MSSを活用して効果的なクラウドセキュリティ対策を
―サイバーセキュリティクラウド
クラウドセキュリティ対策においては、スキル習得や人材問題が大きな課題となっています。サイバーセキュリティクラウド(以下、CSC)のセッションでは、マネージドセキュリティサービス部 部長 兼 CloudFastener PM 小川亮氏が、「パブリッククラウドユーザー必見! 盤石なセキュリティ環境を効率的に実現する方法」と題して、現実的なクラウドセキュリティ対策手法について語りました。
昨今企業のシステムでは、AWSやMicrosoft Azure、Google Cloudといったパブリッククラウドを利用するシーンが増えましたが、一方でクラウドサービス上でのセキュリティ事故も散見されています。それを踏まえて小川氏は、クラウドセキュリティ対策における責任共有モデルに言及し、「セキュリティ対策はパブリッククラウド側で実施してくれる部分もありますが、利用する企業自身でもしっかり対策をしていかなければならないということを理解することが重要です」と訴えます。
対策方法の一例として小川氏は、AWSが公開している「AWSセキュリティ成熟度モデル」というフレームワークを紹介。「同モデルはセキュリティレベルを4段階に分けて定義しています。それを使いながら、まず自社がどのフェーズにいて、次のフェーズには何を実施していかねばならないかを可視化しながら現在の自社の対策状況を把握し、リスクコントロールしていきましょう」と説きました。
セキュリティを考えるにあたり小川氏は、「情報資産」「脅威」「脆弱性」が重なる部分にリスクが生ずると解説します。その上で対策にあたっては、「セキュリティリスクは脆弱性や脅威を起点に発生しますが、脅威はゼロにできないので、脆弱性を減らしていくことと、情報資産の重要度や価値に応じて優先順位を付けた対策をしていくことが重要になります」と説明します。
一方で顧客企業の課題としては、「クラウドのリソース(情報資産)を把握できていない」「クラウドの設定に不安がある」「IDやアクセス管理が徹底できていない」「セキュリティ人材が確保できない」「大量のアラートに対応できない」「新しい攻撃手法に追いついていかない」という6点が挙げられるとのこと。その中で、特に小川氏が問題視するのが人材問題です。「日本では、サイバーセキュリティ人材の供給が圧倒的に足りていません。そういった中で対応していかなければならないことを、各社が課題に感じています」と現状を指摘するとともに、解決策としてマネージドセキュリティサービス(MSS)の利用を推奨します。
「以前のMSSはアラートの通知くらいしか委託できませんでしたが、今ではより広い対策領域を委託できるようになっていて、自社でできない部分だけアウトソースすることもできるように進化しています。ベンダーが間に入って対策をトリアージするため、貴重なセキュリティ人材が本来実施すべき仕事に集中できるようにもなります」(小川氏)
CSCでは、「CloudFastener(クラウドファスナー)」という独自のMSSを提供しています。監視対象となるクラウドサービスはAWS、Azure、Google Cloudで、両サービスのアップデートに追従して常に最新のセキュリティ対策を実施し、1-2週間という短期間でサービスを導入できるなどの特徴を有しています。
「CloudFastenerは、SIEM(Security Information and Event Management)の監視システム的な価値と、ユーザー環境に合わせたコンサルティングという2つの価値を提供します。人手も加え、お客様の環境に必要なソリューションを提供可能です。対応領域としては、リスクの特定から防御、検知、攻撃被害に対する対応、復旧までを含めワンストップでカバーします。自社でリソースが足りない、部分対応して欲しいという両ケースに対応した利用しやすいサービス構成となっています」(小川氏)
サイバーセキュリティクラウド
マネージドセキュリティサービス部 部長 兼 CloudFastener PM
小川亮氏
CloudFastenerはAWSの認証も取得しているサービスで、企業への導入も、公開できる3社に加えて続々と進んでいるとのこと。「お客様の現在の危険度を評価するアセスメントを無償で実施しているので、まずはご相談ください」(小川氏)
セキュリティ水準が高い事業者選びで安全なクラウドサービス活用を―アシュアード
クラウドセキュリティ対策では、データを預けるクラウドサービス事業者の見極めも重要なポイントになります。アシュアードのセッションでは、セキュリティグループ ドメインエキスパート 植木雄哉氏が登壇し、「クラウド活用の落し穴:今知っておきたいインシデント事例と対策」として、企業がクラウドサービスを利用する際に利用者が実施すべき対策と、事業者選びで考慮すべきポイントを解説しました。
企業でのクラウドサービス利用が当たり前となる一方で、サービス上でのインシデントも数多く発生しています。植木氏はそこでのリスク対策を検討するにあたり、「『誰が』『どこに責任を負っているか』を理解することが必要不可欠で、そのためにはクラウドサービスにおける『ITサプライチェーン』と『責任共有モデル』を正しく理解することが必要です」と語ります。
一般企業と同様に、クラウドサービス事業者側にもサービス開発にかかわるITサプライチェーンが存在し、サービス利用者が事業者にデータを預けるように、「預託データ」という形で重要情報を預ける構造となっています。そこで押さえるべき点として植木氏は、「自社の預託情報がどこまで回っているのか理解しておくことが重要」と話します。
一方責任共有モデルに関しては、IaaS、SaaS、PaaSごとにサービス利用者と事業者の責任範囲が異なってきますが、注目すべき点として植木氏は、「どの利用形態でもデータ管理は利用者側の責任範囲となる」ことを挙げます。それを踏まえ同氏は、「クラウドサービスの利用は、データオーナーとしての責任のアウトソースではないということを理解しなければなりません」と説きます。
それらの結果として、「利用者はセキュリティ水準の高いサービスを選択し、クラウドサービスの環境に対して自社の責任範囲のもとでセキュアな設計や構築を行うことが重要です。これはもはや責任だと理解してください」と植木氏は解説します。
クラウドサービスにおけるインシデント対策として植木氏は、利用者側では「SaaSから定期的にデータを出力しておき、バックアップを取っておくこと」を挙げます。また事業者側では、「必要最小限の通信のみを許可するアクセス制御、適切なバックアップの取得、リストアテストの実施など、復旧までの時間を短くするための取り組みが必要」と定義します。
ところがアシュアードの調査では、「サービス利用終了時または利用者から指示があった時に預託データやサービス利用者が作成したデータを返却または削除できるか」という質問に、45.9%が「できない」と回答したとのこと。「つまりデータのバックアップが取れないという事なので、自社の重要業務におけるSaaS利用を一考する必要があるでしょう」と植木氏は懸念を示します。
そのような課題を解決するべく、アシュアードでは「Assured」というクラウドのリスク評価サービスを提供しています。「調査結果レポートとウェブ評価レポート、サービス概要機能を用いて、網羅的で信頼性が高いクラウドサービス評価を行います」(植木氏)
アシュアード
セキュリティグループ ドメインエキスパート
植木雄哉氏
Assuredでは、クラウドサービス事業者に対してセキュリティ対応状況の開示依頼と収集を行います。約120問の設問を投げ、設問の意図が伝わっていない場合や回答が不明確な場合は、同社のセキュリティ資格を有する専門家が事業者とやり取りを続け、対応のレベル感や非公開の場合の理由を明らかにします。それらの結果をレポートし、スコアに加えて所感やリスク項目、懸念点などを解説した状態で顧客にフィードバックします。DXとセキュリティ対策を両輪で進めていきたいという企業を中心に、リリース2年で500社以上にサービスが活用されているとのことです。
「繰り返しますが、クラウドを活用する際には、セキュリティ水準が高いサービスを利用した上で、自社でセキュアな設計・構築を行う必要があります。その際にAssuredでは、専門家がクラウドサービスのリスク評価を実施し、コミュニケーションも代替して企業の安全なクラウド活用を支援します」(植木氏)
