月別アーカイブ: 2025年1月

コンプライアンス自動化革命: 真の変革の時

1件のフィードバック

2025年1月31日
CSAジャパン クラウドセキュリティ自動化WG 諸角昌宏

本ブログは、CSA本部のブログを著者の許可を得て翻訳したものです。本ブログの内容とCSA本部のブログとに相違があった場合には、CSA本部のブログの内容が優先されます。

コンプライアンス自動化革命:真の変革の時

2025年01月28日
Jim Reavis, Co-founder and Chief Executive Officer, CSA

最近、世界中のセキュリティ・リーダーと話をする中で、1つのテーマが常に浮上します。それは、コンプライアンス要件に溺れている一方で、本当の意味でのセキュリティ向上を示すのに苦労しているということです。平均的な米国企業では、従業員の報酬総額の1.3~3.3パーセントをコンプライアンスに費やしている(Cato Institute)と聞きます。また、GRCユーザーの60%がいまだにスプレッドシートですべてを管理している(Coalfire Compliance Report 2023)と聞きます。これらを聞くと、何かを変えなければならないと思うはずです。
そのため、CSA が以前から取り組んでいた新しい取り組みを紹介できることを嬉しく思います:The Compliance Automation Revolution。しかし、その詳細を説明する前に、なぜ私たちにこの変革が必要なのか、その原動力となったある見解をお話しします。

限界点(ブレイキング・ポイント)はここだ

最近、あるワーキンググループの会合で、ある人が、彼らの組織は137の国のデータ・プライバシー法を遵守しなければならないと話していました。これは 、GDPRのような州、セクター別、地域別の要件を数える前の話です。ITコンプライアンス上の義務をすべてマッピングしたところ、膨大な作業の重複が見つかりましたが、それでもまだ、何らかの形で抜けが残っていました。このような状況は、皆さんの多くにも思い当たる節があるのではないでしょうか。
数字が物語っています。Healthcare Financial Management Associationの調査によると、コンプライアンス違反によるコストはコンプライアンスへの投資額の3倍に上り、組織は1件あたり平均505万ドルのデータ侵害コストに直面しています(IBM’s Cost of a Data Breach Report 2023)。一方、世界の監査サービス市場は、2024年には2,266億ドルに達します(Mordor Intelligence社)。私たちはこれまで以上に支出を増やしていますが、本当に安全なのでしょうか?

前進のための現実的な道筋

CSA では、現実的な問題を現実的な解決策で解決することを信条としています。業界リーダーや会員コミュニティとの広範な協力の結果、私たちはコンプライアンスを変革するための3つの重要な柱を特定しました。

  1. ビジネスに合わせて拡張できる自動化
  2. 重複した作業を排除する規制の調和
  3. 全員が足並みを揃えられるようにリアルタイムの情報交換

これは単なるフレームワークや要求事項のセットではありません。私たちは、コンプライアンスと保証への取り組み方を変革するための広範な連合体として、根本的に異なるものを構築しようとしています。

一緒に作り上げていくもの

私たちが何を提供するのかを明確にします。

  • 継続的なモニタリングアーキテクチャにより、問題をリアルタイムで検出
  • AIを活用した規制の分析により、複雑な要件を理解
  • 自動化された管理策のテストにより、手動によるオーバーヘッドを排除
  • マシン・ツー・マシンのコンプライアンス通信を可能にする標準

しかし、おそらく最も重要なことは、豊富な実世界のデータ分析を実施し、最もリスク低減に貢献するセキュリティ管理策を特定することです(そのリストは、皆さんが考えているよりも少ないかもしれません)。私たちは、長年の業界経験から、管理策の数が多ければ多いほどセキュリティが向上するとは限らないことを学んでいます。

技術的根拠

この革命のタイミングはこれ以上ないほど最適です。2030年までに世界中で572ゼタバイトに達するなど、データ作成の指数関数的な増加に企業が直面することが予測されています。2025年までに750億台のIoTデバイスが存在し、クラウド市場は2030年までに2兆4000億ドルに達すると予測されています。従来のコンプライアンスのアプローチでは、この成長に単純に追随できません。
だからこそ、私たちはこの取り組みにクラウドとAIの最新技術を活用します。そして、AIが私たちのソリューションの一部であると同時に、新たなコンプライアンス上の課題を生み出しているという皮肉な事実についても、私たちは十分に認識しています。検討しなければならないAIに関する規制、基準、フレームワークはすでに204件に達しています(Cloud Security Alliance AI Safety Initiative、2024年)。

行動を起こしましょう:革命に参加しましょう

私はこの業界に長くいるので、私たちが協力し合うことで真の変革が起こることを知っています。Compliance Automation Revolution は単なる CSA の取り組みではなく、この業界のすべての人に影響を与える課題に対する私たちの集団的な対応なのです。
トムソン・ロイターの「2023 Thomson Reuters Risk & Compliance Survey Report」によると、コンプライアンス・リスクへの対処を阻む要因のトップ3は、知識のある人材の不足、リソースの不足、企業文化の貧弱さでした。この方程式を変える必要があります。
段階的な改善の時代は終わりました。銀行を破綻させることなく、また私たちの意欲を失わせることなく、コンプライアンスが実際にセキュリティの改善を推進する未来を私たちと一緒に築きましょう。
私たちは2025年後半に「Compliance Automation Revolution」を正式に立ち上げる予定です。現在、この重要なイニシアチブの創設者になりたい先見性のある人材を募集しています。コンプライアンスの未来にどのように貢献できるか、ぜひお問い合わせください。結局のところ、最高の革命とは、私たちが共に築き上げるものなのです。

________________________________________
Jim Reavis
CEO, Cloud Security Alliance

海外に学ぶSMBのクラウドセキュリティ基礎(CSP編)AWS(2)

コメントをどうぞ

海外に学ぶSMBのクラウドセキュリティ基礎(CSP編)AWS(1)に引き続き、今回は、シンガポールサイバーセキュリティ庁のサイバーエッセンシャルズおよびサイバートラストマークに基づいて開発されたAWSユーザー向けガイドにおけるセキュリティ管理策の事例を紹介する。

スタートアップ向けに軽量化したAWSユーザー向けクラウドセキュリティガイド

前回取り上げた「サイバートラスト向けAWS クラウドコンパニオンガイド – AWSとの共同開発」(https://d1.awsstatic.com/whitepapers/compliance/CSA_Cyber_Trust_mark_certification_Cloud_Companion_Guide.pdf)(2023年10月13日公表)には、物理的制御、保守制御などのコンプライアンストピックや、ポリシー、人事管理など、組織固有の要求事項が含まれていない。これによってガイドを軽量化し、中小/スタートアップ企業のライトユーザレベルでも活用できるよう、AWSサービスのセキュリティに関する考慮事項に焦点を当てている。

本ガイドでは、以下の12ドメインを設定している。

  • B8. ドメイン:資産管理
  • B9. ドメイン:データ保護とプライバシー
  • B10. ドメイン:バックアップ
  • B12. ドメイン:システムセキュリティ
  • B13. ドメイン:ウイルス対策/マルウェア対策
  • B14. ドメイン:セキュアソフトウェア開発ライフサイクル (SDLC)
  • B15. ドメイン:アクセス制御
  • B16. ドメイン:サイバー脅威管理
  • B18. ドメイン:脆弱性評価
  • B20. ドメイン:ネットワークセキュリティ
  • B21. ドメイン:インデント対応
  • B22. ドメイン:事業継続と災害復旧

以下では、「B8. ドメイン:資産管理」(組織は、環境内に存在するハードウェアおよびソフトウェアを特定し、一般的なサイバー脅威から保護している)に絞って、マッピングされたサブドメイン([B.8.1]、[B.8.4]、[B.8.6]、[B.8.9])とそれらに関連するAWSサービスの概要およびベストプラクティスを挙げる。

[B.8.1] 組織は、環境内に存在するハードウェアおよびソフトウェアを特定し、一般的なサイバー脅威から保護している。

(関連するAWSサービス)
(1)AWS Config(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/WhatIsConfig.html

AWS Configは、AWSアカウント内のAWSリソースの構成の詳細なビューを提供する。これには、リソースが互いにどのように関連しているか、および過去にどのように構成されていたかが含まれており、構成や関係性が時間とともにどのように変化するかを見ることができる。

<AWS Configのセキュリティベストプラクティス>
•AWS Configでのデータ保護
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/data-protection.html)
•AWS ConfigのIDとアクセス管理
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-iam.html)
•AWS Configでのログ記録とモニタリング
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-logging-and-monitoring.html)
•AWS Configとインターフェイス Amazon VPC エンドポイントの使用
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-VPC-endpoints.html)
•AWS Configのインシデントへの対応
( https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/incident-response.html)
•AWS Configのコンプライアンス検証
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-compliance.html)
•AWS Configの耐障害性
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/disaster-recovery-resiliency.html)
•AWS Configのインフラストラクチャセキュリティ
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/infrastructure-security.html)
•サービス間の混乱した代理の防止
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/cross-service-confused-deputy-prevention.html)
•AWS Configのセキュリティベストプラクティス
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-best-practices.html)

(2)AWS コストと使用状況レポート(CUR)(https://docs.aws.amazon.com/ja_jp/cur/latest/userguide/what-is-cur.html)

AWSコストと使用状況レポート(AWS CUR)には、利用可能な最も包括的なコストおよび使用状況データが含まれている。

<セキュリティベストプラクティス>
•AWSコストと使用状況レポートは、AWSの使用状況を追跡し、アカウントに関連する推定料金を提供する。各レポートには、AWSアカウントで使用するAWS製品、使用タイプ、および操作の各組み合わせに対する明細項目が含まれている。

[B.8.4]組織は、ハードウェアおよびソフトウェアを機密性および/または機微度レベルに従って分類および処理するプロセスを確立し、実装している。これにより、それらが適切なセキュリティと保護を受けることを保証する。

(関連するAWSサービス)
タグ付けとTag Editor(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/tagging.html):
AWSリソースにメタデータをタグの形で割り当てることができる。各タグは、ユーザー定義のキーと値から成るラベルである。タグはリソースの管理や識別、整理、検索、フィルタリングに役立つ。リソースを目的や所有者、環境、その他の基準で分類するためにタグを作成できる。
<タグ付けのためのセキュリティベストプラクティス>
•Tag Editorでのデータ保護(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/security_data-protection.html)
•Tag Editorのアイデンティティ/アクセス管理(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/security-iam.html)
•Tag Editorでのタグ記録とモニタリング(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/security_logging-monitoring.html)
•Tag Editorのコンプライアンス検証(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/security_compliance.html)
•Tag Editorにおける耐障害性(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/security_resilience.html)
•Tag Editorのインフラストラクチャセキュリティ(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/security_infrastructure.html)

[B.8.6] 組織は、適切な、業界で認識されている資産ディスカバリーツールを確立し、実装している。これにより、ネットワークに接続されている資産をスキャンして検出し、すべての資産が安全に管理されることを保証する。

(関連するAWSサービス)
AWS Systems Manager Inventory:AWS Systems Manager Inventoryは、AWSのコンピューティング環境に対する可視性を提供する。

インベントリを使用して、管理ノードからメタデータを収集できる。このメタデータを中央のAmazon S3バケットに保存し、組み込みツールを使用してデータをクエリし、ソフトウェアを実行しているノードや、ソフトウェアポリシーによって要求される構成・更新が必要なノードを迅速に特定できる。また、複数のAWSリージョンおよびAWSアカウントからインベントリデータを構成および表示することもできる。

[B.8.9] 組織は、ハードウェアおよびソフトウェア資産を追跡して管理するために、適切な、業界で認識されている資産インベントリ管理システムの使用を確立し、実装している。これにより、正確性を確保し、見落としを避けることができる。

(関連するAWSサービス)
AWS Config:AWS Configは、AWSアカウント内のAWSリソースの構成の詳細なビューを提供する。これには、リソースが互いにどのように関連しているか、および過去にどのように構成されていたかが含まれており、構成および関係が時間とともにどのように変化するかを見ることができる。

<AWS Configのセキュリティベストプラクティス>(前掲)
•AWS Configでのデータ保護
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/data-protection.html)
•AWS ConfigのIDとアクセス管理
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-iam.html)
•AWS Configでのログ記録とモニタリング
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-logging-and-monitoring.html)
•AWS Configとインターフェイス Amazon VPC エンドポイントの使用
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-VPC-endpoints.html)
•AWS Configのインシデントへの対応
( https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/incident-response.html)
•AWS Configのコンプライアンス検証
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-compliance.html)
•AWS Configの耐障害性
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/disaster-recovery-resiliency.html)
•AWS Configのインフラストラクチャセキュリティ
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/infrastructure-security.html)
•サービス間の混乱した代理の防止
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/cross-service-confused-deputy-prevention.html)
•AWS Configのセキュリティベストプラクティス
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-best-practices.html)

AWSユーザー向けガイドとCCMv4のマッピング事例

参考までに、AWSユーザー向けガイドの「B8. ドメイン:資産管理」に対応するCCMv4コントロール項目を挙げると、以下の通りである。

・UEM-04エンドポイントのインベントリ:企業データの保存やアクセスに使う全てのエンドポイントをインベントリに保持する。
・DCS-01オフサイト機器の廃棄ポリシーと手順:組織の外部で使用される機器を安全に廃棄するためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、および維持する。機器が物理的に破壊されていない場合は、情報の回復を不可能にするデータ破壊手順が適用されるべきである。ポリシーと手順を少なくとも年1回確認して更新する。
・DCS-05資産の分類:組織のビジネスリスクに基づいて、物理的および論理的な資産(アプリケーションなど)を分類して文書化する。
・DCS-06資産のカタログ化と追跡:CSPのすべてのサイトにある関係する物理的および論理的資産を、セキュアなシステム内でカタログ化し追跡する。
・CCC-04承認されていない変更からの保護:組織の持つ資産への承認されていない追加や削除、更新、管理などを制限する。
・DSP-02セキュアな廃棄:業界で認められている方法を用いて、ストレージメディアからデータをセキュアに廃棄し、いかなるフォレンジック手段によってもデータが復元できないようにする。

なおAWSは、CSA STAR Lebel 1およびLebel 2の認証を取得しており、CSAサイト上で、Consensus Assessments Initiative Questionnaire(CAIQ)v4.0.2の質問に対する回答内容を公開している(https://cloudsecurityalliance.org/star/registry/amazon/services/amazon-web-services)。前述のAWSユーザー向けガイドの「B8. ドメイン:資産管理」に対応するCAIQ v4.0.2の質問6項目への回答内容(2024年12月16日時点)を挙げると、以下の通りである。

①質問ID:UEM-04.1
質問:使用するすべてのエンドポイントのインベントリがあり、企業データの保存やアクセスのために保持しているか?
CSA CAIQ回答:はい
SSRM Controlオーナーシップ:CSP所有
CSP実装の説明:Amazonは、業界のベストプラクティスに準じたベースラインのインフラストラクチャ基準を設定している。これには、エンドポイントのインベントリ管理が含まれる。
CSCの責任:N/A
CCM Control ID:UEM-04
CCM Control仕様:企業データの保存やアクセスに使う全てのエンドポイントをインベントリに保持する。
CCM Controlタイトル:エンドポイントのインベントリ
CCM Domainタイトル:ユニバーサルエンドポイント管理

②質問ID:DCS-01.1
質問: 組織の敷地外で使用される機器の安全な廃棄に関するポリシーと手順が設定され、文書化され、承認され、伝達され、施行され、維持されているか?
CSA CAIQ回答:はい
SSRM Controlオーナーシップ:CSP所有
CSP実装の説明: AWS サービスの提供に使用される環境は、認可された担当者によって管理され、AWS が管理するデータセンターに配置される。データセンターのメディア取扱管理は、AWS メディア保護ポリシーに従って AWS によって管理されている。このポリシーには、アクセス、マーキング、保管、輸送、および無害化に関する手順が含まれている。データセンターの安全ゾーン外に輸送されるライブメディアは、認可された担当者によって護衛される。
CSCの責任:N/A
CCM Control ID:DCS-01
CCM Control仕様:組織の敷地外で使用される機器の安全な廃棄に関するポリシーと手順を設定し、文書化し、承認し、伝達し、適用し、評価し、維持する。機器が物理的に破壊されない場合は、情報の回復を不可能にするデータ破壊手順を適用する必要がある。ポリシーと手順を少なくとも年に一度見直し、更新する。
CCM Controlタイトル:オフサイト機器廃棄ポリシーと手順
CCM Domainタイトル:データセンターセキュリティ

③質問ID:DCS-05.1
質問: 物理的および論理的資産の分類と文書化は、組織のビジネスリスクに基づいているか?
CSA CAIQ回答:はい
SSRM Controlオーナーシップ:CSP所有
CSP実装の説明: ISO 27001 規格に準拠して、AWS の資産に所有者が割り当てられ、AWS 独自のインベントリ管理ツールを使用して AWS の担当者によって追跡および監視されている。
CSCの責任:N/A
CCM Control ID:DCS-05
CCM Control仕様: 物理的および論理的資産(例:アプリケーション)を組織のビジネスリスクに基づいて分類し、文書化する。
CCM Controlタイトル:資産分類
CCM Domainタイトル:データセンターセキュリティ

④質問ID:DCS-06.1
質問:すべての CSP サイトで、関連するすべての物理的および論理的資産がカタログ化され、安全なシステム内で追跡されているか?
CSA CAIQ回答:はい
SSRM Controlオーナーシップ:CSP所有
CSP実装の説明: ISO 27001 規格に準拠して、AWS の資産に所有者が割り当てられ、AWS 独自のインベントリ管理ツールを使用して AWS の担当者によって追跡および監視されている。
CSCの責任:N/A
CCM Control ID:DCS-06
CCM Control仕様:CSPのすべてのサイトにある関連するすべての物理的および論理的資産を、安全なシステム内でカタログ化し、追跡する。
CCM Controlタイトル:資産のカタログ化と追跡
CCM Domainタイトル:データセンターセキュリティ

⑤質問ID:CCC-04
質問: 組織資産の無許可の追加、削除、更新、管理は制限されているか?
CSA CAIQ回答:はい
SSRM Controlオーナーシップ:CSP所有
CSP実装の説明: 認可されたスタッフは、データセンターフロアにアクセスするために、少なくとも 2 回の二要素認証を通過する必要がある。サーバーの場所への物理的なアクセスポイントは、AWSデータセンター物理セキュリティポリシーで定義されているように、閉回路テレビカメラ (CCTV) によって記録される。
CSCの責任:N/A
CCM Control ID:CCC-04
CCM Control仕様: 組織資産の無許可の追加、削除、更新、管理を制限する。
CCM Controlタイトル:
CCM Domainタイトル:

⑥質問ID:DSP-02.1
質問: ストレージメディアからのデータの安全な廃棄のために、情報がフォレンジック手段によって回復できないようにするために、業界で受け入れられている方法が適用されているか?
CSA CAIQ回答:はい
SSRM Controlオーナーシップ:CSP所有
CSP実装の説明:ストレージデバイスがその有効な寿命を迎えたとき、AWS の手順には、顧客データが不正な個人にさらされないようにするための廃棄プロセスが含まれている。AWS は、廃棄プロセスの一環として、NIST 800-88(”メディアの消去に関するガイドライン”)に記載されている技術を使用している。詳細については、https://aws.amazon.com/architecture/security-identity-complianceのWeb サイトを参照のこと。
CSCの責任:N/A
CCM Control ID:DSP-02
CCM Control仕様:ストレージメディアからのデータの安全な廃棄のために、情報がフォレンジック手段によって回復できないようにするために、業界で受け入れられている方法を適用する。
CCM Controlタイトル:安全な廃棄
CCM Domainタイトル:データセキュリティとプライバシーのライフサイクル管理

AWSユーザー向けガイドとISO/IEC 27001:2022のマッピング事例

また、AWSユーザー向けガイドの各ドメインとISO/IEC 27001:2022の管理策の関係については、シンガポールサイバーセキュリティ庁が、「サイバートラストとISO/IEC 27001:2022間のクロスマッピング」(https://www.csa.gov.sg/docs/default-source/our-programmes/support-for-enterprises/sg-cyber-safe-programme/20231006-cross-mapping-cyber-trust-iso27k-v202310.pdf?sfvrsn=d660e5e3_1)を公開している。

前述の「B8. ドメイン:資産管理」の中小・スタートアップ企業レベル(Supporter)に対応するISO/IEC 27001:2022附属書Aの情報セキュリティ管理策は、以下の通りである。

・A5.9 情報及びその他の関連資産の目録
・A5.10 情報及びその他の関連資産の許容される利用
・A5.23 クラウドサービスの利用における情報セキュリティ
・A7.10 記憶媒体
・A7.13 装置の保守
・A7.14 装置のセキュリティを保った処分又は再利用
・A8.10 情報の削除

参考までに、AWSユーザー向けガイドの「B9. ドメイン:データ保護とプライバシー」の中小・スタートアップ企業レベル(Supporter)に対応するISO/IEC 27001:2022附属書Aの情報セキュリティ管理策を挙げると、以下の通りである。

・サブドメインB.9.1:組織は、ビジネスにとって重要なデータ(個人データ、企業秘密、知的財産など)を特定し、その位置を特定して、保護することができるよう保証するために、 「A.3 資産:データ」に基づくサイバーエッセンシャルマークすべての要求事項を実装している。
(ISO/IEC 27001:2022の管理策)
・A5.10 情報及びその他の関連資産の許容される利用
・A5.13 情報のラベル付け
・A7.10 記憶媒体
・A7.14 装置のセキュリティを保った処分又は再利用
・A8.12 データ漏えい」防止
・A8.26 アプリケーションセキュリティの要求事項

・サブドメインB.9.2:組織は、ビジネスにとって重要なデータ(個人データ、企業秘密、知的財産など)の漏えいを報告するプロセスを定義し、適用している。また、経営陣、関連当局、関連する個人などの利害関係者が情報を得られるようにしている。
(ISO/IEC 27001:2022の管理策)
・A5.5 関係当局との連絡
・A5.24 情報セキュリティインシデント管理の計画策定及び準備
・A6.8 情報セキュリティ事象の報告

・サブドメインB.9.3:クラウドサービスを利用する組織は、データのプライバシーとセキュリティに関して、クラウドサービスプロバイダー(CSP)との間でクラウド責任共有モデルを確立し、実装している(例:組織とCSPの間における明確な役割と責任を確立するための合意)。
(ISO/IEC 27001:2022の管理策)
・A5.2 情報セキュリティの役割及び責任
・A5.10 情報及びその他の関連資産の許容される利用
・A5.20 供給者との合意における情報セキュリティの取扱い
・A5.23 クラウドサービスの利用における情報セキュリティ
・A8.12 データ漏えい防止

今回紹介したのは、シンガポールサイバーセキュリティ庁が公開しているAWSユーザー向けガイドの中小・スタートアップ企業レベル(Supporter)向け管理策の一部である。同ガイドは、シンガポール情報通信メディア開発庁(IMDA)がボストンコンサルティンググループと連携して開発した「デジタルアクセラレーションインデックス(DAI)」(https://www.imda.gov.sg/how-we-can-help/digital-acceleration-index)のデジタル成熟度指標に準拠した5つのサイバーセキュリティ対応準備段階に応じて、情報セキュリティ管理策を追加していくシナリオの下に策定されている。

  • 「Advocate」: 先導的なデジタル成熟度を有する組織、大規模組織またはそれらで活動している人/規制セクター向けのプロバイダー
  • 「Performer」: “Performer”のデジタル成熟度を有する組織、大・中堅規模組織
  • 「Promoter」: “Literate”のデジタル成熟度を有する組織、中堅・大規模組織
  • 「Practitioner」: “Starter” のデジタル成熟度を有する組織、中堅・小規模組織
  • 「Supporter」: “Starter” のデジタル成熟度を有する組織、”デジタルネイティブ”なスタートアップを含む小規模・マイクロエンタープライズ

そして、様々な情報セキュリティ管理策をマッピングする際に重要な役割を果たしているのがCSA CCM/CAIQである。このCSA CCM/CAIQを標準軸とするシンガポールのフレームワークを、日本の中小規模/スタートアップ企業のクラウドユーザーによる情報セキュリティ管理策に拡張できれば、日本発ユニコーン企業の創出支援にもつながるであろう。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司

 

 

理想的なクラウドセキュリティ運用のために – 自動化されたセキュリティ対策

コメントをどうぞ

理想的なクラウドセキュリティ運用のために -自動化されたセキュリティ対策-

2025年1月15日
クラウドセキュリティ自動化WG
株式会社マクニカ
辻 紀彦
根塚 昭憲

パブリッククラウドサービスの普及に伴い、ビジネスでの導入事例も増えています。クラウドの利用により、従来のコンピューティングでは難しかった多くの利点を享受でき、市場優位性を得た成功事例も珍しくありません。

一方で、クラウドを標的とした攻撃も顕著に増加しています。CrowdStrikeのレポートによると、クラウド環境への侵入事例は2022年から2023年にかけて75%増加しました。(※1)

こうした攻撃の手法は多岐にわたります。たとえば認証情報を盗み取って不正アクセスを試みる手法や、クラウド環境の設定ミスを悪用してデータやシステムへアクセスする手法もあります。ランサムウェアを用いてサービス内のデータを暗号化し、その復号のために身代金を要求するケースも少なくありません。

このような脅威から守るため、クラウドに対するセキュリティ管理、運用管理が組織の中で大きな課題となってきており、業界標準や組織の規定に基づいたセキュリティ運用が必要です。しかし、セキュリティ対策に過度な手間や時間がかかると、クラウド利用のメリットであるアジリティやコスト効率化が薄れてしまう可能性があります。

意外な影響としては、セキュリティを厳しくしすぎるあまり、開発者が余計な手間を避けるために会社が許可していないテナントを利用して開発を進めるといった、新たな問題も発生しています。

もちろん、自動化やAIを使わないセキュリティでは、広がり続けるセキュリティカバレッジ、攻撃スピードに対応しきれなくなることは言うまでもありません。

課題を解決するため、自動化やAIを活用し人的負担を減らしながらも、迅速で柔軟なセキュリティ対策を講じることが重要となります。最近ではAIが組み込まれた機能が急速に拡充されており、複雑なセキュリティ課題にも対応できるようになっています。これにより、経験の浅いエンジニアでも効率的な調査やセキュリティ対策を講じることが可能となり、少人数でも高い水準のセキュリティを維持できる環境が整いつつあります。

今回は、CSPM (Cloud Security Posture Management) と CWPP (Cloud Workload Protection Platform) による自動化されたセキュリティ対策を取り上げ、最近注目されている CNAPP (Cloud Native Application Protection Platform) との関係についても解説します。

同じようなソリューションにSaaS環境の設定監査を行うSSPMというソリューションもありますが、SSPMの詳細に関してはこちらを参照ください。

サイバーセキュリティ管理における包括的なアプローチのNIST Cybersecurity Framework 2.0で「特定」「防御」「検知」「対応」「復旧」「統治」のフェーズに分けられますが、今回は分かりやすくするために「予防」「防御」「対処」の3つに分割します。予防はインシデントへの備え、防御はリアルタイムな攻撃に対しての対策、対処は発生したインシデントへの対応を意味しますが、様々なセキュリティソリューションが個々のフェーズの中に存在し、それぞれが必要なセキュリティ機能を提供しています。

今回はこれらの中からクラウドセキュリティとしての主要なソリューションであるCSPM (Cloud Security Posture Management)とCWPP (Cloud Workload Protection Platform)による自動化されたセキュリティ対策について取り上げ、最終的に近年大きな注目を集めているCNAPP (Cloud Native Application Protection Platform)との関係性について見ていきます。

  • CSPM (Cloud Security Posture Management)

CSPMはセキュリティベースラインの向上を目的とした予防ソリューションとして、クラウドインフラやクラウドアカウントを対象として、セキュリティ上あるべき設定、構成に準拠しているかをチェックするコンプライアンス準拠の役割やクラウド上に存在するOSやパッケージに代表される各種オブジェクトに含まれる脆弱性の検知を担います。従来のコンピューティングでは人間の手により、チェックシートを用いたセキュリティ監査を長いスパンの中で時間をかけて定期的に実行するセキュリティ運用が主流でしたが、単一のプラットフォームを複数のメンバーやプロジェクトで共通利用するクラウドコンピューティングではその変化のスピードに追従することは困難を極めます。こうした背景を元に機械的に自動化されたセキュリティ監査ソリューションの必要性が高まったことからCSPMが開発され、現在ではその効果が高く認められています。

CSPMによって予防できる可能性のあるセキュリティリスクの例

  • 【顧客情報の漏洩】
    顧客情報を格納しているデータストレージが設定ミスによりパブリック公開されていた
  • 【クレデンシャルの盗用】
    設定不備により、仮想マシンに格納されているクレデンシャル情報(メタデータ)が外部から認証を必要とせずに閲覧できる状態になっていた
  • 【クラウドダッシュボードの侵害】
    クラウドダッシュボードへのアクセス権を持つクラウドアカウントに対してMFA(多要素認証)を設定しておらず、攻撃者によりユーザー認証を突破された

  • CWPP (Cloud Workload Protection Platform)

CWPPは稼働中のワークロードに対するリアルタイムな攻撃を防御するための最後の砦として存在し、リスクのある挙動の検知と防御を提供するランタイム保護をメインとして、WAFやAPIセキュリティによってクラウド上で稼働するアプリケーションへの攻撃を検知、防御するアプリケーション保護の役割を担います。前述のCSPMと同様にCWPPの場合も、クラウドコンピューティングで発生する変化のスピードに追従するための自動化の仕組みが組み込まれています。例えばクラウド上にデプロイされた仮想マシンやコンテナのワークロードの平常時の挙動を学習し、その学習データに逸脱するプロセスの起動、ネットワークトラフィックの発生、ファイルシステムへの書き込みが発生した場合は検知と防御が自動的に実行されるセキュリティ運用が可能です。この仕組みにより、頻繁に増減を繰り返すクラウド上のワークロードに対するセキュリティポリシーの適用を簡素化しながら、脅威に対して効果的な防御を働かせることができます。

CWPPによって予防できる可能性のあるセキュリティリスクの例

  • 【不正プロセスの実行】
    攻撃者により侵害されたコンテナ内部で仮想通貨のマイニングスクリプトが実行された
  • 【攻撃の水平展開】
    攻撃者により既に侵害された仮想マシンから同一クラウドテナント上の別の仮想マシンに対してネットワークアクセスが実行された
  • 【ファイルシステムへの不正アクセス】
    攻撃者により侵害された仮想マシンがマウントしていたデータベースのエントリが不正に書き換えられた

  • CNAPP (Cloud Native Application Protection Platform)

CNAPPはCloud Native Applicationと呼ばれる、クラウド上で稼働することを前提として作られたアプリケーションの開発から運用までの一連のライフサイクルに対しての網羅的なセキュリティソリューションを統合したもので、その中には5種類のセキュリティ機能が含まれます。CNAPPには2021年頃から注目が集まり始め、CNAPPに含まれるセキュリティ機能に準拠しようとするクラウドセキュリティソリューションが現在も増加傾向にあります。CNAPPの構成要素の中で前述したCSPMはクラウドインフラ、クラウドサービスの設定監査を担うPosture Managementに分類されるセキュリティソリューションとして存在し、CWPPはクラウド上で稼働するワークロードを保護するためのセキュリティソリューションとして位置付けられています。クラウド上で稼働するアプリケーションのライフサイクルに対して自動化されたセキュリティ機能を実装できることはライフサイクルに含まれる一連のタスクの円滑な進行を妨害することなく、効果的なセキュリティ対策を組み込むための不可欠な要素として認知されています。また、アプリケーションの開発から運用までの一連のライフサイクルのタスクをクラウドサービスを活用して実行する場合は、本記事で主要なクラウドセキュリティソリューションとして解説したCSPM、CWPPだけでなく、CNAPPに含まれる全てのセキュリティ機能を網羅的に利活用するセキュリティ運用を検討する必要があります。

  • まとめ

クラウドサービスの利活用促進が活発化する一方でセキュリティ対策の確立が大きな運用課題になっています。クラウドセキュリティの導入を検討する場合は、最低限の運用負荷で最大限の導入効果を得られるソリューションとしてセキュリティ運用の自動化が重要な鍵を握ります。本記事では理想的なセキュリティ運用を実現するために予防ソリューションであるCSPMと防御ソリューションであるCWPPを主要なセキュリティソリューションとして優先的に活用し、必要に応じてCNAPPに含まれる様々なセキュリティ機能の追加活用を検討する必要性について解説しました。パブリッククラウドサービスを活用することによる様々な利点を享受しながら、堅牢なセキュリティ機能が実装されている理想的なコンピューティングプラットフォームを実現するための参考材料になることを願っています。

参考文献

※1 参考:CrowdStrike プレスリリース https://www.crowdstrike.com/ja-jp/press-releases/2024-crowdstrike-global-threat-report-release/