クラウドアプリケーションセキュリティ

クラウドアプリケーションセキュリティとは

クラウドアプリケーションセキュリティは、開発ライフサイクル全体を通じてクラウドベースのソフトウェアアプリケーションを保護するプロセスです。これには、クラウドベースのすべてのアセットの可視性を維持して、クラウドベースのアプリケーションをサイバー攻撃から保護し、許可されたユーザーのみにアクセスを制限するためのアプリケーションレベルのポリシー、ツール、テクノロジー、ルールが含まれています。

クラウドアプリケーションセキュリティは、Amazon、Microsoft、Googleなどのサードパーティのクラウドプロバイダーによってホストされるマルチクラウド環境で運用している組織や、Slack、Microsoft Teams、Boxなどのコラボレーション型Webアプリケーションを使用する組織にとって極めて重要です。これらのサービスやアプリケーションは、企業とその従業員にとって本質的な変革をもたらしますが、攻撃対象領域が劇的に拡大するため、攻撃者がネットワークに侵入して攻撃を発動するための多くの新しいアクセスポイントも生み出します。

組織にクラウドアプリケーションセキュリティが必要な理由

近年、多くの組織がDevOpsと呼ばれるアジャイルソフトウェア開発プロセスを採用しています。このアプローチは、従来のソフトウェア開発とIT運用を組み合わせて、開発ライフサイクルを加速し、新しいソフトウェアアプリケーションを迅速にリリースします。

しかし、従来のネットワーク、アプリケーション、インフラストラクチャのセキュリティ対策では、通常、クラウドベースのアプリケーションは保護されないため、開発中に多くのサイバー攻撃に対して脆弱になります。

特にソフトウェア開発プロセスの一環としてクラウドを活用している組織では、アプリケーションレベルを標的とするものなど、クラウド環境内で拡大する一連の脅威やますます巧妙化する攻撃から保護するために、包括的なクラウドセキュリティソリューションを設計して実装する必要があります。

PenChecks Trustがクラウドストライクを活用して、セキュリティ、コンプライアンス、標準的基準のセキュリティポリシーを強化しながら、セキュリティの一貫性をどのように達成したかをご確認ください。[/epp-cta]

クラウドアプリケーションセキュリティのフレームワーク

クラウドアプリケーションセキュリティのフレームワークは、次の主要コンポーネントで構成されています。

1. CSPM（クラウドセキュリティポスチャ管理）は、設定ミス、コンプライアンスとガバナンス、コントロールプレーンの保護に重点を置いています。
2. CWPP（クラウドワークロード保護プラットフォーム）は、クラウドコンテナのランタイム保護と継続的な脆弱性管理を統括します。
3. CASB（クラウドアクセスセキュリティブローカー）は、どのユーザーがデータにアクセスして、どのようにデータを使用しているかなど、エンドポイント全体の可視性を向上させます。

CSPM、CWPP、CASBは、クラウド内のデータとクラウドへのアクセスを保護する3本柱です。組織は、クラウドセキュリティインフラストラクチャを最適化するために、これら3つのセキュリティ手法をすべて展開することをお勧めします。

CSPM、CWPP、CASBの詳細

CSPM（クラウドセキュリティポスチャ管理）

CSPMは、IaaS（サービスとしてのインフラストラクチャ）、SaaS（サービスとしてのソフトウェア）、PaaS（サービスとしてのプラットフォーム）など、クラウドインフラストラクチャ全体のリスクの特定と修復を自動化します。

CSPMは、リスクの可視化と評価、インシデント対応、コンプライアンス監視、DevOps統合に使用され、クラウドセキュリティのベストプラクティスを、ハイブリッド、マルチクラウド、コンテナ環境に一律に適用できます。

CSPMは、コンプライアンスの継続的な監視、設定ドリフト防御、セキュリティオペレーションセンター (SOC) 調査を提供します。CSPMは、インフラストラクチャの現在の状態を監視するだけでなく、インフラストラクチャの望ましい状態を定義するポリシーも作成し、すべてのネットワークアクティビティがそのポリシーに従うようにします。

CSPMはクラウド環境専用に構築されており、ワークロードだけでなく環境全体を評価します。CSPMには、高度な自動化と人工知能、ガイド付きの修復も組み込まれているため、ユーザーは問題があることを把握できるだけでなく、それを修正する方法のアイデアも得られます。

第1世代のCSPMであるクラウドインフラストラクチャセキュリティポスチャ評価 (CISPA) を導入している組織もあります。CISPAは主にレポート作成に重点を置いていますが、CSPMには、簡単なタスク実行から人工知能の高度な使用まで、さまざまなレベルの自動化が含まれています。

CWPP（クラウドワークロード保護プラットフォーム）

CWPP（クラウドワークロード保護プラットフォーム）は、あらゆる場所ですべてのタイプのワークロードを保護し、複数のプロバイダーにわたって、統一されたクラウドワークロード保護を提供します。CWPPは、最新のインフラストラクチャのニーズに合わせて適用された脆弱性管理、マルウェア対策、アプリケーションセキュリティなどのテクノロジーに基づいています。

CASB（クラウドアクセスセキュリティブローカー）

CASB（クラウドアクセスセキュリティブローカー） は、クラウドサービスプロバイダーとクラウドサービスの顧客の間に配置されるセキュリティ強化ポイントです。CASBは、トラフィックがポリシーに準拠していることを確認してから、ネットワークへのアクセスを許可します。通常は、ファイアウォール、認証、マルウェア検知、データ損失防止を提供します。

クラウドアプリケーションセキュリティの脅威

クラウドアプリケーションは、システムの設定ミス、脆弱なアイデンティティ管理対策、安全でないAPI、パッチが適用されていないソフトウェアを悪用する可能性のあるさまざまな脅威に対して脆弱です。ここでは、組織がクラウドアプリケーションのセキュリティ戦略とソリューションを開発する際に考慮すべき、最も一般的な脅威のいくつかを確認します。

設定ミス

設定ミスは、クラウドとアプリケーションのセキュリティの両方における最大の脅威です。これらのエラーには、ポートを開いたままにする、S3バケットの設定の誤り、安全でないアカウントやアプリケーションプログラミングインターフェース (API) の使用などがあります。これらのエラーは、クラウドワークロードを、単純なWebクローラーで簡単に発見できる明白な標的に変えてしまいます。クラウドには、境界セキュリティがないため、こうしたミスは非常に大きなコストを伴う可能性があります。公表された複数の侵害は、エントリポイントとして使用されたS3バケットの設定ミスから始まりました。

多くのアプリケーションセキュリティツールでは手動設定が必要なため、このプロセスでエラーが多発し、セットアップと更新にかなりの時間がかかる可能性があります。これを解決するには、組織はセキュリティツールとテクノロジーを採用し、設定プロセスを自動化する必要があります。

セキュアでないAPI

APIは、多くの場合、組織においてパブリックIPアドレスを持つ唯一のアセットです。そのため、特にアクセス制御や暗号化方式が不十分で安全でない場合は、攻撃者の標的にされやすくなります。

不十分な可視性と脅威検知

クラウドへの移行は、多くの組織にとって比較的最近の出来事です。これは、マルチクラウド環境で安全に操作するために必要なセキュリティ成熟度を多くの企業が達成していない可能性があることを意味します。

例えば、脆弱性スキャナの中には、動的クラスター内のコンテナなど、すべてのアセットをスキャンしないものもあります。また、実際のリスクと通常の操作を区別できず、ITチームの調査対象となる誤ったアラームが多く発生するケースもあります。

このようなケースでは、組織はすべてのクラウドアプリケーション、ワークロード、その他のアセットをインベントリ化して監視するためのツール、テクノロジー、システムを開発する必要があります。さらに、攻撃対象領域を限定するために、企業で必要とされていないアセットを取り除く必要があります。

「責任共有モデル」(ランタイム脅威）の誤解

クラウドネットワークは、「責任共有モデル」と呼ばれるものに準拠しています。つまり、基盤となるインフラストラクチャの多くはクラウドサービスプロバイダーによって保護されています。ただし、組織はオペレーティングシステム、アプリケーション、データなど、他のすべての責任を負います。残念ながら、この点が誤解され、クラウドのワークロードがクラウドプロバイダーによって完全に保護されているという思い込みにつながることがあります。その結果、ユーザーは自覚がないままに完全に保護されていないワークロードをパブリッククラウドで実行することになり、攻撃者にオペレーティングシステムとアプリケーションを標的にしたアクセスを許すことになります。安全に構成されたワークロードでさえ、ゼロデイエクスプロイトに対して脆弱であるため、ランタイムが標的になる可能性があります。

 シャドーIT

シャドーIT（企業のIT部門に知られずにアプリケーションやインフラストラクチャが運用および活用されていること）は、クラウド環境におけるもう1つの大きな問題となっています。多くの場合、DevOpsは、ワークロードやコンテナなどのアセットをクラウド上で導入または利用する際の障壁が非常に低いため、この問題を引き起こす一因となるケースも少なくありません。開発者であれば、個人アカウントを使用してワークロードを簡単に生成できます。こうした無許可のアセットは、適切に保護されていないことや、デフォルトのパスワードと構成によってアクセスできることが多く、容易に侵害される得るため、環境にとっては脅威となります。

包括的なクラウドセキュリティ戦略の欠如

ワークロードをクラウドに移動する際に、管理者は、プライベートまたはオンプレミスのデータセンターでサーバーを保護するのと同じ方法で、アセットを保護し続けようとします。しかし、従来のデータセンターのセキュリティモデルはクラウドには適していません。今日の巧妙な自動化された攻撃では、高度な統合セキュリティのみが侵害を正常に防ぐことができます。統合セキュリティでは、マルチクラウド環境、組織のデータセンター、モバイルユーザーなど、IT環境全体を保護する必要があります。組織全体にわたる完全な可視性ときめ細かい管理を提供する一貫した統合アプローチを使用すれば、軋轢を緩和して、業務の混乱を最小限に抑え、組織が安全かつ自信を持ってクラウドを採用できるようになります。

クラウドストライクのクラウドアプリケーションセキュリティのベストプラクティス

組織は、クラウドアプリケーションに関連するものも含め、クラウド環境内で拡大する一連の脅威やますます巧妙化する攻撃から保護するために、包括的なセキュリティソリューションを設計して実装する必要があります。そのためには、クラウドセキュリティ戦略が次の原則に従っている必要があります。

1. 攻撃者に焦点を当てる

クラウドを含むセキュリティのすべての分野で、攻撃者とその手口を理解することが重要です。つまり、相手が誰であるか、何を望んでいるか、それを手にするために攻撃者は何を達成する必要があるか、そして、それが攻撃対象領域にどのようにマッピングされるかを理解することです。 CrowdStrikeは、攻撃者の多くがクラウドのみならず他のIT環境でも活動していることを確認しています。

違いは、クラウドが攻撃側に新しい戦術、技術、手順（TTP）を使用する機会を提供する点です。

 2. リスクにさらされる度合いを低減する

クラウドベースのすべてのアプリケーションやワークロードは、組織の攻撃対象領域を拡大するものであり、攻撃者の予備軍にとって多くの侵入経路を生み出しています。

リスクにさらされる度合いを低減する方法として、主に次の2つがあります。

1. すべてのクラウドアプリケーション、ワークロード、その他のアセットのインベントリを管理することで、クラウド環境全体の可視性を高めます。
2. 業務に不要なアプリケーションやワークロードを継続的に検索して削除することで、攻撃対象領域を制限します。

 3. クラウドセキュリティポリシー、フレームワーク、アーキテクチャを開発して実装する

一貫性のあるクラウドセキュリティポリシーを開発して適用し、クラウドベースのすべてのアセットの継続的なセキュリティを確保します。これらのポリシーでは、アプリケーションにアクセスできるユーザーを定義し、多要素認証 (MFA) やIAM（アイデンティティおよびアクセス管理）方式などの高度なセキュリティ対策を使用して、アクセスの認証方法、およびアクセス権の付与方法を定義します。

組織は、ネットワークセキュリティ、インフラストラクチャセキュリティ、エンドポイントセキュリティ、クラウドセキュリティなど、サイバーセキュリティのすべての要素を統合する包括的なセキュリティ戦略を策定する必要もあります。クラウドセキュリティアーキテクチャは、データ保護、監視と可視性、脅威の検知、クラウドガバナンス、関連する規制へのコンプライアンス、インフラストラクチャの物理コンポーネントに設定されたセキュリティ対策など、インフラストラクチャのいくつかの重大な側面に対処する必要があります。

4. 攻撃対象領域を監視する

必要な攻撃対象領域の可視性を向上させる方法を常に模索することは重要です。これにより、攻撃者が隠れにくくなり、攻撃にかかるコストも上昇します。

このアプローチは、すべてのクラウドワークロードとコンテナにCrowdStrike Falcon®を展開すること、およびCrowdStrike Falcon® OverWatch™チームを採用して24時間365日体制で脅威をプロアクティブにハンティングすることから構成されます。さらに、クラウドストライクは、特定のクラウドネイティブの攻撃の痕跡 (IOA) を使用して、機械学習 (ML) パターンを分析し、自由な脅威ハンティングを実行して、クラウドストライクのクラウドワークロードとコントロールプレーン内の攻撃者によるハンズオンキーボードアクティビティに目を光らせます。

このレベルの可視性とプロアクティブな脅威ハンティングにより、CrowdStrikeは、攻撃者が特定のS3バケットの存在を調査していたインシデントなど、微かで感知できない程の動作を驚くほど正確に検知できます。 これらのバケットは一般公開されておらず、ブルートフォースを使用できないように名前が付けられていたため、CrowdStrikeのアナリストは、攻撃者がS3バケットのリストを取得できた方法を調査する必要がありました。

膨大な調査の結果、CrowdStrikeのインテリジェンスソースは、攻撃者が複数のパブリックフィードから収集したサンプリングされたDNS要求データからS3バケット名を取得している可能性があると推測しました。 こうした種類のデータは、公のWi-Fiからリソースにアクセスすることで簡単に取得できます。 ここでの教訓は、攻撃者は、組織のクラウドフットプリントについて、思っているよりも多くの知識と可視性を持っている可能性があるということです。