理想的なクラウドセキュリティ運用のために -自動化されたセキュリティ対策-

２０２５年1月15日
クラウドセキュリティ自動化WG
株式会社マクニカ
辻 紀彦
根塚　昭憲

パブリッククラウドサービスの普及に伴い、ビジネスでの導入事例も増えています。クラウドの利用により、従来のコンピューティングでは難しかった多くの利点を享受でき、市場優位性を得た成功事例も珍しくありません。

一方で、クラウドを標的とした攻撃も顕著に増加しています。CrowdStrikeのレポートによると、クラウド環境への侵入事例は2022年から2023年にかけて75%増加しました。（※1）

こうした攻撃の手法は多岐にわたります。たとえば認証情報を盗み取って不正アクセスを試みる手法や、クラウド環境の設定ミスを悪用してデータやシステムへアクセスする手法もあります。ランサムウェアを用いてサービス内のデータを暗号化し、その復号のために身代金を要求するケースも少なくありません。

このような脅威から守るため、クラウドに対するセキュリティ管理、運用管理が組織の中で大きな課題となってきており、業界標準や組織の規定に基づいたセキュリティ運用が必要です。しかし、セキュリティ対策に過度な手間や時間がかかると、クラウド利用のメリットであるアジリティやコスト効率化が薄れてしまう可能性があります。

意外な影響としては、セキュリティを厳しくしすぎるあまり、開発者が余計な手間を避けるために会社が許可していないテナントを利用して開発を進めるといった、新たな問題も発生しています。

もちろん、自動化やAIを使わないセキュリティでは、広がり続けるセキュリティカバレッジ、攻撃スピードに対応しきれなくなることは言うまでもありません。

課題を解決するため、自動化やAIを活用し人的負担を減らしながらも、迅速で柔軟なセキュリティ対策を講じることが重要となります。最近ではAIが組み込まれた機能が急速に拡充されており、複雑なセキュリティ課題にも対応できるようになっています。これにより、経験の浅いエンジニアでも効率的な調査やセキュリティ対策を講じることが可能となり、少人数でも高い水準のセキュリティを維持できる環境が整いつつあります。

今回は、CSPM (Cloud Security Posture Management) と CWPP (Cloud Workload Protection Platform) による自動化されたセキュリティ対策を取り上げ、最近注目されている CNAPP (Cloud Native Application Protection Platform) との関係についても解説します。

同じようなソリューションにSaaS環境の設定監査を行うSSPMというソリューションもありますが、SSPMの詳細に関してはこちらを参照ください。

サイバーセキュリティ管理における包括的なアプローチのNIST Cybersecurity Framework 2.0で「特定」「防御」「検知」「対応」「復旧」「統治」のフェーズに分けられますが、今回は分かりやすくするために「予防」「防御」「対処」の３つに分割します。予防はインシデントへの備え、防御はリアルタイムな攻撃に対しての対策、対処は発生したインシデントへの対応を意味しますが、様々なセキュリティソリューションが個々のフェーズの中に存在し、それぞれが必要なセキュリティ機能を提供しています。

今回はこれらの中からクラウドセキュリティとしての主要なソリューションであるCSPM (Cloud Security Posture Management)とCWPP (Cloud Workload Protection Platform)による自動化されたセキュリティ対策について取り上げ、最終的に近年大きな注目を集めているCNAPP (Cloud Native Application Protection Platform)との関係性について見ていきます。

• CSPM (Cloud Security Posture Management)

CSPMはセキュリティベースラインの向上を目的とした予防ソリューションとして、クラウドインフラやクラウドアカウントを対象として、セキュリティ上あるべき設定、構成に準拠しているかをチェックするコンプライアンス準拠の役割やクラウド上に存在するOSやパッケージに代表される各種オブジェクトに含まれる脆弱性の検知を担います。従来のコンピューティングでは人間の手により、チェックシートを用いたセキュリティ監査を長いスパンの中で時間をかけて定期的に実行するセキュリティ運用が主流でしたが、単一のプラットフォームを複数のメンバーやプロジェクトで共通利用するクラウドコンピューティングではその変化のスピードに追従することは困難を極めます。こうした背景を元に機械的に自動化されたセキュリティ監査ソリューションの必要性が高まったことからCSPMが開発され、現在ではその効果が高く認められています。

CSPMによって予防できる可能性のあるセキュリティリスクの例

• 【顧客情報の漏洩】
  顧客情報を格納しているデータストレージが設定ミスによりパブリック公開されていた
• 【クレデンシャルの盗用】
  設定不備により、仮想マシンに格納されているクレデンシャル情報(メタデータ)が外部から認証を必要とせずに閲覧できる状態になっていた
• 【クラウドダッシュボードの侵害】
  クラウドダッシュボードへのアクセス権を持つクラウドアカウントに対してMFA(多要素認証)を設定しておらず、攻撃者によりユーザー認証を突破された

• CWPP (Cloud Workload Protection Platform)

CWPPは稼働中のワークロードに対するリアルタイムな攻撃を防御するための最後の砦として存在し、リスクのある挙動の検知と防御を提供するランタイム保護をメインとして、WAFやAPIセキュリティによってクラウド上で稼働するアプリケーションへの攻撃を検知、防御するアプリケーション保護の役割を担います。前述のCSPMと同様にCWPPの場合も、クラウドコンピューティングで発生する変化のスピードに追従するための自動化の仕組みが組み込まれています。例えばクラウド上にデプロイされた仮想マシンやコンテナのワークロードの平常時の挙動を学習し、その学習データに逸脱するプロセスの起動、ネットワークトラフィックの発生、ファイルシステムへの書き込みが発生した場合は検知と防御が自動的に実行されるセキュリティ運用が可能です。この仕組みにより、頻繁に増減を繰り返すクラウド上のワークロードに対するセキュリティポリシーの適用を簡素化しながら、脅威に対して効果的な防御を働かせることができます。

CWPPによって予防できる可能性のあるセキュリティリスクの例

• 【不正プロセスの実行】
  攻撃者により侵害されたコンテナ内部で仮想通貨のマイニングスクリプトが実行された
• 【攻撃の水平展開】
  攻撃者により既に侵害された仮想マシンから同一クラウドテナント上の別の仮想マシンに対してネットワークアクセスが実行された
• 【ファイルシステムへの不正アクセス】
  攻撃者により侵害された仮想マシンがマウントしていたデータベースのエントリが不正に書き換えられた

• CNAPP (Cloud Native Application Protection Platform)

CNAPPはCloud Native Applicationと呼ばれる、クラウド上で稼働することを前提として作られたアプリケーションの開発から運用までの一連のライフサイクルに対しての網羅的なセキュリティソリューションを統合したもので、その中には5種類のセキュリティ機能が含まれます。CNAPPには2021年頃から注目が集まり始め、CNAPPに含まれるセキュリティ機能に準拠しようとするクラウドセキュリティソリューションが現在も増加傾向にあります。CNAPPの構成要素の中で前述したCSPMはクラウドインフラ、クラウドサービスの設定監査を担うPosture Managementに分類されるセキュリティソリューションとして存在し、CWPPはクラウド上で稼働するワークロードを保護するためのセキュリティソリューションとして位置付けられています。クラウド上で稼働するアプリケーションのライフサイクルに対して自動化されたセキュリティ機能を実装できることはライフサイクルに含まれる一連のタスクの円滑な進行を妨害することなく、効果的なセキュリティ対策を組み込むための不可欠な要素として認知されています。また、アプリケーションの開発から運用までの一連のライフサイクルのタスクをクラウドサービスを活用して実行する場合は、本記事で主要なクラウドセキュリティソリューションとして解説したCSPM、CWPPだけでなく、CNAPPに含まれる全てのセキュリティ機能を網羅的に利活用するセキュリティ運用を検討する必要があります。

• まとめ

クラウドサービスの利活用促進が活発化する一方でセキュリティ対策の確立が大きな運用課題になっています。クラウドセキュリティの導入を検討する場合は、最低限の運用負荷で最大限の導入効果を得られるソリューションとしてセキュリティ運用の自動化が重要な鍵を握ります。本記事では理想的なセキュリティ運用を実現するために予防ソリューションであるCSPMと防御ソリューションであるCWPPを主要なセキュリティソリューションとして優先的に活用し、必要に応じてCNAPPに含まれる様々なセキュリティ機能の追加活用を検討する必要性について解説しました。パブリッククラウドサービスを活用することによる様々な利点を享受しながら、堅牢なセキュリティ機能が実装されている理想的なコンピューティングプラットフォームを実現するための参考材料になることを願っています。

参考文献

※1 参考：CrowdStrike プレスリリース　https://www.crowdstrike.com/ja-jp/press-releases/2024-crowdstrike-global-threat-report-release/