クラウド時代の開発者はセキュリティから逃げられない
今や、便利なOSSを使用していない企業はほぼ存在しない。マイクロサービスアーキテクチャの普及により、従来のモノリシックなシステムから、APIを介してコンテナ化されたサービスが疎結合する構造に変化しつつある。つまり、言語やフレームワークが違っていても、APIで通信できれば問題ないということだ。そしてクラウドが普及したことで、開発者はハードウェアの制約などから解き放たれ、必要なインフラを自分で調達できるようになった。ロードバランサーやAPIゲートウェイなど、インフラの設定や管理ですら、物理的な作業の必要はなく、APIを介して自動化できる。
しかし、できることが増えれば、その分責任範囲も広がるということだ。例えば、OSSの利用は、同時に脆弱性を取り込むリスクもある。インフラの設定ミスは、セキュリティ事故や攻撃を招いてしまう。「アプリケーションからインフラまでさまざまな要素に関与するようになった結果、セキュリティを担保する責任も開発者に移りつつある」と、伊藤氏は現状を総括する。
ここで伊藤氏が紹介したのが、クラウド環境、特にIaaS・PaaSの総合的なセキュリティを確保するためのアプローチである「CNAPP」と呼ばれる概念だ。これはワークロード保護、権限管理、クラウドインフラやKubernetesの設定ミスの防止といった、さまざまなセキュリティ対策を横断的に網羅したものだ。CNAPPを提唱したGartnerによれば、CNAPPを効果的に実施するためには、DevSecOpsが欠かせない。つまり、開発初期の段階からセキュリティを考慮するシフトレフトを実践する必要があるのだ。ここでもセキュリティにおける開発者の重要性が意識されている。
CNAPPは非常に広範なセキュリティを網羅するが、実際に開発者が触れるべきツールは、アセットのレイヤーや、担当する職務によっても異なる。例えばアプリケーション層では静的解析、OSSでは脆弱性検査、VM・コンテナ層ではCWP(Cloud Workload Protection)、最下層のインフラ層ではCSPM(Cloud Security Posture Management)やCIEM(Cloud Infrastructure Entitlement Management)が重要になる。だが、それぞれのツールをバラバラに導入すれば、サイロ化を招いてしまうし、チームの共通言語を重視するDevOpsの理念にも反する。
「個々の開発者がセキュリティのすべてに精通するのは難しい。しかし、自分の担当領域以外は知らなくても良いというわけではない。チームで共通理解を確立できるように、統合されたプラットフォームでセキュリティ対策を進めるべきだというのがCNAPPのアプローチだ」(伊藤氏)
このCNAPPの考え方に基づく統合セキュリティプラットフォームの一つが、Tenable Cloud Securityだ。IaC、VM・コンテナ層・インフラ層を中心に、CNAPPにおけるさまざまなセキュリティを一つのツールで実施することができる。開発者、運用担当者、セキュリティチーム、さらにCSIRTや事業部門も含めて、ステークホルダーが同じUI・UXの下で情報を共有できることを目指しているという。
クラウドセキュリティで対策必須な3つのポイント
2024年にTenableが発表した、クラウドリスクレポートのエグゼクティブサマリーによれば、クラウドセキュリティには有害なトライアド(互いに影響し合い、悪影響をもたらす3つの要素)が存在するという。それは「脆弱性」「ミスコンフィグ」「過剰権限」の3点だ。開発者がセキュリティを考える際には、まずこの3点に注意する必要があると、伊藤氏は指摘する。それぞれ、課題と対策について検討してみよう。
(1)脆弱性
具体的な危険としては、仮想マシンやコンテナなどのワークロードに含まれる脆弱性が放置されやすいことが挙げられる。例えば、これらのワークロードに非常に古いソフトウェアが紛れ込んでいる場合があるが、その中には、深刻な脆弱性が含まれていることもある。このような脆弱性は、ゼロデイ攻撃の糸口となってしまう。例えばLog4jの脆弱性は10年前から存在していたが、実際に発見されたのは3年前のことだ。このように、脆弱性が発見されるタイミングは予測できないため、日頃からゼロデイ対策を講じる必要がある。対策としては、SBOM(Software Bill of Materials)の作成、つまりワークロードに含まれるソフトウェアをバージョン含めリスト化し、最低でも1日1回、継続的に脆弱性スキャンを実施することが必要だ。特にゼロデイ対策には、ワークロードスキャンの自動化が欠かせない。
(2)ミスコンフィグ
ミスコンフィグが生じる要因の一つは、クラウドリソースやデータの設定を一元的に把握できていないことだ。例えば、チームごとにバラバラにアカウントを管理し、勝手にリソースをプロビジョニングしていると、シャドウIT化が進行してしまいがちだ。また、PCI DSSやCISベンチマークといったコンプライアンス標準やベストプラクティスを無視することも、ミスコンフィグを招いてしまう。そこで、ガバナンスを徹底し、ミスコンフィグを防ぐために、マルチクラウド全体のリソースと設定を把握し、継続的に業界標準への準拠をチェックしなければならない。人手でこのような作業を行うのは現実的ではないため、やはりツールを活用し、自動スキャンと、客観的なレポートを作成する仕組みの整備が欠かせない。
(3)過剰権限
例えばユーザーがデータベースやオブジェクトストレージを消去できる権限を持っていると、悪用された場合には大変な被害が出てしまう。そのため、ゼロトラストの考え方を採用し、利用者に与える権限は、アクティビティログなどに基づき、必要最低限に留めなければならない。また多くの企業で、アプリとデータ分析に別々のクラウドを採用するなど、マルチクラウド化が進行しつつあり、権限管理は複雑になってきている。そのためクラウドをまたいだ権限の可視化も不可欠だ。
「点」ではなくコンテクストを踏まえ「面」のセキュリティ対策を
このように、クラウドセキュリティにおける脆弱性・ミスコンフィグ・過剰権限の問題に対処するには、ツールの活用と自動化が必要不可欠だ。そこで伊藤氏は、Tenable Cloud Securityを例に、それぞれの具体的な対策の実装例を紹介した。
TenableのCWPツールは、ワークロードに含まれる全ての脆弱性をリストアップし、各脆弱性の詳細をツール上で確認できる。また、マルウェアの検知も行い、危険なファイルのハッシュ値を出して、それが既知のマルウェアと一致した場合にレポートする機能もある。CSPMツールは、エージェントレスでスキャンが可能で、すべてのリソースについての設定内容を可視化できる。また、その設定が、コンプライアンスや業界標準のベンチマークにどの程度準拠しているか数値化してレポートすることが可能だ。CIEMツールは、リソースへのアクセス履歴を解析し、必要最低限の推奨権限を提案してくれる。さらに、クラウドやアイデンティティプロバイダをまたいだ権限確認も可能だ。
しかし、これらの対策を個別に実施するだけでは、本質的なリスクを解消することはできないと、伊藤氏は指摘する。
「例えば、脆弱性を抱えたワークロードが、外部から隔離されていれば安全だが、公開されていれば大きなリスクがある。サーバが乗っ取られたとしても、権限が限定されていればリスクは大幅に低下する。しかし大きな権限を持つサーバであれば、深刻な被害を招く恐れがある。有害なトライアドを踏まえて優先順位を付けながら、総合的にCNAPPに取り組む必要がある」(伊藤氏)
CNAPPにおけるTenableの最大の強みは、これらを包括したコンテクスト分析ができることだと、伊藤氏は言う。複数のリスク要因から、コンテクストに沿ってリスクを特定し、修復方法を提示してくれる。複雑なクラウドセキュリティを、分かりやすく可視化し、シンプルに対応できるのがメリットだ。
まとめとして伊藤氏は、「クラウドセキュリティにおける開発者の責任は重要になりつつある。開発者へのセキュリティ支援を行うのがCNAPPだ。今後ビジネスにおいてCNAPPはますます重要になるだろう」と述べ、講演を終えた。
