読むセミナー：クラウドセキュリティ運用において出てくる課題と解決方法（前編）

クラウドのリスク

クラウドは非常に動的です。立ち上がっては消えていくインスタンス。開発のスピードもオンプレ時代とは比較になりません。スピードと利便性が注視される中、それにセキュリティが追い付いていないケースが散見されます。

例えば、EC2などのクラウドインスタンスを作成しても基本的にパッチ適応などはしない。管理といえば、サードパーティの脆弱性スキャナツールを利用し、AMIプリンシパルの権限管理もしていない、などです。

ここでは、クラウド上の3つの課題を例に説明していきます：

課題1: クラウド上のリスクの把握、可視化

オブジェクトストレージの意図しない外部公開など、直接情報漏洩につながるようなものでない限り、なかなか発見も難しいですし、優先的に処理もされないのが現状ではないでしょうか。

また、サービスやリソースの種類も多様で、リスク分析や絞り込みも難しかったり、さらに関連付けが難しいといった問題もあるでしょう。例えば攻撃検知についても、ある程度検知およびそのアラートが集約されていたとしても、それらの関連性を分析し、攻撃を立体的に分析するといったところまでは、なかなか至らないのではないでしょうか？

課題1に対する解決アプローチ

現代のクラウドが抱えているセキュリティ的問題に対する解決策のアプローチは以下の4つのポイントに分けられます；

1. リスクの高いリソースの分析評価を自動的、機械的に実施
2. 1で判明した、リスクの高いリソースに関連の高い関連リソースを可視化
3. 1および2に対する、想定される攻撃経路の把握
4. 検知されたリスクに対する修正

これらの問題に対し、Rapid7 InsightCloudSec は網羅的な解決策を提供します。

まずはクラウド上のリソースを把握。特に、外部公開されているリソースはリスクが高いと言えるので、外部公開リソースももれなく把握することが重要です。さらに、それらに対する設定不備や未対応の脆弱性などをチェックし、リスクの高いリソースを可視化し、どのリソースから対処していくべきかの優先順位づけをしてくれます。

課題2: システムやアプリケーションとアカウントの関係

前述の通りクラウドは非常に動的であり、開発のスピードも迅速です。しかしこれがセキュリティ上のリスクに直結する可能性があります。

開発、テスト、ステージング、本番といった、各ステータスのシステムが、一つのアカウントで管理されていることもあれば、ステージごとに異なるアカウントで管理されていることもあります。そのため、コンプライアンスやセキュリティ違反などの監査を実施した際にも、監査報告が難しいという課題があります。仮にアラートが発生したとしても、どのシステムに起因するものなのかを直感的に理解しずらい、などです。

課題2に対する解決アプローチ

この課題を解決するにあたり、まずはリソースに対して適切なタグ付けがされていることが前提となります。タグを基準にグルーピングや分類を行うためです。

タグづけを前提とし、まずはタグによるリソースの分類を行います。タグづけされていることで、これを自動的に実行できるようになります。次に、そのグループ単位でのセキュリティおよびコンプライアンス違反の検知、報告です。

Rapid7 InsightCloudSec による解決

Rapid7 InsightCloudSec の Application Context 機能が本解決策を提供しています。Application Context は、アプリケーションやリソースをタグを基準にグルーピングし、コンプライアンスやセキュリティ違反がないかチェックすることができます。監査のためのテンプレートも用意されているため、それに従った監査を実施することが可能です。さらに、対象とするアプリケーションをグループ化して絞り込むことができるため、監査やレポーティングの範囲を限定することができます。

→ Rapid7 InsightCloudSec

次回は残る１つの課題について説明していきます。

（文：ラピッドセブン・ジャパン株式会社　横川典子）