クラウドセキュリティの監視と管理: 概要

クラウドセキュリティの監視と管理の重要性は、サイバーセキュリティの専門家でなくても認識しているでしょう。クラウドへのセキュリティ侵害が絶えない昨今、どんなにセキュリティに無頓着な IT チームでも、今や事業運営に欠かせないクラウド環境を保護するために監視と管理が非常に重要であることは理解しています。

ただ、多くの IT チームが、クラウドセキュリティの監視と管理の具体的な方法がわからないという問題に直面しています。クラウドセキュリティ監視は、単にそのためのサービスを導入することではなく、それだけではクラウドネイティブのセキュリティは万全とは言えません。クラウドセキュリティ管理も、ツールを導入したり優秀なエキスパートを雇うだけで解決するものではありません。

クラウドセキュリティの監視と管理は多角的な取り組みであり、その形は組織によって異なります。組織で利用するクラウドのアーキテクチャとワークロードに合わせていかなければなりません。

クラウドセキュリティの監視と管理を実現するための最も効果的なアプローチの 1 つは、保護対象となるワークロードやプロセスのタイプごとに対策を考えることです。この記事では、クラウドネイティブのセキュリティの基礎となる主なコンセプトやリソースについて説明し、それぞれの監視と管理のベストプラクティスを紹介します。

IAM 管理

多くのクラウド環境では、クラウドワークロードのアクセス制御やアクセス権管理に IAM（アイデンティティとアクセス管理）フレームワークが用いられます。IAM のロールやポリシーを作成することによって、クラウド環境内で誰がどのワークロードにアクセスできるかを定義できます。つまり、誰が仮想マシンを作成でき、誰がオブジェクトストレージバケット内のデータにアクセスできるかなどは、IAM によって管理されるということです。

IAM はクラウドのアクセス制御で中心的な役割を果たすため、IAM の構成をスキャンして脆弱性をチェックすることは、クラウド全体の監視と管理における重要なステップの 1 つです。たとえば、匿名ユーザーがストレージバケットにアクセスできるような IAM ポリシーや、既存の VM の表示のみを許可すべきユーザーに VM の新規作成の権限を与える IAM ポリシーなどを誤って作成している可能性があるからです。

CSPM（Cloud Security Posture Management）ツールを使用すれば、IAM の構成を自動的にスキャンしてこのような脆弱性を検出し、管理者にアラートを送信することができるので、セキュリティ侵害が起きる前に不適切な設定を修正できます。

ネットワーク構成

クラウド環境では、どのワークロードがどのワークロードと通信できるかを定義するネットワーク構成が複雑になりがちです。また、ネットワーク構成では、インターネットからアクセスできるクラウドリソースや、クラウド環境にログインした認証済みユーザーに表示のみを許可するクラウドリソースなども定義します。

IAM ポリシーと同様に、クラウドネットワークの構成でも、セキュリティインシデントにつながるミスが起こりがちです。たとえば、仮想プライベートクラウド（VPC）間の接続を有効にしてしまい、本来は切り離すべきアプリケーション間で通信できるようになっていたり、クラウドベースの VM がデフォルトポートを使用してサービスを実行するように構成してしまい、攻撃者がそのサービスの脆弱性を見つけて悪用できる状態になっていたりします。

ネットワーク構成を自動的かつ継続的にスキャンすれば、このようなリスクを検出して修復し、セキュリティ侵害を未然に防ぐことができます。

ネットワークトラフィック監視

クラウドのネットワーク構成だけでなくネットワークトラフィックもスキャンすれば、悪質なアクティビティの兆候を検出できます。ネットワークログを分析することで、ポートスキャンなどの悪質な操作を検出できます。また、本来は切り離すべきワークロード間の通信が構成ミスによって可能になっているといった問題も特定できます。

クラウド監査ログ

監査ログの生成機能はほとんどのクラウドプロバイダーが提供しています。監査ログには、新規リソースの作成や構成の変更など、クラウド環境内で行われた変更が体系的に記録されます。同時に、変更を行ったユーザーや変更内容も記録されます。

監査ログを監視することで、不正なワークロードの作成や IAM ポリシーの改ざんなど、セキュリティ侵害の兆候や痕跡を示すパターンを検出できます。

クラウドプロバイダーが提供するクラウドネイティブの監査ログサービスは、通常、そのプロバイダーのクラウドのみが対象で、ユーザーアカウント単位でしかログを記録できないので、監査ログデータの監視をできる限り効率化するために、すべてのクラウド環境とアカウントの監査ログを集めて統合する必要があります。

クラウドパフォーマンス監視

クラウドプロバイダーは、監査ログのほかに、ワークロードのさまざまなメトリクスを記録および監視するためのツールを提供しています。対象になるメトリクスはクラウドプロバイダーによって異なりますが、サービスの状態や健全性を可視化できる点は共通しています。

このメトリクスデータの主な用途はクラウドのパフォーマンス管理ですが、セキュリティの問題を示す異常の検出にも利用できるため、クラウドセキュリティの管理にも役立ちます。たとえば、アプリケーション（またはアプリケーションを実行するクラウドインフラ）によるリソース消費が急増し、正規の需要増加では説明がつかない場合は、DDoS 攻撃を受けているか、マルウェア感染によってリソースを浪費するクリプトマイニングなどのアクティビティが実行されている可能性があります。

すでにクラウドパフォーマンスの監視データを活用してクラウドワークロード運用の信頼性と効率を維持している組織は多いと思いますが、そのデータの活用範囲をクラウドセキュリティの監視と管理にも広げることが重要です。

クラウドでのコンテナの保護

どのクラウドサービスでもセキュリティについて何らかの課題は生じるものですが、クラウドワークロードの中で最も複雑なセキュリティ課題を生むのはコンテナでしょう。コンテナ自体で 1 つのエコシステムを形成しているため、コンテナセキュリティを脅かすさまざまなタイプのリスクに対処する必要があります。たとえば、コンテナイメージをスキャンしてマルウェアや脆弱性をチェックしたり、コンテナオーケストレーションシステムにセキュアな構成を適用して保護したりする必要があります。さらに、コンテナの実行環境で不審なアクティビティを監視することも大切です。

コンテナの具体的な保護方法は、利用しているクラウドコンテナサービスによって異なります。たとえば、Kubernetes の保護方法は AWS ECS などのコンテナサービスとは異なります。いずれにしても重要なのは、コンテナのセキュリティをコンテナ独自の課題として扱い、コンテナに対するセキュリティ脅威を検出および修復するための専用ツールを導入することです。

クラウドストレージ監視

クラウドのデータベース、ストレージバケット、ストレージボリュームなどに保存したデータに対するセキュリティ脅威は、IAM スキャンや監査ログ分析など、すでに紹介したクラウドセキュリティ監視手法の多くで対応できます。

ただし、機密データがクラウドストレージの保存すべきでない場所に保存されるというセキュリティリスクについては独自に対処する必要があります。たとえば、クラウドに保存する個人情報（PII）は、GDPR や CPRA などの規制フレームワークで定められたセキュリティ義務に従って管理しなければならない場合があります。こうした義務では、クラウドに機密データを保存すること自体は禁止されませんが、プライバシーとセキュリティを保護するための対策を施すことを求められます。

そこで、クラウドに保存しているデータの実際の内容を評価することによって「データを知る」ことが重要になります。クラウドストレージ内の機密データを識別するためにクラウドプロバイダーが提供するサービス（AWS Macie など）を利用することもできますが、複数のクラウドでストレージを統合的にスキャンできるサードパーティツールを導入すれば、可視性をさらに高めることができます。

マルチクラウドとハイブリッドクラウドのセキュリティ

現在、ほとんどの組織が、複数のクラウドを同時に利用するマルチクラウドや、パブリッククラウドのリソースとオンプレミスまたはプライベートデータセンターでホストされたリソースの両方を利用するハイブリッドアーキテクチャを採用しており、この点を考慮することが重要です。

これらの構成では、あらゆるタイプの環境を効率的に監視および管理できるクラウドセキュリティ戦略を検討する必要があります。対策としては、特定のクラウドに依存しないツールを導入するのが一般的です。また、クラウドによってログファイル形式やメトリクスが異なるため、セキュリティ監視と管理のためのツールを選択するときは、異なる構造のデータを取り込んで分析できるかどうかも重要です。

独自のクラウド監視戦略を構築する

クラウドセキュリティの監視および管理戦略は、保護対象となるワークロードや構成に応じて決める必要があるため、最適解は組織によって異なります。一方で、クラウドネイティブのセキュリティ運用において、脅威の防止、検出、対応に必要なデータソースや分析手法は共通しています。クラウドのセキュリティ管理では、IAM やネットワーク構成のスキャン、クラウドネットワークやパフォーマンスデータの監視、クラウドストレージ内の機密データの保護など、多面的なアプローチを取り入れて、クラウド環境で考え得るさまざまなタイプのセキュリティリスクを検出し対処できるようにすることが大切です。