クラウド検知の概要

多くの組織にとって、クラウドは技術戦略の中核となっており、オンプレミスのサーバーや自社保有のデータセンターは、大規模なパブリッククラウドを運用するハイパースケーラー群に置き換えられつつあります。こうしたクラウド技術への依存の高まりは、これらの重要なシステムへの不正アクセスを狙う攻撃者にとって新たな機会を生み出しており、強力な脅威検知およびセキュリティ対策の必要性が一層増しています。

クラウド検知は、検知と対応の最初の要素であり、クラウドセキュリティを維持するために重要な役割を果たします。クラウド検知は、代償の高い有害なデータ侵害という脅威から組織を守ります。

この記事では、クラウドワークロードを保護するために、脅威を特定して対処する際にクラウド検知が果たす役割について説明します。

クラウド検知とは？

クラウド検知は、組織のクラウドインフラストラクチャ内で発生する脅威、脆弱性、悪意のあるアクティビティを特定します。クラウドサービスのエコシステムは広範囲にわたるため、クラウド検知の範囲もそれに応じて広がり、クラウドアプリケーションやクラウドに保存されたデータ、さらにクラウド内で稼働するその他の関連インフラストラクチャが含まれます。

クラウドインフラストラクチャの範囲内の個々のコンポーネントは攻撃の脆弱性となりますが、ここでは、クラウドワークロードと、それに関連するアプリケーションやサービスへの攻撃の検出に焦点を当てます。

クラウド検知のコアコンポーネント

クラウド検知は、ワークロードを保護するための3つの主要なコンポーネントで構成されます。

1. リアルタイムのモニタリング

リアルタイムのモニタリングは、クラウドインフラストラクチャ全体で現在のアクティビティを表示するダッシュボードを使用して、ワークロードにおける異常なアクティビティ（例えば、トラフィックやシステム使用量の増加など）を継続的に監視します。これにより、異常が検出されると、アルゴリズムやAIを活用したアラートが発信されます。

2. 振る舞い分析

クラウド検知ツールは、リアルタイムモニタリングで収集したデータを基に、AI/機械学習 (ML) を活用した振る舞い分析を行い、潜在的な脅威パターンを自動的に特定します。ワークロードの振る舞いが通常の状態から逸脱した場合、クラウド検知ツールはセキュリティチームやオンコールエンジニアに修復を促すアラートを送信します。

3. ログとイベントの分析

トランザクションが発生し、システムがデータの読み取りや書き込みを行うと、クラウドワークロードはイベントとログを生成します。これらのデータストリームによって形成される記録は、セキュリティチームが過去のイベントを特定したり、ダメージコントロールのために詳細に分析したりするために使用できます。

クラウド検知を実現するテクノロジー

クラウド検知とは、幅広いクラウドセキュリティオプションの総称です。それぞれのツールがさまざまなメカニズムでクラウド検知と連携します。

クラウドワークロード保護プラットフォーム (CWPP)

CWPPは、クラウド環境全体でワークロードの継続的な脅威監視を提供し、DevOpsシステムに統合されて異常アクティビティを特定、侵害を防ぎます。また、CWPPは、全体的な脆弱性の対処を支援し、コンテナ内の脆弱性をスキャンして侵入を防ぎます。

SIEM（セキュリティ情報およびイベント管理）との統合

また、クラウド検知を次世代のSIEMシステムに統合するという選択肢もあります。SIEMシステムは、イベント追跡とログ管理を組み合わせて、脅威をリアルタイムで捕捉します。セキュリティインシデントを一元的に追跡できることで、発生した脅威の緩和が容易になります。

高度な脅威インテリジェンス

高度な脅威インテリジェンスは、脅威インテリジェンスフィードを活用し、ハッカーの新たな脅威や戦術に対してシステムを最新の状態に保ちます。ゼロデイ攻撃は未知の脆弱性を突いた攻撃で、アンチウイルスソフトやパッチによる防御がまだ存在しないため、特に危険です。ゼロデイの存在を公表するだけで攻撃が急増することもあり、ゼロデイ脅威の追跡には高度な脅威インテリジェンスが不可欠です。

クラウド検知の課題

組織内でクラウド検知を有効化する際の一般的な課題には、次のようなものがあります。

• スケール：クラウド環境はビジネスのニーズに応じて拡張するため、マルチリージョン環境を動的に監視する必要があります。
• 可視性：企業が単一のクラウドを超えて運用を行う場合（またはハイブリッド環境で運用する場合）、急速に変化する環境内で全てのコンポーネントの可視性を維持することがより難しくなります。
• アラート疲労：フォールスポジティブを減らし、真の脅威を即座に特定し捕捉するために、検知のバランスが求められます。

効果的なクラウド検知のためのベストプラクティス

クラウドワークロードの脅威を効果的に検知するためには、ベストプラクティスに従うことが重要です。攻撃者は手法やツールを進化させており、これらを実践することで対抗力を高められます。

• 継続的モニタリング：継続的モニタリングは、効果的なクラウド検知システムにおいて最も重要な要素の一つです。攻撃者やそのツールは休むことなく活動しているため、脅威を管理するには24時間体制で稼働する自動検知システムが必要です。継続的モニタリングを実現するためには、ネットワークリクエストやCPU、メモリ使用量など、スタックの各部分から詳細なテレメトリを収集するツールを配備する必要があります。
• 定期的な脅威評価：クラウドワークロードが変化し、脅威アクターが新しい手法を取得する中で、定期的な脅威評価はシステムの評価と強化に役立ちます。これには、定期的な監査の実施や、レッドチーミング、障害復旧など、効果的な演習の実施が含まれます。このような脅威評価をサポートするツールは数多く存在します。
• チーム間のコラボレーション：チームレベルでのコラボレーションは、効果的なクラウド検知の中心的要素です。これにより、チーム間での分断が解消され、セキュリティ、クラウドエンジニアリング、ITの各チームが一貫した防御を構築でき、包括的な脅威検知が実現します。これを最適な形で実現するには、すべてのチームが連携し、ワークフローに簡単に組み込めるツールセットを使用することが重要です。

CrowdStrike Falcon® Cloud Securityでクラウドワークロードを保護する

クラウド検知は、クラウド内のセキュリティ維持に欠かせない要素です。ワークロードが異種環境で動作し、動的にスケーリングされるため、脅威を特定するには、クラウドワークロードを保護するための包括的かつ常時稼働するアプローチが必要です。

CrowdStrike Falcon® Cloud Securityは、脅威の検出と対応において実証済みのソリューションです。このソリューションを展開することで、クラウド全体の継続的なモニタリングとコンプライアンスの確保が可能となり、さまざまな環境内でワークロードをプロアクティブに防御できます。CrowdStrike Falcon® Cloud Securityは大規模な環境でも機能し、クラウド検知戦略を一元管理することができます。