IaCスキャンの基礎

少し前までは、ITシステムのセットアップと管理は手作業のプロセスでした。チームのエンジニア1名に、真新しいアプリケーション（およびデータベースとファイルストレージ）がホームと呼ぶサーバー1台をプロビジョニングするタスクを割り当てていました。もちろん、この後に、新しいサーバーの命名についてチームで長時間の議論が行われていました。

このような日々は過去のものです。分散アーキテクチャ、一時的なクラウドリソース、グローバルスケールにより、現代の開発チームはコードと自動化を駆使してシステムをセットアップしています。これがIaC（コードとしてのインフラストラクチャ） であり、エラーを減らしながらインフラストラクチャのセットアップを迅速化します。複雑なシステムを管理する必要がある組織にとって、IaCは極めて大きな勝利です。

ただし、望ましいインフラストラクチャの状態を宣言して体系化したからといって、IaCにエラーやセキュリティリスクがないことの保証にはなりません。そこで、IaCスキャンの出番です。IaCスキャンでは、このコードを本番稼働に移す前に、セキュリティリスクやルール違反がないかチェックします。

この投稿では、IaCスキャンの概念を探り、IaCスキャンとは何か、クラウドセキュリティにとってなぜ重要なのか、そして必要とされる主な手順を見ていきます。また、スキャンに役立つツールと、スキャンで人々が直面する典型的な課題についても触れます。

IaCスキャンとは？

IaCスキャンは、インフラストラクチャのセットアップと設定を体系化して、組織が展開の自動化と合理化を実現できるようにするプロセスです。組織が2つのコンピューティングインスタンスを1か所の地理的なリージョンに展開する必要がある場合でも、世界中で数百のクラウドリソースの使用が開始されたり、終了されたりする場合でも、IaCは一貫性、信頼性、速度を実現する最適なソリューションです。

しかしながら、IaCを採用したとしても、新しい脆弱性はつきまといます。一般的なリスクは次のとおりです。

• 設定ミス：システムが攻撃にさらされるおそれがある誤った設定
• 欠陥のあるアクセス制御：許容範囲が過度に広すぎて不正アクセスを許してしまうような設定
• 機密データの漏洩：シークレットや認証情報のセキュリティ保護されていないストレージ

IaCスキャンは、インフラストラクチャのセットアップと設定で使用されるコードをチェックし、セキュリティの問題やルール違反を検索します。これは、問題を早期に特定する安全性検査のようなものです。この安全性チェックは、特にクラウドベースのサービスを使用する場合に、セキュリティを維持するために重要です。自動化された一貫性のあるIaCスキャンにより、サイバー脅威の潜在的な攻撃対象領域が大幅に縮小します。

Policy as code

PaC（コードとしてのポリシー）とは、IaCスキャンの中核となる概念です。IaCではインフラストラクチャ設定を体系化するように、PaCではそのインフラストラクチャに関するセキュリティポリシーを体系化します。機械可読形式で宣言されたセキュリティポリシーを使用すると、チームは、IaCスキャンツールを活用して、すべてのインフラストラクチャ展開にわたるセキュリティルールへのコンプライアンスを検証できます。これにより、展開されているすべてのインフラストラクチャが組織のセキュリティ標準に準拠するようにします。

IaCスキャンの主要プロセス

IaCスキャンでは、いくつかの主要なプロセスが連鎖し合って、IaCが安全でコンプライアンスに準拠したインフラストラクチャ環境を確保しています。

• ポリシーの確立：IaCで適合する必要があるセキュリティおよびコンプライアンスのベンチマークを定義します。
• 自動化のためのCI/CDとの統合：継続的インテグレーション/継続的デリバリー (CI/CD) パイプライン内にIaCスキャンを埋込みます。
• スキャン：スキャンツールを採用して、すべてのIaCをレビューし、ポリシーへのコンプライアンスを検証します。
• 結果のレビュー：スキャン結果を分析して、修復のための問題を特定し、優先順位を付けます。
• 特定された問題への対処：スキャン中に見つかった脆弱性またはコンプライアンスの問題を修正します。
• IaCスキャンポリシーおよびプロセスの調整：フィードバックと進化するセキュリティ動向に基づいて、スキャンポリシーとプロセスを継続的に改善します。

IaCスキャンのツールおよびテクノロジー

ソフトウェア業界でIaCの採用が拡大するにつれて、インフラストラクチャコードの脆弱性やコンプライアンスの問題をチェックするプロセスを強化するためのさまざまなツールやテクノロジーが登場してきました。IaCスキャンツールは、その主な焦点と機能に基づいて大まかに分類できます。

• 静的コードアナライザーは、定義済みの一連のルールに対してIaCコードを評価し、潜在的なセキュリティ問題と設定ミスを特定します。これらのツールは、セキュリティ標準に対するベストプラクティスおよびコンプライアンスの適用に役立ちます。例としては、Terraformコードで一般的なCheckovやTfsecなどがあります。
• コンプライアンススキャナーは、IaCの設定が規制基準と内部ポリシーに準拠していることを確認することに重点を置いています。これらのツールは、規制の厳しい業界でコンプライアンスを維持するために重要です。一例として、セキュリティのベストプラクティスに対するコンプライアンスを確認するTerrascanがあります。
• 依存関係スキャナーは、IaCコードが依存するライブラリおよびモジュール内の脆弱性を検索します。これらのツールは、サードパーティの依存関係によってもたらされるセキュリティの問題を把握するために重要です。
• セキュリティおよび脆弱性スキャナーは、単純な設定ミスからセキュリティの重大な欠陥まで、IaCファイル内のさまざまなセキュリティの脆弱性を具体的に特定します。

IaCスキャンの課題

IaCスキャンを効果的に実装することで、いくつかの課題が生じます。特に、コンプライアンスフットプリントが大きい複雑なアプリケーションを実行している大企業にとって、主要なハードルの1つとなるのが、複雑なセキュリティポリシーの管理です。インフラストラクチャの要件が複雑になるにつれて、すべてのコンポーネントのセキュリティニーズを正確に反映した包括的なポリシーのドラフトを作成する作業も複雑になります。この複雑さには、最初に徹底するだけでなく、進化するインフラストラクチャの要求に対応するための継続的な調整が求められます。

次に、組織はIaCスキャンを既存のワークフローと統合することに苦戦しています。多くの組織にとって、IaCスキャンをCI/CDパイプラインに導入することは、確立しているプロセスの大幅な見直しにつながる可能性があります。適切に計画して準備しなければ、この種の混乱が開発のリズムを狂わせ、生産性を妨げる可能性があります。

サイバーセキュリティの動向は常に変化しているため、進化する脅威の動向に追随していくのに多くの組織が苦戦しています。新たな脆弱性や攻撃ベクトルが決まって現われます。最新の脅威から保護するために、組織は常に警戒し、スキャンツールとポリシーを定期的に更新する必要があります。

最後に、フォールスポジティブとノイズへの対処が一般的な問題となります。IaCスキャンツールの精度はさまざまで、本物の脅威ではない問題を指摘してしまうことがあります。これにより、不要な修正や調査にリソースを浪費することになります。これらのツールの感度のバランスを取り、誤ったアラームを最小限に抑えながら現実の問題を把握することは、慎重さが求められる作業です。

組織はIaCスキャンに対して戦略的なアプローチを取る必要があり、適切なツールを選択することの重要性が浮き彫りになっています。

クラウドストライクによるIaCの保護

この記事では、IaCスキャンの本質、つまり、IaCスキャンとは何か、何が必要となり、どのようなツールを使用して効果が得られるかを探究してきました。また、これらのプラクティスを実装する際に組織が直面する課題についても説明しました。ここまでの探究から得た要点は、IaCを使用してクラウドインフラストラクチャ環境を管理し、設定する組織であれば、セキュリティリスクやポリシー違反をシステムに入り込む前に捉えるには、IaCスキャンが必須のサイバーセキュリティコンポーネントであるということです。

CrowdStrike Falcon^®プラットフォームは、IaCスキャンによるプラクティスを強化できる包括的なセキュリティソリューションを提供するという点で際立っています。特に、CrowdStrike Falcon^® Cloud Securityは、クラウドネイティブ環境にフルスタックのセキュリティを提供し、最新の脅威インテリジェンスと組み合わせて、クラウドインフラストラクチャの安全性とセキュリティを確保します。

お問い合わせ