「Amazon Web Services」(AWS)を筆頭に、多くの企業がパブリッククラウド(以下、クラウド)を利用している。場所を問わず誰とでもつながれるクラウドは便利な一方で、悪意ある攻撃者とつながってしまう可能性もある。
クラウドの利用によって、企業のアタックサーフェス(攻撃対象領域)が広がった。その安全は「責任共有モデル」に基づいてベンダーとユーザーの双方が責任を負うことになる。
「責任共有モデルは、利用者への“責任転嫁モデル”とも言えます。だからこそ、自分たちで考えて対策する必要があります」――こう話すのは、セキュリティ対策を専門にするペンタセキュリティの陳貞喜氏だ。約15年間、日本企業のセキュリティを支えている同氏に、“クラウド時代”に必要な対策を聞いた。
昨今、Webブラウザを通して利用するWebサイトやWebアプリケーションが次々に登場している。その基盤は、クラウドを採用していることが多い。しかし、Webシステムに脆弱(ぜいじゃく)性があり、サイバー攻撃を受けてしまうと企業やユーザーの情報が漏えいするなど計り知れない影響がある。
「完璧なシステムは存在せず、どこかに穴があります。マーフィーの法則に『失敗する可能性が少しでもあればいずれ失敗する』とある通りです」(陳氏)
こうした危険を回避するために、クラウドベンダーは不正アクセスやサイバー攻撃などを防ぐセキュリティ機能を提供している。AWSなら標準機能の「AWS WAF」(Webアプリケーションファイアウォール)がその一つだ。
WAFは、特定のパターンを持つWeb経由のアクセスを悪意ある通信と見なしてルール(セキュリティポリシー)化し、接続を拒否することでセキュリティを確保する。しかし、そのポリシーはユーザーが設定するため、「悪意ある通信とは何か?」を理解しなくてはならないのが難しい。
さらに、巧妙化する攻撃の手口に合わせてセキュリティポリシーを追加し続けたり、「この通信を止めていいのか? 止めるべきか?」を判断したりするのは運用担当者の大きな負担になる。
WAFのポリシー設定が難しいなら専門家に任せればいい――こんな思想で生まれたのが、AWS WAFを補強するペンタセキュリティのサービス「Cloudbric WMS」だ。世界で約70万のWebサイトを守っている同社の知見を詰め込んでいる。
同サービスはAWSに特化しており、ポリシーセット「アクセスコントロールリスト」をプロの目線で定義してユーザー企業の環境に適用できるようにしている。ユーザー企業が必要とするセキュリティレベルに合わせて、定義すべきポリシーセットを提供するものだ。
Cloudbric WMSのポイントは次の3つだ。
まず、脅威の可視化だ。操作性が高い日本語対応のダッシュボードでセキュリティ状況を確認できる。月次レポートを1クリックで作成できるのも特長だ。
次に、既知の脅威への対策だ。Webアプリケーションのセキュリティ向上を目的にした非営利団体OWASPが更新している重大リスクのリスト「OWASP Top 10」に対応したポリシーセットを提供。脅威の情報が更新されるたびに手作業でポリシーを追加する手間から解放されるはずだ。
最後は、予防的な対策だ。既知の脅威なら事前準備ができるが、未知の脅威への対応は難しい。ペンタセキュリティは、海外で動きがあった脅威が時間差で日本を標的にする傾向がある点に注目。海外の動向を基に新たなポリシーを作成して展開することで、予防的な対策を可能にした。
Cloudbric WMSは、AWSを活用したいがセキュリティ対策や運用の負担が課題のIT担当者や情報システム部門に適したサービスだといえる。クラウド利用時にユーザー側の責任になるポリシーの作成や脆弱性対応などの心配を一気に解消できるのだ。
提供方式は、Webリクエスト単位の課金制。500万リクエストまでは月額4万7500円で利用可能だ。さらに、性能や効果を評価するために最初の1カ月間は無料で全機能を使える。
クラウドのセキュリティ対策に課題を持つIT担当者は、Cloudbric WMSの導入が選択肢の一つだ。既に国内の多数のパートナーがCloudbric WMSを提供していることからも効果の大きさをうかがえる。AWSのセキュリティ対策に困ったら、ペンタセキュリティに相談してみるといいだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ペンタセキュリティ株式会社
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2023年12月12日