クラウドセキュリティ(CASB)

「クラウドファースト」で増えているIaaS活用。
その設定不備がセキュリティインシデントの温床に

意外と多いアカウント設定の不備。不正侵入や認証情報漏洩の危険性も

現在では「クラウドファースト」の考え方が当たり前になり、Amazon Web Services(AWS)やMicrosoft Azure、Google Cloud Platform(GCP)のIaaS上にシステムを構築するケースが増えています。IaaSを利用することで、サーバーやストレージ、ネットワーク等の機器を購入する必要がなくなり、システムを短期間で立ち上げることが可能になります。このメリットを評価し、事業部門自らがIaaSを契約し、その上でパッケージソフトなどを動かす事例も増えています。しかしこれによってシャドーITが横行し、十分なセキュリティが確保されていない状態で運用されているシステムも多くなっています。

なぜこのような問題が発生するのでしょうか。IaaSではCSP(クラウドサービスプロバイダー)の責任範囲がネットワークやハードウェアの提供に限定されており、その上で稼働するOSから上のレイヤーは、利用者側の責任範囲になるからです。そのため十分なセキュリティの知識がないユーザーが利用した場合に、設定の不備によるセキュリティ事故が発生しやすくなるのです。

その代表例として挙げたいのが、AWSのユーザーアカウントの取り扱いです。AWSを最初に利用する際には、AWSから付与されるアカウントを利用してアクセスすることになりますが、このアカウントはAWSリソースへのフルアクセスが許可されています。そのためこのアカウントを運用フェーズでもそのまま利用し続けるのは、たいへん危険なことだと言えます。AWSにアクセスするユーザーの役割や、プログラムが必要とする権限に合わせて、それぞれ個別のアカウントを作成・提供する必要があります。

このようなユーザーアカウントの管理やアクセス範囲の設定、アクセス方法の制限などは、AWS Identity and Access Management(IAM)で実施します。IAMユーザーは1つ以上のIAMグループに所属させ、各IAMグループには1つ以上のIAMポリシーを設定します。ここで注意しなければならないのが、全ての権限を持つIAMポリシーの存在です。このようなポリシーが適用されたユーザーは、UNIXの「root」、Windowsの「Administrator」と同じ権限を持つことになります。このようなアカウントが流出してしまえば、極めて危険な状態に陥ります。

またAWSマネジメントコンソールを使用してAWSリソースを操作できるIAMユーザーには、コンソールにサインインするためのパスワードが必要になりますが、そのパスワードポリシーも適切に設定しておかなければなりません。また不正アクセスを防止しやすくするには、すべてのIAMユーザーに対してMFA(Multi-Factor Authentication:多要素認証)を設定することが望まれます。

このようにユーザー管理だけを見ても、デフォルトのままではセキュアな状態とは言えないのです。

設定ミスの根本原因は技術的な知識不足!監査サービスの活用で危険性の回避を

このような設定の不備は、サーバーや仮想マシンの運用に慣れているITプロフェッショナルであれば、当然のように回避できるものです。しかし十分な知識がないユーザーが仮想マシン運用を行う場合には、見逃されてしまうことが少なくありません。そもそも何が問題なのか、理解せずに運用されているケースも多いのです。

このような問題の解決に役立つのが、「Netskope」の活用です。これは2012年10月に設立されたNetskope社が提供するCASB製品であり、同社はIT調査会社から2年連続でCASB市場のリーダーとして認定されています。CASBとは米ガートナーが2012年に提唱したコンセプトであり、ユーザーとマルチクラウドの間に単一のコントロールポイントを設け、ここでクラウド利用の可視化や制御を行うことで、全体として一貫性のあるセキュリティポリシーを提供できるようにする、というものです。Netskopeにもそのために、可視化・分析、コントロール、データ保護、脅威防御という4つの機能が装備されており、全てのユーザー、全てのデバイス、全ての場所からのクラウド活用を、安全に行えるようになっています。

ここで注目したいのが、Netskopeにはオプションサービスとして、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)を監査する、「Netskope IaaS Professional」が用意されていることです。これはNetskopeが継続的にユーザー企業のAWS環境の設定情報を監査し、その評価結果をレポートすると共に、是正手段も提示するというもの。評価方法としては、インターネットセキュリティの標準化団体である「CIS(Center for Internet Security)」のベンチマークに基づいた方法の他、顧客企業独自のルールに基づく評価にも対応。現在ではAWSだけではなく、AzureやGCPも評価対象としてカバーしています。

このようなサービスを活用することで、セキュリティ上の問題につながる設定の不備やミスを、明確な形で可視化できます。また具体的にどうすれば是正できるかも提示されるため、問題解決も迅速に行えます。

設定に問題を抱えたまま運用されている仮想マシンは、攻撃者から見れば絶好の攻撃対象です。またこのような仮想マシンの存在は、スキャンツールを使うことで簡単に発見できます。攻撃者に発見・攻撃される前に、自分たちが運用している仮想マシンが適切な設定になっているか、きちんと確認して対処することをおすすめします。

Netskopeとは?

クラウドサービスの安心・安全な利用を実現するセキュリティソリューションとして、企業での導入が進む「CASB(Cloud Access Security Broker)」。Netskopeは、グローバルでトップクラスの導入実績をもつ信頼性の高いCASBソリューションです。ユーザーの利便性を損なうことなく、クラウドサービスの可視化・コントロール・データ保護・脅威防御という4つの機能で、企業のセキュリティ対策の強化を支援します。

Netskopeが選ばれる理由

33,000種類以上のクラウドサービスのリスクを可視化

Netskope

33,000種類以上のクラウドサービスをトラッキングし、詳細な評価を提供する辞書機能を有しています。

SaaS / IaaS / Web
サービスに対応

Netskope

Netskopeだけで、SaaS/IaaS/Webサービスのアクティビティの可視化とコントロールを実現します。

柔軟な4つの導入タイプ


Netskope

クライアント端末にエージェントを導入するタイプやAPIで接続するタイプなど、複数の導入タイプを用意しています。




Netskope製品情報 SaaS、IaaS、Webサービス環境に対して、1つのクラウドプラットフォームで強固なセキュリティ機能を提供します。また、クラウドベースのゼロトラストネットワークアクセス(ZTNA)ソリューション「Netskope Private Access」も新たに提供開始しました。
連携アプリ Netskopeと各種クラウドサービスの連携を実現することで、さまざまな機能を利用することができます。
導入事例 Netskopeは、企業規模問わずにさまざまなお客様にご活用いただいており、国内事例をご覧いただけます。
セミナー・イベント Netskopeをはじめとするクラウドセキュリティに関するセミナーやイベント出展に関するトピックをご案内しております。

関連ソリューション

関連セミナー

セミナー・イベント
オンラインセミナー
テレワーク時代に必要な「ゼロトラストセキュリティ」とは
会期: 7月29日(水)
オンラインセミナー
手軽に実現!テレワークPCのセキュリティ対策
会期: 7月17日(金)、8月21日(金)
オンラインセミナー
VPN機器不要のクラウド型リモートアクセスとは
会期:8月20日(木)、9月25日(金)
オンラインセミナー
売れ筋「IT資産管理ツール」比較セミナー
いつでも視聴可能
オンラインセミナー
CASBって何?クラウドセキュリティ入門セミナー
いつでも視聴可能
お気軽にお問い合わせください
資料ダウンロード ご相談・お問い合わせ
03-5297-3487 (平日 9:00〜17:00)