミスコンフィギュレーションの根本原因と、クラウドセキュリティリーダーが取るべき対策について説明する。
5つの一般的なクラウドの失敗
クラウドのミスコンフィギュレーションは、多くの場合、自己負傷的な傷や、現代の複雑な開発環境における盲点として機能する単純なミスとして発生する。クラウドセキュリティの取り組みを妨げる一般的なクラウドのミスコンフィギュレーションには以下のようなものがある:
• ストレージの露出:テスト中、開発者はストレージバケットを公開し、後でプライベートに戻すことを忘れることがよくある。公開ストレージの自動スキャンがなければ、クラウドストレージは公開されたままになる。
• 過剰なアクセス権限:CI/CDパイプラインで作業する際、開発者は必要以上の権限をアプリケーションやサービスに付与することが多い。結果は?悪意のある攻撃者が過剰な権限を持つアカウントを悪用し、環境への完全なアクセスを獲得できる。
• ネットワークポートの露出:ネットワークのデフォルト設定を維持したり、ポートを開いたままにしたりすると、攻撃者がネットワークに簡単にアクセスできるようになる。
• 不適切なネットワークセグメンテーション:多くの場合、クラウド開発者はネットワークを適切にセグメント化しなかったり、ファイアウォールの設定が不十分だったりして、攻撃者が横方向に移動できるようになる。
• ハードコードされた機密情報:高速な開発ワークフローを維持するために、多くの開発者はコードや公開リポジトリに機密情報をハードコードすることがある。攻撃者はこれらのコードにアクセスして情報を抽出できる。
クラウドのミスコンフィギュレーションが存在する理由
現代のクラウドセキュリティは多くの面で進化しているのに、なぜクラウドのミスコンフィギュレーションに適切に対処することがまだこれほど難しいのか?いくつかの主要な根本原因がある:
• スピード優先のセキュリティ:現代のクラウド開発はすべてスピードが重視される。多くのDevOpsチームは開発速度に対応するために、詳細なセキュリティチェックを見過ごすことがある。これは、新しく展開されたアプリケーションや機能が最適なセキュリティを欠いていることを意味する可能性がある。
• 複雑な環境:現代のクラウド環境の複雑さがミスコンフィギュレーションの背景にあることが多い。クラウド環境に基づくアプリケーションには、特定の設定を持つ多くのサービスが含まれており、維持が困難になっている。
• アラート疲れ:多くの組織は依然として従来のツールに依存している。ツールはコンテキストを欠いているため、セキュリティリスクにフラグを立てるが、それらを分類できない。開発者は誤検出を調査するのに何時間も費やさなければならない。
• スキルギャップ:すべての専門家がクラウドセキュリティとアーキテクチャの両方に必要な知識を持っているわけではなく、スキルギャップが生じている。さらに、クラウドセキュリティの進化する性質により、多くの専門家が遅れをとっている。
• デフォルト設定:シームレスで迅速なセットアップのために、クラウドプロバイダーはしばしばデフォルト設定を活用している。セキュリティチームはデフォルト設定の変更を忘れがちで、クラウド環境が露出したままになる。
クラウドのミスコンフィギュレーションを修正する
クラウドのミスコンフィギュレーションを修正することは、単に直接的なミスコンフィギュレーションを修正するだけではない。私は長年にわたってクラウドセキュリティの進化を見てきたが、ほとんどの企業は戦略的アプローチと文化的変革の両方を必要としている:
• セキュリティの自動化:クラウドのミスコンフィギュレーションを排除する最良の方法の1つは、セキュリティの自動化を導入することだ。人間によるセキュリティ分析は重要だが、完璧ではない。マルチクラウド環境でCSPMなどのツールを実装することで、重要な脅威を特定し、発見事項に優先順位を付け、修復策を提供できる。
• 最小権限の義務化:過度に許可されたIAMロールやAPIは一般的なミスコンフィギュレーションだ。最小権限の原則を義務付けることで、システム内のユーザー、API、またはサービスが必要以上の権限を持たないようにすることができる。
• シフトレフトアプローチ:現代のサイバーセキュリティの世界では、セキュリティチェックはもはや最後に実行されるべきではない。CI/CDパイプラインの最初からセキュリティチェックを組み込むことで、開発者はビルドフェーズで問題を修正できる。
• 継続的なモニタリング:クラウド環境が変更されると、単一の変更が多くのセキュリティ設定を解体する可能性がある。これらの環境を継続的に監視するツールは、設定のギャップを発見するのに役立つ。
• 継続的な学習:クラウド環境は時間とともに進化している。進化する変化に対応するために、継続的な学習プロセスはチームが新しいセキュリティの変更を理解するのに役立つ。セキュリティリーダーの仕事は、専門家に定期的なトレーニングとワークショップを提供することだ。
最終的な考察
クラウドベースの作業環境は今後も続く。クラウドのミスコンフィギュレーションを最小限に抑えるために、クラウドセキュリティリーダー向けの5段階のアクションプランを紹介する:
1. クラウド資産のセキュリティ態勢のベースラインを作成する。
2. IAMロールと権限を定期的に監査する。
3. セキュアバイデフォルトの設定を生成して実装する。
4. すべてのオープンポートと露出したストレージの自動スキャンを実施する。
5. KPIを用いたパフォーマンスレビューとチーム評価を実施する。
最適なクラウドセキュリティ態勢は、最小権限アクセス、シフトレフトセキュリティアプローチ、継続的なセキュリティ監査を通じてのみ達成できる。適切なセキュリティ対策と設定の注意深さにより、企業はクラウド侵害の潜在的な影響を大幅に軽減できる。
