クラウド環境のセキュリティリスクを可視化する「ORCAクラウドセキュリティプラットフォーム」　―クラウド移行が加速する今、セキュリティ対策の強化が必要

オンプレミスからクラウドへ

これまで設備やソフトウェアを利用するには、購入して保有するのが一般的でした。オンプレミスと呼ばれる方式です。一方でクラウドとは、保有はせず、インターネット経由で利用する形態を指します。身近なところでは、GoogleのGmailなどのメールサービスがわかりやすい例かと思います。スマートフォンやパソコンでメールを確認するとき、デバイスの中にメールはありません。Googleのメールサーバーの中に保存されたデータを、インターネット経由で見ていることになります。

今、企業の基盤となる業務システムなどもクラウド化が進み、さらにその提供されるシステムが構築されている環境も、クラウドへの移行が進んでいます。一方、セキュリティ対策には課題もあります。本稿では、クラウド化が進む中、セキュリティ強化に向けて、セキュリティリスクを可視化するソリューションをご紹介いたします。

クラウドの市場規模

いったいなぜ、クラウドへの移行が進んでいるのでしょうか。クラウドのメリットは何といっても、「必要な環境」を「必要なとき」に「必要なだけ」、柔軟に使えることです。利用量が多いときにはアクセス障害が出ないように処理能力や台数を増やす。少ないときには使用数を減らして料金を抑える。これらをオンラインで簡単に変更できるのが特長です。また、自分たちで設備管理を行う必要がないため保守費が不要で、サービスの稼働率も非常に高いため、利用者は安定的なサービス提供を受けられます。インターネットを通じ、作業場所にとらわれることなく、どこからでもアクセス可能なことから、テレワークの拡大を機に、導入がさらに進んでいます。

クラウドプロバイダーの市場規模を見ても拡大し続けていることが確認できます。米国調査会社のSynergy Research Groupによると、2021年の全世界でのクラウドプロバイダーの売上高は1,780億米ドルと推定され、前年比で37%成長しています。その中でも、Amazon Web Services(AWS)・Microsoft Azure(Azure)・Google Cloud Platform(GCP)の3つのクラウドサービスは、売上高全体の60％超を占めており、主要な3サービスと言えます。

クラウドの利用が進むにつれセキュリティ対策には課題も

クラウド導入が進む一方で、セキュリティ会社Sophos社の調査レポート「クラウドセキュリティの現状2020年版」によると、クラウドサービス利用者の9割以上がセキュリティに対して少なくとも中程度の懸念を感じています。オンプレミスのシステムと違い、クラウドサービス上のシステムはインターネット上に存在します。社員だけがアクセスするようなシステムであったとしても、設定次第で誰でもどこからでもアクセスができてしまいます。また、実際にサイバー攻撃を受けたことがある企業への調査では、侵入された原因のうち、3割強がアカウント認証情報の漏洩、2割強がクラウド環境の設定ミスでした。

クラウドサービスの利用にあたっては、提供されるサービスは何か、事故や障害が発生した際の責任は誰にあるのか、規約をよく確認しておく必要があります。クラウドサービスの多くは、サーバーやストレージなどの設備を提供しますが、クラウド上に構築した環境のセキュリティ管理責任は利用者側にあるとしています。例えば、クラウド上に構築したシステムの脆弱性が原因で、利用者の情報が盗み取られるなどの不利益が生じた場合、責任は利用者にあります。クラウドプロバイダーは補償してくれません。あくまで利用者は設備を借りているだけだからです。賃貸住宅で、部屋の鍵をかけ忘れて外出して泥棒に入られたとしたら、誰に責任があるか、と考えるとわかりやすいかもしれません。

クラウドサービスには多くのメリットがあり、今後もますます利用者が増えていくと思われます。しかし同時に、利用にあたっては、これまで以上に慎重かつ丁寧なセキュリティ対策が必要となることを認識しておく必要があります。

リスクを可視化する「ORCAクラウドセキュリティプラットフォーム」

東陽テクニカでは、クラウド環境を診断しリスクを可視化するセキュリティ強化製品として「ORCAクラウドセキュリティプラットフォーム」を提供しています。Orca Security社は、2018年にイスラエル・テルアビブで設立されました。2021年には、米国ITアドバイザリー大手のGartner社が選ぶ、革新的で注目すべき企業「Gartner Cool Vendor」のクラウドセキュリティポスチャー管理(CSPM)部門で、最高得点を獲得しています。製品の発売以来、多くの業界で導入が進んでいます。

「ORCAクラウドセキュリティプラットフォーム」は、主要な3つのクラウドサービス(AWS・Azure・GCP)に対応し、セキュリティ上の問題点を横断的に検知し解決策を提案します。クラウド環境が複数に分散していても、診断結果は1つのダッシュボードに集約されるため、利用者はひと目でクラウド環境全体の状況を把握することができます。また、クラウドプロバイダー各社が提供しているセキュリティガイドラインとの照合を行い、ガイドラインに沿わない環境設定に対しては解決策を提言します。そのため、利用者が設定ミスや不適切な設定に気づき、サイバー攻撃を受ける前に対策することが可能です。さらに、Orca Security社ならではの独自技術により、クラウド環境のスナップショットを一時的に作成し、そのスナップショットをスキャンしてセキュリティ検査を行います。そのため、検査対象のクラウド環境のパフォーマンスを落とすことなく、クラウドセキュリティを強化することができます。

図1: 「ORCAクラウドセキュリティプラットフォーム」のダッシュボード
(クラウド環境全体の状況がひと目でわかる)
「ORCAクラウドセキュリティプラットフォーム」の製品ページ
https://toyo-slc.com/orca/

サンプル環境で試してみると…アラートが出た！

検知事例を見てみましょう。対象はAWSのサンプル環境です。果たして何が検知されるでしょうか。

検知を開始するためには、「ORCAクラウドセキュリティプラットフォーム」の管理画面からAWSのログイン情報を入力して連携します。後は数時間待つだけで検査完了です。

図2: 比較するフレームワークの選択画面

出てきたアラートは、脆弱性、ユーザーやネットワークの設定ミス、ラテラルムーブメント(企業ネットワークに侵入したマルウェアが、ネットワーク内で他の場所へと拡散すること)の可能性など、5種類。アラートは、優先順位がつけられて届けられるため、対処の順番付けもしやすいです。中にはApache Log4jに関する脆弱性や、平文で保存された認証情報など、すぐに対処したほうがよさそうな内容も検知されています。また、アラートの中で「これは便利だな」と思ったのは権限設定に関するものです。作成したシステムユーザーに管理者権限を与えてみたところ、次のスキャンのタイミングでその変更が検知されました。検知時にメールやチャットなどで通知されるようにしておけば、不正ログインや設定ミスで権限設定が変わったときに気づくことができます。

図3: フレームワークに対する対応度がスコアで表示される

図4: ユーザー権限やログインに関するアラートの例

アラートを見ていて気づいたことがあります。アラートは全てのインスタンス(クラウド上の仮想環境)に出たわけではなく、インスタンスAには出ているけれどインスタンスBには出ていない、といった具合でした。日頃、動かしているインスタンスが複数あると、設定やアップデートの適用に差が生まれてしまいがちです。メインは優先的にメンテナンスしますが、どうしても他はおざなりになってしまうこともあるかと思います。しかし、メンテナンスが行われていないインスタンスが1つでもあると、そこがセキュリティの弱点となり、クラウド環境全体がサイバー攻撃に遭うリスクも高まります。皆さまも一度、「ORCAクラウドセキュリティプラットフォーム」でリスクを可視化してみてはいかがでしょうか。

おわりに

DX推進に必要とされるクラウド利用。そのメリットを存分に享受するためにも、セキュリティリスクの強化は欠かせません。東陽テクニカは今後も、「ORCAクラウドセキュリティプラットフォーム」の提供を通して、高度化するサイバー攻撃に対処し、セキュアで安定した通信インフラで誰もが安心して多様なサービスを利用できる社会の実現に貢献していきます。