- ライター:角田 玄司
- セキュリティオペレーションセンター(NetOne-SOC)の立ち上げに参画し、セキュリティアナリストチームを組成。
サイバー領域の平和を願いつつ、日々奮闘中。
保有資格:GPEN、CISSP、CCSP
目次
はじめに
近年、クラウドサービスの利用を前提としてシステムが構築されることが多くなり、それに伴いクラウドサービスの設定不備によるセキュリティインシデントがニュースとして取り上げられる機会が増えています。
みなさん、クラウドサービスの設定は適切に実施できているでしょうか?
今回は、昨年に総務省から公表された「クラウドサービス利用・提供における適切な設定のためのガイドライン」を参考に、クラウドサービスの設定不備について見ていきます。
「クラウドサービス利用・提供における適切な設定のためのガイドライン」
ガイドラインの概要
クラウドサービスの利用における情報流出の事案増加を社会的な問題ととらえ、総務省が有識者にも意見を伺いつつ検討を行い、その後一般の意見募集を経て、昨年10月に本ガイドラインが策定されています。
本ガイドラインでは、クラウドサービスの利用・提供における適切な設定の促進を図り、安全安心な利活用を推進していくために推奨されるセキュリティ対策が、利用者側と提供者側双方の観点で記載されています。
本記事では、クラウドサービスの利用者側の立場でガイドラインの内容をご紹介します。
不正アクセスの原因
本ガイドラインでも参照されている (※)、独立行政法人情報処理推進機構(IPA)の「コンピュータウイルス・不正アクセスの届出状況 2022年」によると、不正アクセスの原因別比率では、設定不備が全体のおよそ 16.2%で第 3 位となっています。2021年よりは若干減少していますが、継続して高い割合を維持しており、引き続き注意が必要です。
※ガイドラインでは「コンピュータウイルス・不正アクセスの届出状況 2021年」が参照されています。
図1. 不正アクセス原因別件数の推移(2020~2023年)
「コンピュータウイルス・不正アクセスの届出状況[2022 年(1 月~12 月)]」を基に弊社が作成
設定不備の要因と対策
クラウドサービスの設定不備に関する事例を分析し、その要因と対策の関係が以下の図に示されています。
図2. クラウドサービス利用側の要因と対策の関係
出典:「クラウドサービス利用・提供における適切な設定のためのガイドライン」
要因から対策への矢印の数に着目してみると、「クラウドセキュリティに係る設定項目の確認」が3つで最多となっており、この部分への対策が最も効果的であると考えられます。
「クラウドセキュリティに係る設定項目の確認」では、自社で利用するクラウドサービスの設定項目を理解し、予防的措置及び発見的措置を実施可能な体制を構築することが推奨されています。
以下に設定項目の管理に関するベストプラクティスを挙げます。
- 管理については、サードパーティやクラウドサービス事業者から提供される設定項目の可視化ツール等を利用する。
- 初期の設定だけでなく、設定値の監視の仕組み等を構築する。(予防的措置)
- 外部の設定値診断サービス等を活用して定期的に設定値の診断を行う。(予防的措置)
- 設定が変更されたことが検知されたら、なるべく早く適正な設定値に戻す、又は自動で復元する仕組みを組み込んでおく。(発見的措置)
クラウドサービス利用者側に求められる対策
利用者側の対策として、組織体制・人材育成から作業規則、設定管理に至るまで幅広く言及されています。また、各対策についてベストプラクティスが例示されており、対策のイメージがつきやすい内容となっています。
その中で「支援ツール等の活用」という項目があり、複雑化するシステム動作環境の設定項目の管理に対して、支援ツール等の活用が推奨されています。支援ツールの機能として、ガイドラインでは以下のようなものを想定しています。
- 設定不備の検出
- 脅威の検出
- ファイアウォールやセキュリティグループのルールチェック
- ぜい弱性診断
- 監視ツール(生存監視、性能監視、ログ監視、Web監視など)
- 性能監視、ログ監視
- 構成管理、構成記述ツール
このような支援ツールを活用することで、「技術情報の収集」や「クラウドシステムに係る設定項目の確認」「ノウハウの蓄積」「定期的な設定値のチェックと対応」等、その他の対策への負荷の軽減も期待できます。
クラウド運用支援サービス
クラウドサービスでは、サービスの機能拡張や仕様変更に伴い設定項目や権限の追加・変更が実施されるため、設定不備について一時的に対策を行ったとしても、時間の経過とともにその効力が失われてしまいます。また、「支援ツール」を導入したとしても、アラート発生時の迅速な設定の修復や定期的な支援ツールのポリシーの見直しなどの運用業務が必要になります。
セキュリティ対策はツールの導入や一時的な対策を実施して終わりではなく、そこからの継続した運用が重要です。
弊社「クラウドセキュリティ運用支援サービス」では、支援ツールの活用により、パブリッククラウド(IaaS、PaaS、コンテナ)のリソースに対して、セキュリティリスクにつながる構成ミスやポリシー違反及び脅威の検知と通知、設定修復の実施、詳細調査及び改善提案までの一連の機能をサービスとして提供しています。
また、今回お話ししてきた内容は機能的には、CSPM や CIEM がメインですが、本サービスでは、コンテナ環境のぜい弱性やマルウェアに対する防御機能である CWPP に関する領域についてもサービスを提供しています。
ご興味がある方は一度ご参照ください。
※ CSPM(Cloud Security Posture Management)
※ CIEM(Cloud Infrastructure Entitlement Management)
※ CWPP(Cloud Workload Protection Platform)
クラウドセキュリティ運用支援サービス | ネットワンシステムズ
まとめ
近年、セキュリティインシデントを引き起こす要因の1つであるクラウドサービスの設定不備について、「クラウドサービス利用・提供における適切な設定のためのガイドライン」を簡単にご紹介しました。クラウドサービスの設定不備への対策の全体像を把握するためには良い資料だと思いますので、ご興味がある方は一度参照してみてはいかがでしょうか。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
