5つの事例で学ぶクラウドセキュリティ なぜインシデントは減らないのか？：今日から始めるサイバーレジリエンス実践ステップ（2/2 ページ）

[扇 健一，株式会社日立ソリューションズ]

SSPM：SaaSのセキュリティ設定ミスを自動検知する

　SaaSの利用においては、事例に示したようなセキュリティ上の問題が起こり得る。DXの進展によって業務サーバの役割の多くがSaaSによって代替されるようになり、SaaSには顧客情報や取引先情報、従業員情報、財務情報、事業に関する機密情報、ソースコードなどさまざまな情報が保管されている。そのためこれを利用するに当たって、過剰なアクセス権の付与や不要なアカウントの放置、セキュリティ機能の設定ミス、サードパーティーからの不必要なアクセス許可などが原因となり、重要情報が漏えいしてしまう可能性がある。

　こうしたセキュリティリスクに対し、監視や評価、検知を実施するサービスがSSPMだ。CASBと混同されがちだが、SSPMは外部のサイバー攻撃からSaaSの情報を守ること、CASBは従業員が安全にSaaSを利用できるようにすることが目的という点で異なっている。

SSPMとCASBの違い（出典：日立ソリューションズ提供資料）

　SSPMの主な機能は次の通りだ。

• セキュリティ設定（アカウント管理やアクセス権、セキュリティ設定）不備の監視
• セキュリティ設定や接続サービスの可視化
• セキュリティ設定に不備があった際の対処方法の提示
• 疑わしいアクセスの検知
• 米国国立標準技術研究所（NIST）、国際標準化機構（ISO）などが定めたコンプライアンス基準での安全性評価
• 監査に必要となる各種レポートの生成

CSPM／CWPP：PaaS／IaaSのセキュリティ設定ミスを自動検知する

　PaaS／IaaSの利用においても、セキュリティインシデントが後を絶たない。信頼性や柔軟性、スピードなどの利点があるPaaS／IaaSは、開発環境やサービス環境として多く利用されている。その契約や運用を担っているのはほとんどの場合、情報システム部門ではなく、各事業部門ではないだろうか。

　PCやサーバは一部を除いて情報システム部門が資産管理を担っているが、AWSやAzure、Google CloudなどPaaS／IaaSの管理は各事業部門であろう。一般的に事業部門は、情報システム部門に比べてセキュリティの知識やリスク管理の意識は低いため、解約忘れや管理漏れ、脆弱な認証設定、セキュリティ設定の不備などセキュリティの問題が発生しやすい。CSPM／CWPPのPoC（概念実証）を実施すると以下のような問題が発見されることがある。

• トライアルで利用した後、解約を忘れている
• 管理者に未申告で利用している
• セキュリティ設定が脆弱
• OSやミドルウェアなどへのセキュリティパッチが未適用
• サポート切れのOSやソフトウェアを利用している
• 利用していないアカウントがある

　PaaS／IaaS提供事業者からサービス利用に関する請求書が届いて初めて表面化するケースも後を絶たない。解約忘れや管理漏れがあること、管理者権限が乗っ取られて多くの仮想環境を不正に作成されサイバー攻撃の踏み台や仮想通貨マイニングに使用されていることなどだ。このような課題に対して監視や評価、検知を実施するサービスがCSPM／CWPPだ。CSPM／CWPPの主な機能とは、次の通りだ。

• 利用状況の把握
• セキュリティ設定（アカウント管理やアクセス権、セキュリティ設定）不備の監視
• セキュリティ診断および脅威インテリジェンスを用いた脆弱性の管理
• セキュリティ設定に不備があった際の対処方法の提示
• セキュリティ設定の自動修復
• サポート切れのOSやソフトウェアの検出
• 脅威の横展開（ラテラルムーブメント）のリスクの検知
• 機密情報の検出
• NIST、ISOなどが定めたコンプライアンス基準での安全性評価
• 監査に必要となる各種レポートの生成

（左）PaaS／IaaS利用状況の把握（右）CSPM／CWPPの効果（出典：日立ソリューションズ提供資料）

クラウドサービスに関するセキュリティインシデントが減らないワケ

　クラウドサービスのセキュリティ運用を実施している担当者は、その大変さを理解しているだろう。大変な理由としてはおおよそ以下3つの要因がある。

1. 攻撃ポイントが雪だるま式に増加している：　管理部門や開発部門、サポート部門など多くの部門が利用しており、さらにクラウドサービスの種類が異なる。また利用者も常時利用者の他、ゲストユーザーや業務委託先、API（Application Programming Interface）経由、サードパーティー経由など多岐にわたる
2. クラウドサービスのセキュリティ監査のノウハウがない：　クラウドサービス独自の監査項目や監査経験がない。そもそも必要性が理解されておらず、実施されていない
3. クラウドサービスごとに仕様が異なる：　日本でも多数のクラウドサービスが利用されており、これらのセキュリティに関する仕様を把握するのは困難だ

　このような課題からSSPMやCSPM、CWPPのニーズが生まれてきた。

サイバーレジリエンスにおけるクラウドセキュリティの位置付け

　NISTが発行しているサイバーレジリエンスに関するガイダンス「NIST SP800-160 Vol.2 Rev.1 Developing Cyber-Resilient Systems : A Systems Security Engineering Approach」では、サイバーレジリエンスを具現化するために組織が備えるべきゴールとして、Anticipate（予測）、Withstand（抵抗）、Recover（回復）、Adapt（適応）を示している。SSPMやCSPM、CWPPは、この中のAnticipate（予測）に当たる。

• Anticipate（予測）：　潜在的な脅威を予測するための戦略には、抑止、回避、防止、計画、準備、変更が含まれる。

　サイバーレジリエンスは、ランサムウェアなどのサイバー攻撃の被害に遭ったとしても、抵抗力と回復力を高めることで事業を継続できるという考え方だ。ただし無防備に構えてサイバー攻撃の被害に遭うのではなく、できる限り攻撃対象領域を小さくして攻撃に遭う確率を下げるべきだ。それが「Anticipate」に当たるSSPMやCSPMといった、いわゆるセキュリティポスチャマネジメントだ。クラウドなどのインターネットに接する部分の脆弱性を減らすことで攻撃の的を少なくし、全体的に事業稼働率を向上できる。

今後の事業展開に欠かせないクラウドセキュリティ

　日立ソリューションズはいろいろな種類のクラウドサービスを提供しており、そのセキュリティ品質確保と維持管理のため、CSPMを適用している。CSPMによってセキュリティリスクを事前に把握し、セキュリティインシデントを減らし、運用負荷の軽減にも貢献している。

　これまでPCやサーバに対して当たり前に行ってきた管理と脆弱性対策をなぜ、クラウドサービスに対しては実施しないのだろうか。これをしなければ、サイバー攻撃の被害に遭うのは当然だ。ましてやクラウドサービスはインターネットに直接つながっており、セキュリティリスクが高い。その重要性を理解していただき、まずは、現状把握とSSPMやCSPMのPoCから始めてみてほしい。

著者紹介：扇 健一

日立ソリューションズ　セキュリティソリューション事業部　企画本部　セキュリティマーケティング推進部　シニアエバンジェリスト　兼　Security CoE　センタ長

20年以上にわたり開発から導入までのセキュリティ関連業務に従事しており、現在は主にセキュリティソリューション全般の企画や拡販業務、各種講演や執筆活動を行う。また、早稲田大学グローバルエデュケーションセンター非常勤講師としての活動や、特定非営利活動法人 日本ネットワークセキュリティ協会（JNSA）でも活動を行う。