「点」ではなくコンテクストを踏まえ「面」のセキュリティ対策を
このように、クラウドセキュリティにおける脆弱性・ミスコンフィグ・過剰権限の問題に対処するには、ツールの活用と自動化が必要不可欠だ。そこで伊藤氏は、Tenable Cloud Securityを例に、それぞれの具体的な対策の実装例を紹介した。
TenableのCWPツールは、ワークロードに含まれる全ての脆弱性をリストアップし、各脆弱性の詳細をツール上で確認できる。また、マルウェアの検知も行い、危険なファイルのハッシュ値を出して、それが既知のマルウェアと一致した場合にレポートする機能もある。CSPMツールは、エージェントレスでスキャンが可能で、すべてのリソースについての設定内容を可視化できる。また、その設定が、コンプライアンスや業界標準のベンチマークにどの程度準拠しているか数値化してレポートすることが可能だ。CIEMツールは、リソースへのアクセス履歴を解析し、必要最低限の推奨権限を提案してくれる。さらに、クラウドやアイデンティティプロバイダをまたいだ権限確認も可能だ。
しかし、これらの対策を個別に実施するだけでは、本質的なリスクを解消することはできないと、伊藤氏は指摘する。
「例えば、脆弱性を抱えたワークロードが、外部から隔離されていれば安全だが、公開されていれば大きなリスクがある。サーバが乗っ取られたとしても、権限が限定されていればリスクは大幅に低下する。しかし大きな権限を持つサーバであれば、深刻な被害を招く恐れがある。有害なトライアドを踏まえて優先順位を付けながら、総合的にCNAPPに取り組む必要がある」(伊藤氏)
CNAPPにおけるTenableの最大の強みは、これらを包括したコンテクスト分析ができることだと、伊藤氏は言う。複数のリスク要因から、コンテクストに沿ってリスクを特定し、修復方法を提示してくれる。複雑なクラウドセキュリティを、分かりやすく可視化し、シンプルに対応できるのがメリットだ。
まとめとして伊藤氏は、「クラウドセキュリティにおける開発者の責任は重要になりつつある。開発者へのセキュリティ支援を行うのがCNAPPだ。今後ビジネスにおいてCNAPPはますます重要になるだろう」と述べ、講演を終えた。
