SaaSの利用においては、事例に示したようなセキュリティ上の問題が起こり得る。DXの進展によって業務サーバの役割の多くがSaaSによって代替されるようになり、SaaSには顧客情報や取引先情報、従業員情報、財務情報、事業に関する機密情報、ソースコードなどさまざまな情報が保管されている。そのためこれを利用するに当たって、過剰なアクセス権の付与や不要なアカウントの放置、セキュリティ機能の設定ミス、サードパーティーからの不必要なアクセス許可などが原因となり、重要情報が漏えいしてしまう可能性がある。
こうしたセキュリティリスクに対し、監視や評価、検知を実施するサービスがSSPMだ。CASBと混同されがちだが、SSPMは外部のサイバー攻撃からSaaSの情報を守ること、CASBは従業員が安全にSaaSを利用できるようにすることが目的という点で異なっている。
SSPMの主な機能は次の通りだ。
PaaS/IaaSの利用においても、セキュリティインシデントが後を絶たない。信頼性や柔軟性、スピードなどの利点があるPaaS/IaaSは、開発環境やサービス環境として多く利用されている。その契約や運用を担っているのはほとんどの場合、情報システム部門ではなく、各事業部門ではないだろうか。
PCやサーバは一部を除いて情報システム部門が資産管理を担っているが、AWSやAzure、Google CloudなどPaaS/IaaSの管理は各事業部門であろう。一般的に事業部門は、情報システム部門に比べてセキュリティの知識やリスク管理の意識は低いため、解約忘れや管理漏れ、脆弱な認証設定、セキュリティ設定の不備などセキュリティの問題が発生しやすい。CSPM/CWPPのPoC(概念実証)を実施すると以下のような問題が発見されることがある。
PaaS/IaaS提供事業者からサービス利用に関する請求書が届いて初めて表面化するケースも後を絶たない。解約忘れや管理漏れがあること、管理者権限が乗っ取られて多くの仮想環境を不正に作成されサイバー攻撃の踏み台や仮想通貨マイニングに使用されていることなどだ。このような課題に対して監視や評価、検知を実施するサービスがCSPM/CWPPだ。CSPM/CWPPの主な機能とは、次の通りだ。
クラウドサービスのセキュリティ運用を実施している担当者は、その大変さを理解しているだろう。大変な理由としてはおおよそ以下3つの要因がある。
このような課題からSSPMやCSPM、CWPPのニーズが生まれてきた。
NISTが発行しているサイバーレジリエンスに関するガイダンス「NIST SP800-160 Vol.2 Rev.1 Developing Cyber-Resilient Systems : A Systems Security Engineering Approach」では、サイバーレジリエンスを具現化するために組織が備えるべきゴールとして、Anticipate(予測)、Withstand(抵抗)、Recover(回復)、Adapt(適応)を示している。SSPMやCSPM、CWPPは、この中のAnticipate(予測)に当たる。
サイバーレジリエンスは、ランサムウェアなどのサイバー攻撃の被害に遭ったとしても、抵抗力と回復力を高めることで事業を継続できるという考え方だ。ただし無防備に構えてサイバー攻撃の被害に遭うのではなく、できる限り攻撃対象領域を小さくして攻撃に遭う確率を下げるべきだ。それが「Anticipate」に当たるSSPMやCSPMといった、いわゆるセキュリティポスチャマネジメントだ。クラウドなどのインターネットに接する部分の脆弱性を減らすことで攻撃の的を少なくし、全体的に事業稼働率を向上できる。
日立ソリューションズはいろいろな種類のクラウドサービスを提供しており、そのセキュリティ品質確保と維持管理のため、CSPMを適用している。CSPMによってセキュリティリスクを事前に把握し、セキュリティインシデントを減らし、運用負荷の軽減にも貢献している。
これまでPCやサーバに対して当たり前に行ってきた管理と脆弱性対策をなぜ、クラウドサービスに対しては実施しないのだろうか。これをしなければ、サイバー攻撃の被害に遭うのは当然だ。ましてやクラウドサービスはインターネットに直接つながっており、セキュリティリスクが高い。その重要性を理解していただき、まずは、現状把握とSSPMやCSPMのPoCから始めてみてほしい。
Copyright © ITmedia, Inc. All Rights Reserved.