「信頼せよ、されど検証せよ」を実現 クラウドに適した新たなセキュリティとは何か

[PR／ITmedia]

PR

　クラウドの利便性が認識されるにつれ、新規システムを「クラウドファースト」で構築したり、オンプレミス環境の既存のシステムを「クラウドシフト」したりする動きが広がっている。だが、それに伴い「誤って機微な情報が含まれるデータベースを誰でもアクセスできる状態で公開してしまった」といった事故も多発するようになった。

　Orca SecurityのChief Innovation Officer and Co-founder、Avi Shua氏はクラウドが広がって環境が複雑化した結果、「自社のクラウド環境に存在するリスクは何か」という基本的な問いに答えることが難しくなっていると指摘する。

Orca Security Chief Innovation Officer and Co-founder（最高イノベーション責任者 兼 共同創設者）を務めるAvi Shua氏。インタビューは来日時に実施した

　「クラウドは非常にダイナミックで、常に変化し続けています。そして、セキュリティ担当者とクラウド開発者の間には摩擦が存在します。こうした問題において、自社のクラウド環境にどんなリスクがどんな形で存在するかという基本的な問いに答える簡単な方法はまだ存在しません」（Shua氏）

これまでとは異なるアプローチが求められる、クラウドセキュリティ

　これまでのオンプレミス環境は、インターネットの出入り口で通信を見張り、監視すべきポイントにエージェントをインストールすることによってある程度セキュリティを担保できた。しかし、クラウドにはさまざまな経路でダイレクトにアクセスできる上に、サーバレスで動的に環境が変化する。よって、一つ一つエージェントをインストールするのは困難だ。アーキテクチャがまるで異なるため、オンプレミス環境向けのセキュリティは通用しない。

　Shua氏は、アーキテクチャ以外にも幾つか根本的な違いが存在すると指摘する。「一つはスピードです。オンプレミス環境のワークロードは1カ月に一度変わるかどうかです。しかしクラウド環境では数秒でワークロードが起動したり停止したりして、1日当たり数千から数万といった頻度でそれが行われます」

　またクラウドに存在するサービスの量も、物理マシンや仮想マシン単位で提供されるオンプレミス環境のサービスとは異なる。クラウドではさまざまなエンティティーから何十、何百といったサービスが提供される。しかもそれらはソフトウェアで定義され、IT管理者やセキュリティ管理者ではなく開発者がダイレクトに制御する。そのため、既存のセキュリティ対策を回避される恐れがある。

　「これらの理由から、今までとは異なるセキュリティアプローチ、異なるプロセスが必要です。単純に人を増やすといった方法にはあまり効果がなく、クラウドがもたらすメリットを最大化できません」（Shua氏）

　こうした状況下で、自社のクラウドのリスクを把握してセキュアな環境を構築するにはどうすればいいのか。Shua氏は以下4つの原則が必要だと話す。

〈1〉制限なしにクラウド全体を見渡せる、フルカバレッジを実現すること
〈2〉単純なログ単位ではなく、コンテキストを踏まえて理解すること
〈3〉ゲートウェイだけでなくエンドポイントやID管理、設定ミスやセキュリティポスチャーの検出も含めた包括的なセキュリティを実現すること
〈4〉アナリストによる分析が容易で、データを活用可能であること

　現に、こうした原則の必要性を理解して取り組み始めている企業もある。先へ進む企業とそうでない企業とを分けるのは、企業の規模や業界ではなく、クラウドネイティブに対する向き合い方にあるとShua氏は話す。その動きは日本国内でも同様だ。同氏によると「先進的な企業の中は、コンテナやサーバレスを前提にクラウドならではの新たなアプローチを模索し始めている」という。

独自技術を活用し、コンテキストに基づいてクラウドのリスクを検出

　こうした背景から生まれたのがOrca Securityだ。同社は、クラウドセキュリティに必要な4つの原則を踏まえたプラットフォーム「Orca Cloud Security Platform」（以下、Orcaプラットフォーム）を提供している。

　例えば、あるデータベースのスナップショットの作成に当たって、誤って一般に公開する設定にしてしまった場合、ネットワークベースのセキュリティ製品ではこうした不備を見つけることができない。CSPM^※1は、「スナップショットが公開されている」といった設定ミス自体は検出できる。しかし、その状況が脆弱（ぜいじゃく）なサーバで起こっているか。またはセンシティブなデータへのアクセスを可能にするような“深刻な事態なのかどうか”といったコンテキストまでは把握できない。結局はアナリストが複数のソリューションを自力でつなぎ、分析する必要がある。

※1：Cloud Security Posture Managementの略。クラウドサービスのセキュリティ設定を監視して、不適切な設定があれば検出するセキュリティサービス。

　Orcaプラットフォームは、そうした“優先して対処すべき”クラウドのリスクを検出してアラートを出せる。Shua氏は「セキュリティを保つために新たなサービスの利用を禁じてしまうと、クラウドのスピードに対応したイノベーションを進められなくなります。効率とリスクのどちらを優先するか、自ら優先順位を付ける必要があります」とし、Orcaプラットフォームはその判断の手助けをするものだと説明する。

Orcaプラットフォームとは？　特徴をチェック

　Orcaプラットフォームの1つ目の特徴は、エージェントレスなアーキテクチャを採用することでさまざまな環境に接続でき、フルカバレッジを提供すること。2つ目は、個々の事象を点ではなくコンテキストに基づいて捉えて、リスクの優先順位付けができることだ。

　これについてShua氏は「ID関連の問題や脆弱性、設定ミスに起因する問題などさまざまなリスクが組み合わさることで、攻撃者にとって有効な経路が作られてしまいます」と説明。Orcaプラットフォームは、そうした経路を特定して深刻な事態なのかそうではないのかを区別することで優先順位を付けることができるという。

　3つ目の特徴は、コードをビルドしてデプロイし、本番環境で動かすといった一連の開発ライフサイクルを意識していること。これらのサイクルが密接に結び付いていることで、セキュリティと開発の間に存在する摩擦を減らせる。そして最後に、より良い判断を下してより使いやすくするためにAIを活用していることも挙げられる。

　Orcaプラットフォームのこうした特徴を可能にしているのが、「SideScanning」と「UNIFIED DATA MODEL」という2つのユニークな技術だ。同社の特許技術であるSideScanningは、エージェントレスでワークロードのランタイムやAPIから直接データを収集できるようにする。「この技術によって、組織間の摩擦やパフォーマンスなどに影響を与えずに、その規模や複雑さを問わず幅広いクラウドと連携できます」（Shua氏）

SideScanningの詳細（Orca Security提供資料より）

　UNIFIED DATA MODELは、文字通りSideScanningで収集するデータに始まり、コントロールプレーンからのデータやスキャンデータ、外部からの情報などを一元的に集約する仕組みだ。つまり、別々のプログラミング言語を使う複数のツール、複数のソリューションを使い分けるのではなく、レイヤーを超えてデータにコンテキストを付与することで「一つのログラミング言語で一つの結論を導き出す」ことが可能だ。これにより、インフラからアプリケーション、データ、CI/CD^※2パイプラインといったクラウドを構成するさまざまな技術スタックをつなげることができる。

※2：Continuous Integration/Continuous Delivery & Deploymentの略で、継続的デリバリーや継続的デプロイメントの意味。

　バラバラな構成要素を個々のソリューションで管理する場合とは異なり、Orcaプラットフォームを利用すれば「コードの開発段階から本番環境までのライフサイクル全体を踏まえてレイヤー間で相関分析を行い、リスクが顕在化する前に止めることができます」と、Shua氏。

　つまりOrcaプラットフォームはクラウドのレイヤー間を統合するだけでなく、開発チームとセキュリティチームが壁を越えて一つのプログラミング言語を用いて統合できるように支援する。チケットシステムなど多様なソリューションとも連携可能なので複数の領域にまたがってコンテキストを加味し、それに基づいてリスクを把握できることも利点だ。

　クラウドセキュリティ市場には、すでにCSPMやCWPP^※3といった個々のソリューションが存在する。クラウドプロバイダー自身も、不適切な設定をチェックできるツールを用意している。だが「それらの価値は、全てを一つにまとめることによって初めて生まれるものです」とShua氏は述べ、CNAPP^※4としてのOrcaプラットフォームの重要性を強調した。

※3：Cloud Workload Protection Platformの略で、ワークロードが動作する仮想（クラウド）環境を対象としたセキュリティサービス。／※4：Cloud Native Application Protection Platformの略で、クラウドネイティブなアプリケーションを保護するプラットフォームを指す。

　Orca SecurityはAWSやGCPといった複数のクラウドプロバイダーと密接な協力関係を築いており、マルチクラウドに対応する。複数のクラウドをまたいで存在するリスクに対応できることもポイントだ。

　こうした特徴が評価され、同社のOrcaプラットフォームはすでに世界中で数百社に採用されており、業種も金融や保険、製造や広告など幅広い。日本でも約40社が導入している。

　ある医療分野の企業はOrcaプラットフォームの導入後たった一日で、クラウド環境で運用していた約1500ものワークロードを把握できた。シンプルな脆弱性スキャンツールでは数万件指摘されていた脆弱性を、数百のクリティカルな問題に絞り込むことに成功したという。ある金融機関は、過去8年間パッチを適用しておらずマルウェアに感染していたワークロードをOrcaプラットフォームの導入によって見つけることができた。

「信頼せよ、されど検証せよ」をクラウド環境で実現

　「信頼せよ、されど検証せよ」という言葉は、ゼロトラスト以前からセキュリティの原則として提唱されてきた。同社が提供するのは、それをクラウド環境で実現するソリューションと言っていいだろう。

　Orca Securityは引き続き、Orcaプラットフォームを進化させてより使いやすく、よりセキュアなクラウド環境を実現する計画だ。すでにAIを用いて自然言語で質問できる機能や、指摘された問題の修正を支援する機能を実装しており、さらなる改善も予定している。Shua氏は最後に、クラウドセキュリティの未来をこう話す。

Shua氏（左）と共に来日した、Orca SecurityでAPAC Sales VP（アジア太平洋地域担当 営業部長）を務めるDaniel Keidar氏（右）

　「テクノロジーがどのように進化しても、クラウドセキュリティ対策に人間が不要になることはありません。ビジネスを理解し、ステークホルダーとコミュニケーションを取ったり事業に影響を与えるリスクは何かを判断したりする必要があるためです。しかし進化を続け、タスクをより簡単にすることで、アナリストの負荷を劇的に軽減することは可能なはずです。

　ゆくゆくはOrcaプラットフォームのセルフドライブ化を進め、後部座席に座るだけで自動的に目的地まで運んでくれる――そんな『クラウドセキュリティの自動運転化』が実現する未来を、Orca Securityでも目指していきたいですね」（Shua氏）