作成者別アーカイブ: 諸角昌宏

認証基盤のモダン化とCASBのValue

三井情報株式会社
橋本 知典

今回は、企業のデジタルトランスフォーメーション(DX)に必要な認証基盤のモダン化とCASBのValueについて説明していく。

■2025年の崖

経済産業省が2018年に公表した「DXレポート~ITシステム「2025年の崖」の克服とDXの本格的な展開~」では、DXの実現ができない場合、2025年以降最大12兆円の経済損失が生じる可能性があると推定している。2020年は新型コロナウイルスの影響でテレワークが必要になり、セキュリティ対策の不備等、企業は環境に合わせて自社のビジネスを迅速に変革しなければ生き残ることができない問題に直面した。この問題は正に「2025年の崖」問題の先触れといえる。

企業は、DXに取り組むことが求められているが、DX推進に向けた大きな課題としてレガシーシステムの刷新がある。2025年には21年以上の基幹系システムを抱える企業が6割を超える。レガシーシステムを刷新しない場合、保守切れのシステムが増え、保守運用費のコストが大きくなる。またIT人材が不足していくと予想され、多くの技術的問題を抱え、運用が困難になることが想定される。さらに、システムのサポート終了などにより、障害によるシステムトラブル、サイバー攻撃によるデータ流出等のリスクが高まる。

図1 2025年の崖

2020年12月には、経済産業省からデジタルトランスフォーメーション(DX)の加速に向けた研究会の中間報告書「DXレポート2(中間取りまとめ)」が公表された。国内223企業がDX推進状況を自己診断した結果、2020年10月時点で9割以上が未着手や一部での実施の状況であり、想定以上に進捗が悪いことが判明した。

【引用元】
DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~
https://www.meti.go.jp/shingikai/mono_info_service/digital_transformation/20180907_report.html

デジタルトランスフォーメーションの加速に向けた研究会の中間報告書『DXレポート2(中間取りまとめ)』
https://www.meti.go.jp/press/2020/12/20201228004/20201228004.html

■認証基盤のモダン化

「2025年の崖」問題に対する打開策としては、基幹系システムなどをクラウドサービスにマイグレーションすることである。クラウドサービスを活用することで、時間や手間をかけずに基幹システムを移行でき、業務標準化による生産性向上やコストの削減を容易に実現することができる。政府から「クラウド・バイ・デフォルト原則」の方針が出て、クラウドサービスの利用に主軸を置いたITモダナイゼーションが進められ、クラウドの信頼性も大幅に向上してきている現在であれば、安心して移行できるだろう。

クラウドサービスにマイグレーションした場合、IDの認証の連携先としてSAMLなどの認証プロトコルに対応した認証基盤が必要である。多くの企業は認証基盤にオンプレミスのActive Directory(AD)を利用しているが、AD単体ではクラウドサービスとの連携ができない。

また、昨今のサイバー攻撃の多様化・高度化により社内であっても安全とは言えず、オンプレミス環境は徐々にリスクが高まっている。特にランサムウェアは従来型とは変わってきており、企業に搾取した情報を公開すると脅し、高額の身代金を要求する暴露型のものが増えてきた。実際にADの乗っ取りや個人情報が漏えいした事例もある。サイバー攻撃を検知するにもオンプレミス環境では対策ソリューションの導入コストや運用負荷が大きくなる。

これらの課題に対し、認証基盤をモダン化することで解決ができる。クラウド認証基盤であれば、クラウドサービスとも連携でき、サイバー攻撃対策の強化やクラウドサービス毎のIDを一元管理することができるなど、セキュリティ面でも対策を進めることができる。また、境界ネットワークがなくなり、いつでも、どこからでも安全にシステムが利用可能になり利便性も向上する。

図2 認証基盤のモダン化

■CASBのValue

認証基盤のモダン化が進むと、基幹系システムや多くのオンプレミスのシステムがクラウドへ移行しやすくなる。そして最終的にはオンプレミスのシステムを無くすことができ、システムの全てをクラウドサービスに移行する企業も増えてくる。そこで新たな問題として、複数のクラウドサービスの管理やセキュリティが課題になる。クラウドサービスへの統一した組織のセキュリティポリシーの適用やガバナンスの強化が必要になるだろう。

CASBは企業でクラウドサービスの活用が増えるほど真価を発揮する。もしクラウドサービス毎にセキュリティ対策を個別で行った場合、コストが高額になってしまう。CASBを導入すれば複数のクラウドサービスに対し、CASBのコストのみでセキュリティ対策が可能になる。また、CASBでは一つの管理画面から連携しているクラウドサービスのポリシー設定が可能であり、統一したポリシー管理が可能である。他にも、クラウド認証基盤と連携することで、リバースプロキシアーキテクチャによりエージェントレスで、連携したクラウドサービス内のファイルダウンロードなどのアクティビティに対し、リアルタイムでセッション制御が可能になる。例えば、社給端末以外からクラウドサービスのファイルの閲覧はできるが、機密情報のファイルのダウンロードをできないように制御が行えるなど、高度な情報漏洩対策ができる。このようにコスト面・管理面・セキュリティ面でもCASBのValueはさらに上がっていくことが想定される。

以上のように、企業は「2025年の崖」問題の対策として、認証基盤のモダン化を行い、基幹システムをクラウドサービスに刷新していくことでDXを促進できるだろう。そしてクラウドセキュリティ対策として今一度CASBの活用を検討してみてはどうだろうか。

〈お断り〉
本稿の内容は著者の個人的見解であり、所属企業・団体及びその業務と関係するものではありません。

クラウドコンピューティングの進化と新たな責任共有モデル

本ブログは、Vishwas Manral, Founder and CEO at NanoSec, CSA Silicon Valley Chapter のブログ(The Evolution of Cloud Computing and the Updated Shared Responsibility、https://cloudsecurityalliance.org/blog/2021/02/04/the-evolution-of-cloud-computing-and-the-updated-shared-responsibility/)の日本語版で、著者の許可のもとに翻訳し公開するものです。原文と日本語版の内容に相違があった場合には、原文が優先されます。

 

クラウドコンピューティングは、過去10年間変化し続けてきた。このブログは、コンテナ、機能、ローコード、ノーコードの成長によるクラウド状況の変化の結果として、今までのサービスモデルがもはや十分ではないということの理由について説明する。

このブログでは、さまざまなパラダイムの責任共有モデルについても説明し、将来の方向性について検討する。

サービスモデル(SaaS, PaaS, IaaS)の背景

米国国立標準技術研究所(NIST)は、2011年に、3つのサービスモデル、4つの配備モデル、5つの主な特性で構成されるクラウドコンピューティングの定義を提供した(NIST Special Publication800-145)。

このドキュメントは、特にクラウドサービスとクラウド配備戦略を比較する際に、その標準とガイドラインを提供する手段として機能し、クラウドコンピューティングの最適な使用法のベースラインを提供することを目的とした。

3つのサービスモデルは、SaaS(Software-as-a-Service)、PaaS(Platform-as-a-Service)、IaaS(Infrastructure-as-a-service)である。これはすでに過去のことであり、モデルは新しいプラットフォームを包含するように進化する必要がある。

重要な変化の推進力としてのイノベーションとソフトウェア開発

市場に新しく差別化された価値をもたらすことは今や競争上の必要性であり、反復可能な方法でより迅速にイノベーションを実現するために最も組織化された企業が市場のリーダーとなる。企業におけるクラウドコンピューティングの配備は、成熟し、変化を遂げており、新しい価値をもたらし、ソフトウェアが変化の原動力となっている。

このことは、インフラストラクチャ層、サービス層、アプリケーション層に当てはまる。ここでは、急増するコンテナ、Kubernetes(K8s)の台頭、エッジコンピューティングの出現、サーバーレスアーキテクチャの幅広い採用を見ることができる。開発者に提供されるすべてのサービスが、より早く市場に価値をもたらすことを可能にしている。

新しいアーキテクチャを2011年のSaaS-PaaS-IaaSフレームワークに適合させようとすることは、丸い穴に四角いペグを適合させるようなものだ。

新しいサービスモデル

中核となるのは、*クラウド*責任共有モデルが、クラウドプロバイダ(Amazon Web Services、Microsoft Azure、Google Cloud Platform、あるいはより総称的にプラットフォームプロバイダ)とクラウド利用者またはアプリケーション所有者(エンタープライズおよびスタートアップ)の間の責任の明確な境界を提供する。

次の図は、さまざまなサービスモデル間における責任の違いを示している。

いくつかの重要なポイント:

徐々により多くの責任がプラットフォームプロバイダによって引き受けられ、アプリケーション所有者をアプリケーションロジック以外の責任から解放している。

右に移動していくと、プラットフォームプロバイダがより多くの責任を負うため、運用コストとオーバーヘッドが削減される。

NoCode/SaaSのようなプラットフォームになると、開発者の責任自体が縮小する。筋金入りのプログラマではない開発者という新しいレベルの台頭につながっている。

IaaS、PaaS、SaaSに加えて、それ以降に進化した新しいサービスモデルを以下に定義する。

Managed K8s as a Service (K8s-aaS)

Managed Kubernetesは、ほとんどのクラウドプロバイダによって提供されるサービスとして最も広く使用されているManaged Service Control Plane as a service(CPaaS)である。ここでは、Kubernetesコントロールプレーンはプラットフォームプロバイダによって管理され、アプリケーション所有者がオプションで提供するコントロールプレーン(別名K8sマスターノード)構成を使用する。データプレーンのライフサイクルとその管理は、アプリケーションの所有者が行う。

これは、アプリケーションにデータプレーンからの特定のニーズがある場合、追加の運用オーバーヘッドよりもコスト最適なスケールアウトが大きな考慮事項である場合、あるいはアプリケーションがマルチクラウドに移植可能なアプリケーションであることが必要な場合に最適である。

例としては、Amazon Elastic Kubernetes Service(EKS)、Azure Kubernetes Service(AKS)、Google Kubernetes Engine(GKE)がある。AWS Elastic Compute Service(ECS)は、Kubernetes以外のマネージドコントロールプレーンサービスの例である。

Container-as-a-Service (CaaS)

CaaSの場合、アプリケーションの所有者がアプリケーションコンテナを提供し、プラットフォームプロバイダがコントロールプレーンとデータプレーンの両方を管理する。つまり、アプリケーションユーザは、CPaaSによって提供されるすべての機能に加えて、サーバー(VM)、ホストOSのスケーリングとパッチ適用、サーバーの起動と停止を管理する必要がなくなる。

これらのサービスは、アプリケーションの所有者が多くのサーバー管理の責任から解放されるため、サーバレスとも呼ばれる。このサービスは、イベントドリブンアーキテクチャではなく、アプリケーションの所有者がスケールアウトのコストをあまり気にしない場合に最適である。

Containers-as-a-Service(CaaS)ソリューションの例としては、Amazon Web Services(AWS)Fargate(ECSFargateとEKSFargateの両方)、Azure Container Instances(ACI)、GoogleCloudRunなどのソリューションがある。

Function-as-a-Service (FaaS)

FaaSの場合、アプリケーションの所有者は、機能を実行するレイヤーとともにビジネスロジックを提供する。これらの機能は、サービスプロバイダによって構築、パッケージ化、および実行される。サービスコントロールプレーンとデータプレーンは、サービスプロバイダによってすべて処理される。

このサービスは、イベント駆動型のステートレスアプリケーションに最適である。

このサービスの例としては、AWS Lambda、Azure Functions、Google CloudFunctionsがある。

NoCode-as-a-Service (NCaaS)

NCaaSでは、コードロジックはアプリケーションの所有者によって提供される。サービスプロバイダは、仕様と構成からコードを生成し、ソフトウェアをビルド、パッケージ化、および実行する。

これと似ているがわずかに異なるもう1つのバージョンは、Low-Code-as-a-Service(LCaaS)である。

コーディングがほとんど必要ないため、これらのプラットフォームは、技術者でないユーザーでもアプリケーションを作成できるように設計されている。これは、今後数年間で驚異的な成長が見られ、ソフトウェア開発者の大幅な増加をもたらす。

このサービスの例としては、Azure Power Apps、Google AppSheet、AWSHoneycodeがある。

Serverless(サーバレス)

サーバレスプラットフォームを使用すると、開発者は開発と配備をより迅速に行うことができ、コンテナクラスタや仮想マシンなどのインフラストラクチャを管理しなくてもクラウドネイティブサービスに簡単に移行できる。

例:上記のモデルでは、CaaS / FaaSおよびNCaaSプラットフォームはサーバレスとして扱われる。

アプリケーションのプラットフォームの選択

次の図は、アプリケーションの所有者がサービスに使用するクラウドプラットフォームを決定する際にその方法の概要を示している。

 

まとめ

まとめると、アプリケーションの将来の展望は非常に多様で、高度にハイブリッドでマルチクラウドである。エンタープライズクラウドコンピューティングプラットフォームには、サーバレスアプリやサーバアプリ、オンプレミス、クラウドなど、さまざまなインフラストラクチャ、サービスレイヤー、APIが含まれる。

「ワンサイズですべてに対応」するモデルや経験則はない。真のクラウド方式においては、組織の変化に応じて進化するスケーラブルでセキュアな環境をサポートするための機敏で弾力的な決定が必要である。

 

SASEの登場とゼロトラストを実現するCASBのカバレッジ

タイトル:「SASEの登場とゼロトラストを実現するCASBのカバレッジ」

三井情報株式会社
橋本 知典

今回は、SASE(セキュア・アクセス・サービス・エッジ)の概要とCASBとの関係性、ゼロトラストを実現するCASBのカバレッジについて説明していく。

■CASBの現状

ガートナージャパンが日本におけるセキュリティ (デジタル・ワークプレース) のハイプ・サイクル:2020年を発表した。CASBについては幻滅期に入ったとされている。「過度な期待」のピーク期は過ぎたが、CASB市場規模は2018年頃より急拡大してきており、今後も市場は拡大していくと予想されている。今回の発表では新たにSASEとゼロ・トラスト・ネットワーク・アクセスが追加された。今回、SASEはCASBと関係性があるため紹介する。

図1 日本におけるセキュリティ (デジタル・ワークプレース) のハイプ・サイクル:2020年
出典:ガートナー

■SASEの登場

SASEはガートナー社が2019年に提唱した新しい概念である。SASEのコンセプトは包括的なネットワーク機能と包括的なネットワークセキュリティ機能をクラウド上で1つのサービスに統合し提供することである。デジタルトランスフォーメーション(DX)を推進する企業が安全にクラウドサービスにアクセスするニーズに対応している。このSASEのネットワークセキュリティ機能の中にCASBが含まれている。

今後SASEの需要が増加していき、2024年までに企業の40%がSASEの導入を計画することが予想されている。提供元、提供形態も別であったCASBやSD-WANなどのサービスが1つに統合されていくことにより、効率的な投資が可能になる。現状ではSASEの機能全体を提供できるようにベンダーが買収などを行いながら機能拡張に力を入れている段階である。企業のDX推進に向けて必要な企業ネットワークとネットワークセキュリティの新たな変革の機会をSASEは提供していくだろう。

図2 SASEとCASBの関係

■ゼロトラストを実現するCASBのカバレッジ

SASEはゼロトラストというセキュリティモデルを基にしている。ゼロトラストは「すべてのアクセスを、信頼されていないネットワークから発信されたものとして扱う」という考え方を根底にしたセキュリティモデルである。NIST(National Institute of Standards and Technology:米国立標準技術研究所)からは「SP 800-207 Zero Trust Architecture」がリリースされている。SP 800-207ではゼロトラストが誕生した背景や、ゼロトラストを実現する原則などの基本的な考え方が定義されている。このゼロトラストに照らした時のCASBのカバレッジについて確認していく。

ゼロトラストでは、全てのデータソースとコンピュータサービスは、リソースと見なされるとしている。クラウドサービスもリソースの1つとして考えられており、クラウドサービスの特定を行う際に、CASBの可視化機能が有用である。

ゼロトラストでは、ネットワークの場所に関係なく、通信を全て保護するべきとされている。CASBは境界ネットワークの内側、外側のどちらの場所であってもクラウドサービスへの通信の可視化や制御ができる。

ゼロトラストでは、リソースへのアクセスは、全て個別のセッションごとに許可し、ユーザやデバイスの評価、データの重要度を基にポリシーを決定するべきとされている。CASBはIDaaSと連携することができる。それにより複数のリスク要因に応じて、特定のクラウドサービスへのユーザのアクセスを細かくブロックできる。また、クラウドサービス内の機密性の高いコンテンツをスキャンし、リアルタイムでファイルダウンロードなどのアクティビティをブロックすることもできる。

ゼロトラストでは、組織が所有するシステム、ネットワーク、通信を監視して、安全な状態であることを確認し、セキュリティを高めていくことも重要とされている。CASBはクラウドサービスと、クラウドサービスへの通信の状態(トラフィック、詳細アクセスログ)を継続的に監視して情報を取得し、脅威を分析して通知できる。そして、対策をするために新たなポリシーを作成して適用し、セキュリティの改善を行っていくことができる。

以上のように、ゼロトラストにおいてCASBのカバレッジは広く、今後SASEが普及していく中でも中核の機能として取り扱われていくだろう。

〈お断り〉
本稿の内容は著者の個人的見解であり、所属企業・団体及びその業務と関係するものではありません。

CSAジャパン関西支部、ついにキックオフ!(後編)

CSAジャパン関西支部、ついにキックオフ!(後編)

―働き方改革/CSA Japan Summit 2019:Recap/今後の展望―

CSAジャパン運営委員 有田 仁
2019年8月29日

  • 講演プログラム報告
  • 関西支部キックオフセミナープログラムは以下3名の講師による講演で構成された。
    1. 【基調講演】「今後のデータ政策の展開とクラウドサービスの安全性評価について」

    経済産業省 商務情報政策局 情報経済課 課長補佐 関根 悠介氏

    1. 「CSAジャパン関西支部の立ち上げにあたり」

    一般社団法人日本クラウドセキュリティアライアンス 業務執行理事 諸角 昌宏

    1. 「CSA Japan Summit 2019: Recap」

    一般社団法人日本クラウドセキュリティアライアンス 運営委員 有田 仁(※本レポート筆者)

    本稿後編では、上記講演プログラム2(CSAジャパン関西支部の立ち上げにあたり)、同3(CSA Japan Summit 2019: Recap)に関する所感報告、及び関西支部の標榜する今後の展望について以下に述べる。

    1. CSAジャパン関西支部の立ち上げにあたり」(一般社団法人日本クラウドセキュリティアライアンス 業務執行理事 諸角 昌宏)

     

  • 関西支部の立ち上げにあたり、CSAジャパン事務局長/業務執行理事である諸角氏より参加者(関西ユーザー)へあらためて、グローバル団体であるCloud Security Allianceとその日本支部であるCSAジャパンについて、事業内容や各WG活動に関する詳細説明が行われた。これらの具体的な内容は下記に付したURLから公開資料を参照願うものとし、本稿ではとりわけ、スライドの締めくくりで提言された「働き方改革とCSAジャパン」と題されたテーマを取り上げたい。フォーチュン500(S&P 500)企業に関して、半世紀前の1965年時点では「約75年」であった企業の平均寿命は、近年(2015年時点)ではわずか「15年」を切っているという(図1/参考:https://bizzine.jp/article/detail/2601)。我が国のビジネス環境においても終身雇用の崩壊が叫ばれて久しいが、「働ける年数」の側面からみて、「一つの会社」に閉じず、寄りかからず、オープンな「場」で第2、第3のキャリアを考えるべき時代に突入しているといえる。もう一つの側面に、デジタル・トランスフォーメーションの推進で浮き彫りとなる「働き方改革の本質」がある。デジタル・トランスフォーメーションの進行やAIの台頭によって今後仕事のあり方は二極化し、近視眼的に単純作業に埋没する人間は淘汰され、主体的に変化へ対応し大局的に新たな価値創造を主導できる人間が求められる。

 

  • 図1:S&P500企業の平均寿命     図2:CSAジャパンWG活動Webページ
  • (出典:図1・2とも諸角昌宏氏「CSAジャパン関西支部立ち上げにあたり」より引用)

 

  • 筆者もこれらの要所は「いかに自己へ投資して時価総額を向上できるか」ということに尽きると認識している。これに対して、CSAジャパンはその解決策としての「場の提供」機能を有するものである。具体的には、個人会員や企業会員、あるいは連携会員としての立場で、図2に示す様な各種WGや勉強会・セミナー等の機会を積極利用して、同じ興味・関心をもつメンバーで幅広く自由にテーマを設定し、オープンな調査研究やディスカッションが可能である。(クラウドセキュリティに関するテーマが基本であるが、近年、クラウドにつながらないICT関連サービスは少なくなり、その安全利用上、セキュリティ確保は避けて通れない。)さらにグローバル団体である利点を生かし、英語原文ドキュメントの日本語翻訳作業や、後述するCSA Japan Summit等のイベントでの海外ゲストとの交流機会なども活動参画いただく上でのベネフィットとなろう。こうした社外コミュニティにおける所属先(企業等)の異なる多様なメンバー間の交流を通じてこそ、例えば「自身の時価総額」や「キャリアの現在地」などが客観的に明確化されうるものと考える。(本講演の公開資料は以下URLをご参照)https://www.cloudsecurityalliance.jp/site/?p=6923
    1. CSA Japan Summit 2019: Recap」(一般社団法人日本クラウドセキュリティアライアンス 運営委員 有田 仁)

     

  • 筆者より、CSAジャパン最大の恒例イベントであるCSA Japan Summit(本稿前編で既述)を取り上げ、本年度の全プログラム講演を対象にした概要紹介を逐一行った。関西地域在住のクラウドユーザーにとっては、たとえ関心をお持ちでも、これまで実際に東京会場(本稿前編で既述)まで足を運ばれることは稀であられたと推察され、それがために投影スライドに多数の会場写真(Summit各講演者の講演時の様子)を盛り込んで、少しでも会場の雰囲気がダイレクトに伝わる様努めた。なお、CSA Japan Summitは今回で6回目となるが、過去5回の開催テーマと、グローバルCEOであるJim Reavisによる基調講演テーマの変遷をスライド冒頭で示した。(図3)

図3:CSA Japan Summit開催テーマ等の変遷

クラウドサービスはこれまで、実行環境上の技術進化や開発プロセスの変化の流れにおいても、アーキテクチャー上のインフラストラクチャーあるいはプラットフォーム的な意味合いで、第一義的な位置づけを保持してきたといえる。その一方でクラウドにおけるトラスト/セキュリティの流れを考えると、「ゼロトラスト」の概念モデルに行き着く。すなわち、機密データの保管先としてクラウド移行が一層進み、IoT環境下、これに対して各ユーザーのもつ複数のデバイスからデータにアクセスされる状況では、従来の「ネットワーク型」のセキュリティから「アイデンティティ型」のセキュリティへの変更が余儀なくされるというものである(これに関しては、前述の「働き方改革の本質」にもつながるかもしれない)。クラウドのトラストで(クラウド上の機密データを守る上で)考えるべき「ゼロトラスト」の概念モデルについては、今後CSAジャパンのWG活動、勉強会、イベント機会などでも、さらなる議論と検討が深まるものと考えられる。

筆者はさらにスライドの締めくくりにおいて、次回2020年春開催を目途としたCSA Japan Summitの大阪(関西)構想と、その「ねらいどころ」を参加者へ示した。(図4)

図4:CSA Japan Summit 2020 大阪(関西)開催のねらい

2020年Summitが大阪単独開催となるか、東京・大阪並行開催となるかは未定だが、いずれにせよ、これまでのCSA Japan Summitで蓄積された様式やノウハウを踏襲しつつも、それと同時にKANSAIのカラーとオリジナリティを適切に表現するものとしたい。現段階ではテーマ検討に向けたアプローチとして大きく5つ構想している。すなわち①クラウドユーザー企業の参画促進②SMEへの導入支援と情報発信③関西地域の魅力と多様性訴求④関西ユーザーの会員化と協賛ご依頼⑤大阪・関西万博(2025年)のフォローアップ、である。(筆者の私見で)とりわけ念頭にあるものとして、関西(近畿)地域が内包する大阪・神戸・京都をはじめとした、各エリアの「多様性」や「際立った特色・個性」といった部分を、多彩な講演プログラム構成に結び付けたい。また、2025年に控える「大阪・関西万博」(開催テーマ:いのち輝く未来社会へのデザイン)が社会にもたらす影響力は巨大であり、例えば「長寿・健康」等のコンセプトをクラウドセキュリティ分野の検討課題に重ね合わせ、一体的に方向性を定めていきたい。

(本講演の公開資料は以下URLをご参照 ※本公開版では肖像権を考慮し、上述のSummit講演者関係写真を適宜差し替えている。)

https://www.cloudsecurityalliance.jp/site/?p=6928

  • 今後の展望

今回、キックオフセミナーを盛況のうちに滞りなく開催することができ、ご来場いただいた参加者(CSAジャパン会員及び非会員)のみなさま、貴重なご講演をいただいた経済産業省 商務情報政策局の関根氏、それからCSAジャパン事務局及び関西支部運営スタッフ、さらには集客面でご協力いただいた連携・関連団体の関係各位に深く感謝の意を表したい。今後も関西支部は関西地域における定例勉強会やセミナーのコンスタントな開催、またWG活動への関西メンバーの積極的参画(東京会合開催の場合、適時リモート参加を促進していきたい)等を地道に継続し、関西ネットワーク基盤の裾野拡大に努めていきたいと考える。

その一方で関西地域では、クラウドサービスやセキュリティ関連のビジネス市場、またそこで活躍できる人材等の(実働的な)リソースについて、首都圏に比較して大きな規模の開きが存在するのは否めない。さらにグローバル動向を含む業界の最新トレンド、トピック、あるいはキーマンに、直接的に触れる機会や情報入手の即時性に差分が生じているのも事実である。そのためこれらを埋める対策として、本レポート投稿を皮切りに(CSAジャパン)Webページ上での情報発信に力を入れていきたい。当面のコンテンツとして具体的には、関西支部の活動方針、勉強会・セミナー等の開催告知・レポート、関西支部イベントの新着情報、また各種WG活動状況のアウトプット(成果物含む)などがある。その延長線上に、関西オリジナルコンテンツのアイデア創出につなげ、CSAジャパンの本年度取り組み目標の一つでもある「ブログの活性化」に寄与できればと願うところである。

※本キックオフセミナー概要と講演プログラム1(基調講演:今後のデータ政策の展開とクラウドサービスの安全性評価について)について、本稿前編をご参照。

以上

SPA (Single Packet Authorization)解説

SPA (Single Packet Authorization)解説

2019年8月27日
CSAジャパン
諸角 昌宏

本ブログは、SDP(Software Defined Perimeter)の中核の技術であるSPA (Single Packet Authorization)が、どのようにゼロトラスト環境で有効であるかについて説明します。特に、インターネット上に安全なサービスを提供するため、認証が取れるまでは全てのアクセスを拒否する”Deny-ALL”が、どのように実現できているかについて説明します。

インターネットのアクセスにおける課題とSPA

リクエスト-レスポンス型であるインターネットのアクセス方法は、クライアントからのリクエストを受け取るために必ず口(ポート)を開けて待っています。これは、正しいユーザだけでなく、悪意のある人にも開いているということで、セキュリティ上の問題を引き超す可能性を高めています。悪意のある人は、ポートスキャン等を行って、インターネット上に開いているポートを探し、それに紐づくサービスを特定し、そのサービスの脆弱性を突いて攻撃を仕掛けることができます。また、開いているポートに対してSYNフラッド攻撃によりDoS/DDoS攻撃を行い、サーバを接続不能にすることができます。
このようにインターネットがもともと抱えている課題に対して、アクセスが許可されるまでは全てのポートを閉じておくという、いわゆる”Deny-All”を実現することで対処することが求められています。このための方法として、大きく以下の2つがあります:

  •  ポートノッキング
  • SPA

これらについて、以下で説明していきます。

ポートノッキング

ポートノッキングは、決められたポートを決められた順番でアクセスすることでファイアーウォールに穴を空ける仕組みです。例えば、ポート1000、2000、3000に対して順番にTCP SYNパケットを送った場合のみ、ポート22 (SSH) へのアクセスが許可されるというような設定ができる機能になります。この場合、最初の状態ではポート22は閉じられており、ポートノッキングに定義されたTCP SYNのシーケンスが来た時のみ、一定時間ポート22を開放します。クライアントは、この開放している時間内にポート22に対してアクセスすることで接続できます。これにより、通常はDeny-Allの状態を維持しつつ、決められたポート番号に決められた順番でパケットが送られてきた時のみアクセスを許可するということが実現できます。

したがって、ポートノッキングには以下のようなメリットがあります。

  • パケットはデフォルト・ドロップ
    サーバに送られてくるパケットは、デフォルトでは全てドロップすることが可能になります。つまり、Deny-allを実現できます。これにより、サーバが提供しているサービスを非可視化することができ、サービス自体を悪意のあるアクセスから保護することができます。
  • ポートスキャンしても空きポートを見つけることができない
    悪意のある攻撃者がポートスキャンを行っても、開いているポートや稼働しているサービスを見つけることができません。したがって、悪意のある攻撃が非常に困難になります。
  • DoS/DDoS攻撃を最小化できる
    ポートノッキング用のシーケンスにならないパケットは全てドロップされますので、SYNフラッド攻撃のようにもともと開いているポートに対する攻撃を行うことができなくなります。

一方、ポートノッキングには以下のようなセキュリティ上の問題があります。

  • リプレイ攻撃に弱い
    ポートノッキングに利用するパケットは、暗号化されずにそのままネットワーク上を流れます。したがって、ネットワークを盗聴し、クライアントからのパケット・シーケンスをそのまま送ることで接続できてしまいます。
  • 悪意のある第三者によるポートノック用のシーケンスの破壊
    正しいクライアントに代わってポートノック用のシーケンスの一部を送ることで、シーケンスそのものを破壊することができます。
  • IDSあるいはポートスキャンによるポートノック用のシーケンスの探索
    ポートノック用のシーケンスは一連のパケットの流れになるので探索が可能です。

SPA

SPAは、ポートノッキングの利点を持ちながら、ポートノッキングの課題に対処したものになります。” Software-Defined Perimeter: Architecture Guide”では、SDPの最も重要な要素の1つである「接続前認証(authenticate-before connect)」を実現するために、SPAを通してこれを実現していると述べています。また、このガイドでは、SPAはデバイスまたはユーザの身元を検証し、それから追加のアクセス制御を実施するシステムコンポーネント(コントローラまたはゲートウェイ)へのネットワークアクセスを許可するだけの軽量プロトコルで、これは、TCP / IPの根本的にオープンな(そして安全でない)性質を補うものとしています。SPAにより、要求者のIPアドレスを含むリクエスト情報は、単一のネットワークメッセージの中で暗号化および認証が行われ、デフォルトドロップのファイアウォールを通してサービスを見えなくすることができます。

SPAはプロトコルとして、SDP 1.0の中に仕様として記述されていますが、従わなければならないというような厳格な仕様では無いようです。したがって、SPAは実装の仕方においていくつかの異なる方法が取られています。ただし、SPAを実装するにあたっては、以下の3つの共通の原則を備えることを要求しています。

  • SPAパケットは、暗号化し、認証機能を持たなければならない。
  • SPAパケットは、必要な情報をすべて1つのパケットの中に含めなければならない。
  • SPAパケットを受け取ったサーバは、応答しないし、何も送信しない。

ここでは、SPAの実装方法を説明するにあたって、fwknopが提供するオープンソフトウエアを参照します。これは、LINUX JOURNAL Issue #156, April 2007 ” Single Packet Authorization fills the gaps in port knocking.”の内容を元にしてします。

  • SPAパケットの構成
    fwknopが用いるSPAのパケットは、以下の構成になります。

    • 16バイトのランダムデータ
    • クライアント・ユーザ名
    • クライアント・タイムスタンプ
    • fwknop バージョン
    • モード (アクセス、あるいは、コマンド)
    • アクセス (あるいは、コマンドストリング)
    • MD5 チェックサム

これらのフィールドの内容について以下に説明します:

  • 16バイトのランダムデータ、および、MD5 チェックサム
    16バイトのランダムデータを含み、パケット全体のMD5チェックサムを持つことで、1つ1つのSPAパケットが必ずユニークになることを保証します。これにより、サーバ側では、以前来たことのあるパケットと同じパケットが来た場合には、リプレイ攻撃であると判断し、接続を許可しないということができます。
  • クライアント・ユーザ名、クライアント・タイムスタンプ
    クライアント・ユーザ名、クライアント・タイムスタンプは、もう一段のレベルの認証・認可をサーバ側で行うのに用いられます。
  • fwknop バージョン
    fwknopとして、SPAのバージョン管理、特にバックワード互換性に用いられます。
  • モードとアクセス
    サーバ側に、クライアントからの要求が、サービスへのアクセスなのかコマンドの実行なのかを示します。たとえば、SPAでコネクションが許可された後、SSH(TCPポート22)のアクセスを許可するように設定できます。アクセスの場合には、アクセス・フィールドに直接ストリングを含めます。

この例を元に、SPAの特徴をまとめると以下になります:

  • Deny-Allの実現
    SPAパケットがクライアントからサーバに送られても、サーバがこれに応答することはありません。サーバは単にネットワーク上送られてくるパケットをスキャンする(たとえばlibpcapなど)だけで、SPAパケットでないものは全てドロップし、SPAパケットを受け取ると、その内容に基づいてクライアントとの接続を許可するかどうかを判断します。
  • リプレイ攻撃への対処
    上記の例では、1パケットの中に16バイトのランダムデータを含み、全体のパケットのハッシュ値を入れています。これにより、SPAパケットがユニークになることを保証します。サーバ側では、今まで来たパケットと同じパケットが来た場合には、リプレイ攻撃であると判断し、接続を許可しないということができます。
  • DDoS攻撃への対処
    Deny-Allであること、また、SPAパケットは1パケットであり、シーケンスではないことにより、DDoS攻撃の可能性を非常に下げることができます。
  • パケット・シーケンスの探索や破壊への対応
    SPAパケットは1パケットであることから、スプーフィングしたり解析したりすることが難しくなります。
  • 様々な認証情報の送信が可能
    SPAパケットの中には、様々な情報を含めることが可能なため、クライアントのユーザ名など、ユーザに対応した追加の認証等の処理が可能になります。

以上のように、SPAは、ポートノッキングのメリットを維持しつつ、課題を解決し、ゼロトラスト環境における最適なネットワーク環境を提供できるものと考えています。また、ここでは触れませんが、SDPが他に提供している機能(mTLS等)とSPAが組み合わされることにより、ゼロトラスト環境におけるさらに強固なネットワークセキュリティが提供できます。

なお、SPAは、fwknopからオープンソースとして提供されていますので、さらに理解を深めていただければと思います。

 

CSAジャパン関西支部、ついにキックオフ!(前編)

CSAジャパン関西支部、ついにキックオフ!(前編)
~キックオフセミナー概要と基調講演(データ政策とクラウド安全性評価)

CSAジャパン運営委員 有田 仁
2019年8月21日

  • はじめに

法人化から5年が経過、CSAジャパンは2019年(令和元年)度の取り組み目標の一つにWG活動等の「多拠点化へのチャレンジ」を掲げ、その第一弾として「関西支部」活動が新年度(本年6月)より本格スタートした。関西支部は、CSAジャパンの事業内容やワーキンググループ(WG)活動等に関して、関西地域における紹介や認知度向上をその活動目的とする。また関西地域のクラウドユーザーが有する潜在的交流ニーズの受け皿として、国内「面展開」の試金石となる。

図1:大阪城公園(天守閣)を一望  図2:キックオフセミナー会場

上記を受け、7月11日(木)午後より、広大な大阪城公園と壮大な天守閣を窓から眼下に一望できる(図1)、大阪ビジネスパークのクリスタルタワー20階E会議室を会場(図2)として、関西支部キックオフセミナーが開催された。当日プログラムは以下3名の講師による講演で構成された。

  1. 【基調講演】「今後のデータ政策の展開とクラウドサービスの安全性評価について」
    経済産業省 商務情報政策局 情報経済課 課長補佐 関根 悠介氏
  2. 「CSAジャパン関西支部の立ち上げにあたり」
    一般社団法人日本クラウドセキュリティアライアンス 業務執行理事 諸角 昌宏
  3. 「CSA Japan Summit 2019: Recap」
    一般社団法人日本クラウドセキュリティアライアンス 運営委員 有田 仁(※本レポート筆者)

本年は観測史上最も遅い梅雨入りとなり、あいにく当日午後の天候は小雨模様となった。それにもかかわらず、関西を地盤とするICT・電機・医療分野等の企業、監査ファーム、大学・研究機関、また官公庁関連団体などから幅広く、クラウドサービス導入やセキュリティ対策に関心をお持ちの参加者46名のご来場を得た。本稿前編では、上記講演プログラム1(基調講演:今後のデータ政策の展開とクラウドサービスの安全性評価について)に関する所感報告について以下に述べる。

  • 講演プログラム報告
  1. 【基調講演】「今後のデータ政策の展開とクラウドサービスの安全性評価について」(経済産業省 商務情報政策局 情報経済課 課長補佐 関根 悠介氏)
    本セミナーの基調講演として、経済産業省 商務情報政策局の関根氏より、データ政策とクラウドサービスの安全性評価制度の検討状況に関してご講演いただいた。これは本稿後編で述べるCSA Japan Summit 2019(本年5月15日開催/会場:東京大学伊藤謝恩ホール)の招待講演プログラムで、同省の松田洋平氏から事前に講演いただいた内容に通じ、これに近時のパブリックコメントの集約状況等をアップデートの上、関西地域のユーザーへも是非とも聴講機会を頂戴したいとの当会依頼に対し、ご快諾いただいたものである。本講演内容は2つの柱、すなわち①データ流通政策(DFFT:Data Free Flow with Trust)の展開②クラウド・バイ・デフォルト原則とクラウドサービス安全性評価制度の検討状況、からなる。
    DFFT(Data Free Flow with Trust)は、本年1月23日開催の世界経済フォーラム年次総会(ダボス会議)で日本の安倍総理により提唱された「信頼性のある自由なデータ流通」を促進するコンセプトである。すなわち国際的なデータ流通網を構築し、データの囲い込みを防止してその活用最大化を目指すものである。これは本セミナーの直前(本年6月28日・29日)に、インテックス大阪を会場に開催されたG20 Osaka Summit 2019で大阪トラック立ち上げ宣言として盛り込まれたこともあり、参加者の関心は高かった様に思われる。

    ここでの主な論点は、DFFTによる国際的なデジタル経済の成長促進とプライバシーやセキュリティの確保とのバランスをいかに図っていくかにある。これへの対策として、個人情報や知的財産等の安全性確保に向けた個人情報保護法の3年毎の見直し、現行ペナルティのあり方、外国事業者に対する法執行の域外適用や越境移転のあり方、また各国の関係法制度との相互運用性の確保等が検討されていることが説明された。

    クラウド・バイ・デフォルト原則は、2018年6月に「政府情報システムにおけるクラウドサービスの利用に係る基本方針」として採用された「クラウドサービスの利用を第一候補として政府情報システムの検討を行う」とするものである。しかしながらその一方で、適切なセキュリティ管理への懸念等から、(とりわけ)政府におけるクラウドサービス導入が円滑に進んでいない現状を鑑み、官民双方においてクラウドサービスの安全性評価の仕組みの必要性が掲げられている。また「サイバーセキュリティ戦略」(2018年7月27日閣議決定)において、政府プライベートクラウドとしての「政府共通プラットフォーム」への移行の推進が掲げられた。これらを受け、経済産業省と総務省で「クラウドサービスの安全性評価に関する検討会・WG」が2018年8月から複数回開催されるとともに、本年3月16日から4月16日にかけて、中間とりまとめ(案)のパブリックコメントが実施されている。なお同検討会WGメンバーには、当会運営委員の小川隆一氏(独立行政法人 情報処理推進機構/IPA)も名を連ねている。本評価制度は、政府調達における利⽤を第⼀に想定しつつ、民間の特に情報セキュリティ対策が重要となることが想定される重要産業分野等においても、検討結果の活用推奨が目されている。

    本講演で説明いただいた、同検討会における最新整備状況の細部について本稿で逐一再掲することは差し控えたいが、30分間用意していた質疑応答の時間帯は大いに活況を呈したことを報告させていただく。今回、中央省庁関係者からダイレクトに関西ユーザーに対して、取り組み最新状況についてお伝えいただく機会を設定できたことは幸いに思う。また、参加者からの活発な質疑に対し逐一懇切丁寧に応答いただき、セミナー後の懇親会(立食式)までお付き合いいただいた関根氏に、この場であらためて深く感謝の意を表したい。余談であるが、本セミナー開催から日を置かずに、某海外大手クラウドサービス事業者が上述の「政府共通プラットフォーム」に採用決定との報道が流れた。これに対し今後の世論において、様々な観点から議論が惹起されるであろうと予測される。
    (本講演資料は非公開)

※講演プログラム2 (CSAジャパン関西支部の立ち上げにあたり)、同3(CSA Japan Summit 2019: Recap)、及び関西支部の今後の展望について、本稿後編に続く。

以上

本当のSDPよ立ち上がれ! ~ Will the real SDP please stand up?

本ブログは、Optiv Security Inc.が公開している “Will the real SDP please stand up?” の日本語版になります。本ブログは、著者およびOptiv Security Inc.の許可を得て翻訳し、公開するものです。本ブログの内容と原文の間で相違があった場合には、原文が優先されます。


本当のSDPよ立ち上がれ!

原文: 2019年7月10日
日本語版: 2019年7月23日

Software Defined Perimeter(SDP)という用語は、ゼロトラスト(Zero Trust)モデルで安全なアクセスを提供するための新たなアジャイルな方法として最近普及してきています。SDPは、クラウドセキュリティアライアンス(CSA)によって定義された要件で、VPN /ファイアウォール/ NACの組み合わせよりも効果的で安全な方法でリモートアクセス機能を提供します。

ただし、SDPはアーキテクチャ的に異なる点があるため、多少新たな考え方が必要です。SDPは、データプレーンとコントロールプレーンを分離するネットワークの概念に基づいて作られています。これは、認証コンポーネントを拡張したポリシー決定ポイント(PDP)とポリシー実行ポイント(PEP)モデルになります。SDPの認証プロセスにおいては、「コントローラ(Controller)」はアクセスを認証するためのポリシー決定ポイントであり、「ゲートウエイ(Gateway)」はサービスへのアクセスに許可または拒否を与えるポイントになります。ゲートウェイから分離されたPDPトラフィックを使用することで、ハイブリッドクラウド環境全体でユーザーが同時にアクセスを許可される集中型のポリシーモデルと認証をサポートしているため、この機能は他のアプローチとの大きな違いになります。接続が確立され、ゲートウェイがユーザーに対して識別されると、ゲートウェイは、コントローラからの変更を定期的に確認しながら、デバイスの状態(device posture)や定義された条件に基づいてリアルタイムで決定を行うというハイブリッドな役割を果たします。これにより、コントローラが停止した場合の可用性が向上するだけでなく、障害ゾーンの分離とコントーラ/ゲートウェイのスケールアウトによりパフォーマンスも向上します。

SDPモデルは包括的で、アーキテクチャ的に異なる点があるため、従来のアクセスメカニズムやトンネリングには依存しません。つまり、SDPに加えてVPNやファイアウォールを必要とするものがあるとすれば、パフォーマンス、セキュリティ、アジリティに制限をかけるようなものであり、今日のリモートアクセスやハイブリッドクラウドにおけるワークロードの要求を満たさない可能性があります。

通信前の認証

SDPのもう1つのユニークな要素はSingle Packet Authorization(SPA)です。これは、すべてのネットワークセッションの最初のパケットで暗号化認証を要求し、許可されたクライアントだけがネットワークにアクセスできるようにします。

もともと2007年に作成されたSPAは、最初のネットワークパケットを暗号検証することで、DDoSに対する認証メカニズムを提供します。また、許可されたデバイスのみにサービスが公開されるため、エクスプロイトに対する保護も提供します。SPAで開始されていないTCPストリームはSDPによってドロップされ、コントローラまたはゲートウェイによって処理されることはないため、DDoSの影響を軽減します。SPAは、なりすまし防止や不正なデバイスによる保護されたリソースへのアクセスの防止など、DDoS防止以外の追加のセキュリティ対策を提供します。これにより、ユーザー名とパスワードが危険にさらされた場合に、資格情報を再利用する攻撃から保護されます。

SDPはどのくらい強力ですか?

2014年2月、CSAはSoftware Defined Perimeter ハッカソンのスポンサーとして、Black HatとDEFCONにSDPセキュリティを破ろうと挑戦する人のため環境を提供しました。世界全体で100億パケットを突破しましたが、攻撃は成功せず、賞品は求められませんでした。これは、SDPアプローチの長所をよく示しています。

私たちは、CSAのSDPワーキンググループに深く参加し、SDPソリューションをまとめることを経験しているSDP分野のリーダーです。ForresterとGartnerの業界調査の専門家が、今後数年間で安全なアクセス環境を大きく変えるであろうと予測しているゼロトラスト・ジャーニーにご参加ください。

原文 “Will the real SDP please stand up?” は、こちらを参照してください。

CASBWGリレーコラム第10回「CASBはデータガバナンスの登竜門となる?」

CASBはデータガバナンスの登竜門となる?

株式会社シマンテック
高岡隆佳

クラウドで活用するデータ、どこまで許可するか

企業はCASBによってマルチクラウドの利用を一元的に可視化、制御ができることは間違いないのだが、CASB製品の評価において顕著に見られるのが、「企業として取り締まるべき情報(データ)の定義があいまい」なことだ。製造業や金融機関などにおいては、いわゆる業界ごとに定められたガイドラインや、他社に漏れては困る開発・設計データなどが明確に定められているが、そうでない場合、部署ごとにデータの機密性についての捉え方が異なっているために、企業全体としての「データ取り扱い」に関するルールが設定できないことが多い。そんな中、ややフライング気味にクラウドシフトしてしまった企業は、いざCASBで情報流出対策を打とうという時に、肝心のポリシーを策定することができないのだ。

一方の欧米諸国の現状はどうなのだろうか。「訴訟大国」とも揶揄されるアメリカでは、各業種非常にコンプライアンスに厳しく、また会社では情報の取り扱いに対する教育を徹底する文化が根付いている。取引先の情報が自社から漏れることによるリスク、インパクトが明らかに日本に比べると段違いだ。それゆえに古くからDLP(情報流出対策)の導入が自然と進んでおり、「データの棚卸し」が自動化されている。(導入比率でいうと、欧米:日本=10:1ほどだ。)もちろん「どのようなデータがどこまで活用されることが許容されるか」といったデータガバナンスが根底にあるからこそだ。

よって欧米欧州ではオンプレミスに徹底されているデータ取り扱いに関するポリシー(DLPポリシー)を、自分たちが採用したクラウドに対してはCASB経由でポリシー適用するだけでよい。日本企業の大部分は、そもそもオンプレミスにしっかりとしたDLPポリシーがないのにも関わらず、CASBによりクラウド上のデータを保護しようとしても、適切なポリシーも設定できなければ、またCASBで取り締まったところでオンプレミスの端末やメール添付、ファイル転送といったデータ流出経路はまったく可視化できないため、クラウドシフト半ばの日本企業においては、情報流出対策として十分な投資効果が出るとは思えない。

CASBとクラウドの正しい利用

仮に企業としてのクラウド活用指針(データの機微度に応じたリスク対処方法を含む)を定義できたとしよう。さて、その際にどれだけの企業が機微度の高いデータをクラウドに預ける判断を取るだろうか。CASBベンダーの提供するデータ保護機能は様々だが、機微度の高いデータだからといってオンプレミスに大量にデータをかかえてしまうのであれば、結果としてオンプレミスとクラウド、運用とサーバ費用が二重投資となる。クラウドシフトに舵を切る以上は、限りなくデータをクラウドに安心して預けられる環境を構築したいところだ。

そのためにはCASBの暗号化機能を活用することをお勧めする。

特定のクラウドサービスの暗号化を用いた場合は、暗号鍵管理がほぼクラウド側になるだけでなく、複数のクラウドサービスを利用するのであれば、それぞれ個別で暗号化設定の管理が必要となり、またクラウドサービスごとにセキュリティレベルは異なるためガバナンスは効かせづらい。CASBであれば、ブローカーとしての役割を果たすことで、どのクラウドサービスにデータを転送する際も、CASB側で一意の暗号化や匿名化を施し、また鍵管理もデータを預けるクラウドサービス側とは別で一元管理、そして暗号鍵の担保が下記のように可能だ。

1.       ユーザ側は機微度に関係なくクラウドにデータを預けることが可能となる。

2.       データの機微度に応じた制御がCASBで自動実行される。(暗号化・匿名化)

3.       利用時は本人認証などを通じて透過的に暗号鍵がロードされデータ閲覧・編集が可能となる。

4.       すべてのデータアクセスはCASB管理者側で把握でき、不正な鍵要求が見られれば該当のファイルに対して鍵を破棄し、復号できないことを担保することも可能となる。(Digital Shuredding)

日本企業はどうしてもセキュリティを「止める、縛る」ことを前提に設計しがちだが、その思想ではクラウドの最大活用を阻害してしまう。しっかりとデータガバナンスを効かせつつ、透過的にリスクを排除していくためにCASBという技術は存在する。そのためには企業の中でデータ利用、クラウド利用の指針を今一度見直し、CASBの機能で担保できるリスクが何であるのかを理解した上でクラウドシフトを正しく進めていただきたい。

CASBWGリレーコラム第9回「クラウド利用者とクラウドプロバイダ:双方の言い分」

 クラウド利用者とクラウドプロバイダ:双方の言い分

CASBワーキンググループ ・リーダー
上田光一

CSAでは定期的に「クラウド利用者会議」という会合を開催している。これはクラウド利用者側の観点でクラウドに期待すること、あるいは課題などをディスカッションするもので、CSAジャパンの本ブログでも結果を議論の内容を紹介している。

先ごろ行われた会議で、どのようにクラウドプロバイダを選択すればよいかわからない、といったコメントがあった。プロバイダの公開情報や試用する中で業務への適合性は確認できるとしても、セキュリティの観点での差分が見えないというものである。

 一方、プロバイダ側コメントとして、不確定の伝聞情報で大変恐縮ながら以下のようなコメントがあったとのことであった。

  • プロバイダ側としてはセキュリティに関する情報なので非公開である
  • 仮に公開したとしても普通のユーザでは適切な判断ができるか懸念がある

 確かに利用者にとっては、クラウドを利用するに際してどのようにプロバイダのセキュリティレベルを判断すれば良いのかは課題である。利用者が自力で判断しようとするとき、プロバイダが公開しているセキュリティ情報を元にこれを行うことになるが、ここで欧米と日本で大きな違いがある。欧米のプロバイダの対応は、セキュリティ情報を積極的に公開することで利用者が判断できるようにする傾向が強い。いわゆる「透明性」を高めるということである。これは、また、セキュリティをビジネス上の差別化要因にできるという利点がある。

一方、日本のプロバイダはあまりセキュリティ情報を公開しない。どちらかというと、「セキュリティ情報を公開することはリスクを高める」という考えを持っている。取得している認証の情報を公開しているが、認証ではセキュリティの成熟度を把握することは難しい。このあたりは国内事情としてはやむを得ない印象を受ける一方で、米国はじめグローバルの事情とはかなり異なっている。

 

CSA本部のWebサイト、https://cloudsecurityalliance.org/では、以下のような情報を提供するページがある。

 CSA Security, Trust & Assurance Registry (STAR) https://cloudsecurityalliance.org/star/#_registry

 これはCSAが提唱する認証制度STARを一つの基準としつつ、STAR認証取得の有無に関わらずクラウドプロバイダ側が自社のセキュリティ対応状況を公開するページとなっている。クラウドプロバイダとしては、自社サービスの透明性と公正さをアピールする場にもなっている訳である。

一見して分かる通り米国プロバイダが圧倒的に多いのは当然としても、中国プロバイダも数多く登録されていることは興味深い。日本のプロバイダはごく僅かに留まっている。

 一例としてクラウドストレージのBoxをとってみると、以下で詳細情報が得られる。https://cloudsecurityalliance.org/registry/box/

 ここからCSAの提唱するクラウドプロバイダ向けセルフアセスメントのフレームワーク、CAIQ Consensus Assessments Initiative Questionnaire) に従って、プロバイダ自身が(このケースではBox社が)自己評価をした結果が得られる。興味のある方はぜひご一読頂きたいが、なかなかの情報量である(しかも英語)。

そうなってくると、こうした情報が得られるとしても、それを利用者が正確に判断できるのか、いわゆる利用者のセキュリティ・リテラシが問題となる。

 さてここでCASBである。

 CASB4つの柱のうち1つ目の柱である「可視性」、ここには「どのクラウドサービスを使っているか」という意味合いとともに「それはどんなクラウドサービスであるか」という観点がある。対象とするクラウドサービスがどのような種別のサービスを提供するのか、そしてどのようなセキュリティ機能を提供しているか、こういった情報を、CASBは提供する。そしてここで重要なのが、CASBはセキュリティ状況をシンプルにリスクスコアとして判定して提供してくれることということである。

例えばあるCASBでは、クラウドサービスのリスクスコアを9段階で評価してくれるため、信頼を寄せられる程度が簡単に判断できる。

 ではそれはどのような基準でスコアリングを行っているのだろうか。

 評価基準の大元としてよく使われるのが、CSAで策定しているCCMCloud Control Matrix)である。これはCSAジャパンで日本語版としてもリリースしているもので、下記からダウンロード可能である。
http://cloudsecurityalliance.jp/WG_PUB/CCM_WG/CSA_CCM_v.3.0.1-03-18-2016_ISO_J_Pub.pdf
(注: なお、ここで公開している日本語CCMControlの翻訳部分のみである。CCM全体のEXCEL版は、現在CSAジャパン会員のみが利用可能となっている。)

 最新版のv3.0.1では、16ドメイン、133項目からなっていて、例えば以下のような項目がある。

  • カテゴリ:データセンタセキュリティ
  • 項目:コントロールされたアクセスポイント
  • 説明:機微なデータ及び情報システムを保護するために、物理的なセキュリティ境界(フェンス、壁、柵、警備員、ゲート、電子的監視、物理的認証メカニズム、受付デスク、安全パトロールなど)を実装しなければならない。

 例1)

  • カテゴリ:暗号化と鍵管理
  • 項目:権限付与
  • 説明:鍵には識別可能な所有者が存在し(つまり鍵とアイデンティティが紐付いていること)、また(組織には)鍵管理ポリシーがなくてはならない。

 例2)

  • カテゴリ:脅威と脆弱性の管理
  • 項目:脆弱性 / パッチ管理
  • 説明:(長いので省略。ぜひCCMをご参照ください)

 CASBベンダはこういった情報を前述のCAIQやクラウドプロバイダのWebサイトによる公開情報などから入手する。公開情報がない場合は、個別にクラウドプロバイダに問い合わせることもする。クラウドプロバイダから回答が得られない場合は、その状況を踏まえCASBベンダが独自に判定することになる。

またスコアリング項目は必ずしもCCMと完全一致という訳でなく、CASBベンダ自身による重みづけや独自観点も加味する形で算出されている。また重みづけについてはユーザによるカスタマイズ機能を提供しているCASBもある。

 各クラウドプロバイダのセキュリティ対応状況も刻々変化する一方、クラウドプロバイダもサービスの数自体も増加していくので、CASBベンダはこういった状況にも追随して対応している。特定のクラウドサービスが登録されていない場合は、リクエストにより追加登録対応してもらえる。

 CASBベンダはこのような取り組みを通して、クラウドプロバイダやサービスごとのセキュリティ対応状況データベースを日夜更新しており、今や登録サービス数30,000に迫るデータベースを保持するCASBベンダもある。

従来国産クラウドサービスについては対応サービスが限られる状況があったが、対応数も順調に増加しているようである。

組織によっては申請ベースでクラウド利用を個別に許可する運用を行っていることも多いと思うが、さらに個別に個々のクラウド利用審査のための調査が大変だ、という声を聞くこともある。クラウドを使いたいのに選択の判断情報がない、あるいは調査のための労力が無視できない。これをCASBのリスク判定で代替してしまう。これは一つの有効なCASB活用事例と言えそうである。

 しかしながらそれ以上にこういったリスク評価基準の策定フェーズにおいては、企業のクラウド活用における根本命題、すなわち「企業としてどのような観点でクラウドを活用していくか」という点に向き合うこととなる。これは企業のクラウド活用戦略を立てる良い機会となるだろう。

 CASBという存在の登場により、ユーザ企業、クラウドプロバイダの相互理解が進むこと、ひいてはユーザ企業におけるクラウド活用の進展、そして生産性向上とともに社会の発展つながる、こういった流れをCSACASB-WGとしても独自の立場から応援していきたいと考えている。

 

CASBWGリレーコラム(第8回)「クラウドサービス利用のモニタリングとラベリング」

クラウドサービス利用のモニタリングとラベリング

CASBワーキンググループ
渡辺 慎太郎(個人会員)

いわゆるシャドーIT対策機能を有するCASBを組織で導入すると、その組織内で利用されているクラウドサービスが一覧化されるとともに、利用状況が可視化されます。

あまりにたくさんのサービスが可視化されてしまい、途方に暮れてしまうかもしれません。なすべきは、可視化された各クラウドサービスにラベルを付けることです。たとえばオペレーションの観点から、「社内標準」「全社許可」「一部許可」「不許可」「判定中」「対象外」などと分けます。なぜ「対象外」があるのかというと、CASBがクラウドだと判定していても、そうとは考えられないサイトが存在するからです。

「社内標準」はいいとして、「全社許可」「一部許可」「不許可」の判断が難しいかもしれません。これは、その組織のリスク許容度に依存するからです。ここでは、クラウドサービスを通じた従業員による情報の持ち出しを脅威シナリオとして想定し、方針決定の一例をご紹介します。

方針決定の際に使える変数は、主に3種類に分かれます。それは、主体(誰が使うのか)・対象(どんな情報を取り扱うのか)・環境(サービス自身は信頼におけるか)です。

理念的には、対象(どんな情報を取り扱うか)によって方針を定めるべきです。極秘の新製品情報と一般的な社外秘情報とを同列に扱うべきではありません。ただし実運用上は、対象による方針決定はモニタリングを困難にします。通信の中身を追わなければならなくなるからです。

そこで実践的には、主体に沿って方針を決定します。業務分掌が確立していれば、組織によって取り扱う情報が大まかに決まりますから、ある程度の近似になります。ただし、CASBが取得するネットワーク機器(Webプロキシーなど)のログからはアカウント名しか分からないでしょうから、組織と紐づけるためにActive Directoryなどのディレクトリーサービスと情報連携する必要があります。

L7まで見られる高機能ファイアウォールを使ってセキュリティゾーンを定義しているなら、その分類を活用するのが最善です。その際にはユーザーやセキュリティグループ単位で各ゾーンのアクセス制御を行っているでしょうから、それをクラウドサービスにも準用するのです。そうすれば、社内ネットワークと一貫性のある方針になります。

可視化されたサービスのラベリングが完了したら、定常運用に入ります。日次でモニタリングして新たに観測されたサービスをラベリングし、届け出のないサービス利用を発見したら正規手続きを促します。

最後に1点、注意すべき点があります。それは、CASBがクラウドサービスだと認識していないSaaS/ASPが、我が国にはたくさんあることです。届出制を採用している場合には、届けられたサービスがCASBに載っているかどうかをチェックし、載っていない場合には照会する手続きが発生します。CASBによってはアップロードのバイト数からSaaS/ASP候補を出力する機能がありますので、その機能を使って能動的に発見することもできるかもしれません。

〈お断り〉

本稿の内容は著者の個人的見解であり、所属企業・団体及びその業務と関係するものではありません。