「クラウドは狩り場」――ホワイトハッカーと語らうリスクと対策 “情シスあるある”な課題の解消方法は：ITmedia Security Now！

[PR／ITmedia]

PR

　サイバー犯罪者にとってクラウドは“狩り場”になっている――こう語るのはホワイトハッカーとして活躍する日立ソリューションズの米光一也氏だ。「Amazon Web Services」（AWS）や「Microsoft Azure」「Google Cloud」などのパブリッククラウドにおけるセキュリティリスクについて同氏は次のように説明する。

　「攻撃者は機密情報の窃取などの目的を達成できる脆弱（ぜいじゃく）性があるかどうかを見ています。ITインフラがクラウドなのかオンプレミスなのかは関係ありません。“コスパ”を重視し、セキュリティの壁が低いところを狙います。さまざまな企業が自社でサーバを所有せずにパブリッククラウドでシステムを運用していて、幅広い業務のDXが進む中でITの専門知識がないユーザーでもITシステムを利用するだけなら容易に行えてしまいます。そのため、初歩的な設定ミスが入り込みやすく、攻撃者の標的になるわけです」

　クラウドは、DXや新規ビジネスで重宝されている。しかし事業部門それぞれでクラウドの利用が広がったことで情報システム部門（以下、情シス）がリスクを管理し切れなくなったりセキュリティ対策がスピーディーな事業展開の足かせになったりしている側面もある――こう指摘するのは、新進気鋭のセキュリティスタートアップ企業であるCloudbaseの小川竜馬氏だ。

　リスクを把握した上で、優先度が高いリスクから対処してクラウドのメリットを最大限に生かすという“ゴール”を実現できれば、情シスも企業の成長に貢献できる。ホワイトハッカーの米光氏が持つ攻撃者視点の知見と、自動車メーカーのスズキなど大手企業のセキュリティ対策を支援するCloudbaseの小川氏が見てきた実情から、ゴールにたどり着くためのクラウドセキュリティについて解説する。

右から日立ソリューションズの米光一也氏（セキュリティソリューション事業部 セキュリティサイバーレジリエンス本部 チーフセキュリティアナリスト）、Cloudbaseの小川竜馬氏（共同創業者）

「早ければ数分で攻撃される」　攻撃者が狙う「クラウドの設定ミス」

　セキュリティインシデントの現場に携わる機会が多い米光氏は「意外と、初歩的なミスが原因のインシデントが圧倒的に多いです」と話す。

　クラウドの設定を変えるためにファイアウォールの設定を甘くしたまま戻し忘れた、ソフトウェア開発のプロジェクトメンバーにアクセス権限を付与するはずが第三者も閲覧できる状態だったなどのユーザーの「設定ミス」に起因するインシデントは多いという。

　「サイバー攻撃はアクセスキーの不正入手から始まるケースが多いという印象です。開示権限の設定をミスして第三者にも公開してしまうと、数時間、早ければ数分で攻撃される場合もあります。ユーザーによる設定ミスが多いクラウドが監視やクローリング（巡回）の対象になっているのです。クラウドのアクセス管理や仮想サーバ、仮想ストレージを巡るインシデントは山のようにあります」（米光氏）

日立ソリューションズの米光一也氏。同社のセキュリティ製品開発に携わる。ホワイトハッカーとして顧客のセキュリティコンサルティングを手掛ける他、同社のインシデント対応やセキュリティ対策も支援している

“情シスあるある”がこんなに　「チェックに半年」「情シスもIaaSに詳しくない」

　なぜクラウドは設定ミスが発生しやすいのか。クラウドは事業部門の担当者などITに詳しくない人でもボタンを数クリックすればITリソースを即座に立ち上げられる半面、設定ミスが入り込みやすい。

　「クラウドの使いやすさとリスクは表裏一体です。オンプレミスのITインフラは多層防御の仕組みを作り込むことができますが、クラウドは操作一つでセキュリティの穴が開いてしまうことがあります」（小川氏）

　企業がクラウドセキュリティのリスクを放置しているわけではない。大企業を中心にセキュリティを重視する動きが広がっていると米光氏は評価する。一方で、ビジネスとセキュリティのバランスを取るのが難しいケースもあるようだ。

　「IaaSを使った新規プロダクトのセキュリティチェックに半年かかった」「AWSに便利なサービスが数百種類あるのに、上長が許可した数サービスしか使えない」などの事例を見てきた、と小川氏は振り返る。ビジネスを加速するはずが足を取られてしまう事態になっているのだ。

　DXや新規事業などビジネスの最前線でクラウドを使うという性質上、情シスにとってクラウドは未知の領域で、情報のキャッチアップが追い付かないこともある。「IaaSの管理コンソールに入ったことがない」「クラウドについて情報収集しているさなか」という状況でも、情シスはセキュリティの責任を負わなければならない。クラウドの知識を持つ特定の従業員に負担が集中したり、業務が属人化したりしてしまうケースも“あるある”だ。

Cloudbaseの小川竜馬氏。Cloudbaseの共同創業者。大手企業を中心にクラウドセキュリティのソリューションを提供する

「クラウド事業者が面倒を見てくれるでしょ」の誤り

　そもそも企業はクラウドセキュリティにどのくらい取り組まなければならないのか。「クラウド事業者が面倒を見てくれるでしょ」という考えは一部正しくて、一部は誤りだ。大半のクラウドは事業者と利用者がITインフラのレイヤーに応じて責任を分担する「責任共有モデル」を採用している。

　クラウド事業者が責任を負うのは、IaaSならデータセンターの管理や、サーバ、ストレージ、ネットワークなどの管理までという場合が多い。PaaSはハードウェアに加えてOSやミドルウェアの一部も管轄する。利用者はそれ以外の部分に責任を負う。ミドルウェアやアプリケーション、データの管理などの他、サービスの連携やアクセス権限の管理などは利用者がハンドリングしなければならない。

責任共有モデルにおける事業者と利用者の責任分界点（提供：Cloudbase）

クラウドセキュリティの第一歩目は「リスクの可視化」

　責任共有モデルに基づくセキュリティ対策の第一歩目は、現状の把握だ。クラウドの利用状況を可視化して、設定ミスや脆弱性を検出してから具体的な対策を考えるステップが望ましいと小川氏は説明する。多数のITリソースを人力でチェックするのは不可能なので、専用のツールである「クラウドセキュリティポスチャーマネジメント」（CSPM）を使うのが有効だ。Cloudbaseと日立ソリューションズがそれぞれ国産のCSPMを提供している。

　CSPMはクラウドのリスクを網羅的にチェックしてリスクをダッシュボードで一元管理し、深刻度に応じてスコアリングする機能がある。企業独自のポリシーや各種国際基準に基づくチェックも可能だ。リスクを可視化することで対策の指針にできる。「この50項目だけは対策しないと危険です」と事業部門や経営層にセキュリティ対策の重要性を説明する材料にもなる。

リスク検知→解消までがワンセット　「ゴールに到達できる運用が重要」

　CSPMでリスクを検知、可視化した後がクラウドセキュリティの成否を分ける重要ポイントだ。目指すゴールは、ヒットしたリスクの脅威度を判断して解消することにある。「大企業の場合はCSPMでチェックすると数千〜数万件のリスクが検出されることが多々あります。その全てに対処できるとは限らないので、事業や利用内容に応じて本当に必要なところを見極めて、優先度が高いものから順に、誰もがリスクを解決できるゴールに到達できる運用フローが重要です」（小川氏）

　時間も人手も限られる中で全てのリスクを解消するのは難しい、リスクの説明が専門的すぎて理解できないといった課題に直面するケースも多い。リスクを検知、スコア化して優先度が高いものを絞り込む、解決する手順を提示する、困ったときのサポートがある――こうした点がそろうことで、セキュリティの専門家でなくてもリスクを理解して解決し、クラウド本来のメリットを享受するという成果につなげられると小川氏は力説する。

　「リスクを検出するツールはたくさんありますが、現場が求めているのはそのリスクを解決するための方法です。専門的な解説で分からない、『50％のリスク』は許容していいのか判断に迷う、といった現場の悩みを解決できるような、運用まで支援してくれるサービスを使うことをお勧めします」（米光氏）

　運用が重要でありながら、ITベンダーが扱いにくい部分でもあると話す米光氏。今回の対談は運用にまで切り込んだという点で、企業のクラウドセキュリティに対する2人の本気度がうかがえる。

クラウド活用が情シスのチャンスに　「前に進むためのセキュリティ」

　こんなに苦労してまで情シスがクラウド利用を手伝う必要があるのか――こんな質問に米光氏は次のように答える。

　「DXやクラウド利用をチャンスと捉えている情シスが多いと思います。これまでは予算の1割で新しいことに取り組むしかなかったのが、DXおよびクラウド活用の普及によってチャレンジできることが増えました。新しいテクノロジーでビジネスに貢献するという理想的な姿です。この機に、ITが経営にとって大事であると訴求できるかが勝負です」（米光氏）

　クラウドのセキュリティインシデントが発生すると情シスの責任が問われることは目に見えている。だからこそできる対策に取り組むことが大切だ。ビジネスの観点でもクラウドセキュリティに取り組むメリットがあると小川氏は熱く語る。

　「Cloudbaseは『日本企業が、世界を変える時代をつくる。』というミッションを掲げています。そのためにはクラウドの活用が欠かせません。ボトルネックであるセキュリティの課題を解消できれば、ビジネスを素早く展開して企業価値を高められます。前に進むためのセキュリティなのです」

　米光氏は、企業規模によってできることは違うと言い添えつつ「攻撃者から見て攻撃のハードルが高いと思わせることがポイントです。CSPMなどのツールでチェックしたときにリスクが大量にヒットしないように『大きな穴をふさぐ』というのがキーワードです」とアドバイスする。

　小川氏は「私たちはクラウドセキュリティを“民主化”したいと考えています。難しいリスクを誰もが理解して改善できる世界を作りたいのです。それによって企業のクラウド利用が進んで、情シスやセキュリティ部、CCoE（Cloud Center of Excellence）の皆さまにもっと活躍してほしいと思います」とメッセージを送る。

　クラウドにはリスクがある。しかしそれはビジネスにとって便利なITインフラを目指した結果の副産物だ。リスクに正しく向き合って対処すれば、ビジネスを加速させる土台になる。ツールの力を借りながら、情シスと事業部門と経営層が手を取り合って適切なセキュリティ対策をした先に、日本企業が再び世界をリードする日が来るのだろう。

【スペシャル番組公開】ITmedia Security Now！

日本企業のクラウド利用、穴だらけ？
ホワイトハッカーと考える“日の丸セキュリティ”最前線

　サイバー攻撃が相次ぐ中、セキュリティが“ホットな話題”になっています。大規模な情報漏えいやマルウェア被害の報告が止まらない今、企業ができる対策とは。日本企業ならではの課題を解決する方法を米光氏、小川氏と一緒に考えます。

スペシャル番組の本編（約36分）

国産クラウドセキュリティツール「Cloudbase」でできること

　小川氏らは「クラウドセキュリティの民主化」を掲げて、クラウドのリスクを可視化する国産のCSPM「Cloudbase」を提供している。セキュリティの専門家でなくても「リスクを解決する」というゴールにたどり着ける設計が特徴だ。

• ポイント1：ユーザーのクラウド環境を網羅的に監視してリスクを検知する
• ポイント2：ネットワークやアクセス権限の状態を詳しくチェックして、深刻なリスクを自動で絞り込む
• ポイント3：リスクを解決するための操作手順やプロセスを具体的に提示。複雑な問題の場合はCloudbaseのエンジニアが解決をサポートする

　出光興産やスズキ、セコム、NOKなどの企業が導入している。分かりやすい操作でリスクを解消できるCloudbaseはクラウド活用を後押しする存在になると同時に、セキュリティ人材の不足という課題の解決策にもなるだろう。