クラウドサービスの利用において、顧客の個人情報を流出してしまうインシデントや、外部から閲覧できる状態になっていることに気づかないといった事案が増加しています。
クラウドサービスの利用は業務において必要不可欠となっていますが、公開範囲の仕様を理解していない、アクセス管理の範囲を間違えている、など些細なミスによって、全世界に機密情報が漏えいしてしまうことにつながります。
このブログでは、なぜそういったミスが起こるのか、防ぐためには何が必要なのかを解説します。

SaaS、IaaS/PaaSにおけるクラウド管理の課題

SaaS(Software as a Service)、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)は物理サーバがなくともサービスを利用できる便利な形態です。

※それぞれの詳しい違いはこちらのブログもご覧ください。

しかし、どちらの場合でも、利用者側の管理領域における一つの設定ミスで情報が世界中に公開されてしまうリスクがあります。

IaaS/PaaSの場合

SaaSの場合

総務省による「クラウドサービス利用における適切な設定ガイドライン」では、設定ミスによる情報漏えいは、「設定不備は、直接的にはクラウドサービス利用者による単純なミスによるものと考えることもできる。しかし、これらの事案の真因を考察すると、利用側においてはクラウドサービス利用に関する理解不足や不十分な管理・作業体制、提供側においては利用側において設定不備を起こさせないための情報・ツール提供不足やミスを起こさせにくい設計への配慮不足など、様々な要因が複雑に絡み合いながら積み重なることによって設定不備事案の発生に至っていることが想定される」と記載されています。

つまり、各ベンダ、事業者ごとに異なる設定方法や複雑な管理画面などを正しく理解して運用する必要があるということです。しかし、利用企業側ですべてのサービスに精通したエンジニアを抱えるや育成することは非常に困難であり、特定のエンジニアしか扱えないといった属人化の課題が生じています。

また、クラウドの特性として各部署で自由にサービスを立ち上げて利用しているケースもあります。そうした場合、情報システム部門が状況を把握しきれず、利用者任せになってしまっている企業も多く、結果として管理不備・管理不全が生じやすくなっていることが課題として挙げられます。

クラウドの設定ミスによるインシデントの４パターン

総務省による「クラウドサービス利用における適切な設定ガイドライン」では、クラウドサービス利用者側による設定ミスは以下４つのパターンに大別されています。

１．人・組織に関するもの
設定ミスに対する組織としての方針事項、技術情報収集、人材育成計画及び作業委託先やクラウドサービス提供者とのコミュニケーションが不十分であったことが要因。

２．作業規則・マニュアルに関するもの
環境の設定において、設定者の作業に対する設定管理者の承認などの作業規則やマニュアル整備が不十分であったことが要因。

３．システム動作環境における設定管理に関するもの
クラウドシステム動作環境に対する知識が不十分であったことや、次々にリリースされるクラウドサービスにおけるシステム環境の変化に追随するためのプロビジョニングが不十分であったことが要因。

４．システム動作環境の設定の方法論に関するもの
複雑化するクラウドシステムにおける動作環境の設定に対応する、設定管理のためのツール利用方法や設定のための方法論が不十分であったことが要因。

これらは、サービスの設定を行うのが利用者か提供者かに関わらず起こる可能性があります。

【オンデマンドウェビナー公開中】
> クラウドの設定ミスを防ぐための対策とは？クラウド資産を保護するセキュリティ

設定ミスによるインシデント事例

総務省の「クラウドサービス利用における適切な設定ガイドライン」では、近年起きたインシデントの事例も掲載されています。

事例１
クラウドサービス事業者が提供しているSaaSの機能変更を行った。これに伴い、当該SaaS のユーザアクセスに関するデフォルトの設定が変更され、結果的にセキュリティレベルが下がってしまった。クラウドサービスを利用する企業側はこれに気づかず、低いセキュリティレベルのまま利用し続けた結果、機密情報が大量に流出した。

事例２
従業員が個人的にクラウドサービスを利用し、自社の業務で利用する機密情報をクラウドに格納していた。後にこれらのファイルが公開設定になっていたことが外部からの指摘で判明した。

事例 3
業務委託先の企業がサーバからクラウドサービスへのデータ移行を行う際に、ストレージの設定が公開設定となっていた。これにより長期間にわたって機密情報が公開されていた。

いずれも機密情報の漏えいにつながっており、企業の社会的信用にも影響を及ぼしています。

クラウドの設定ミスを防止するCSPM/SSPM/CASBとは

設定ミスによるインシデントを防止するためには、「可視化」と「継続的な管理」が有効です。
SaaS、IaaS/PaaSのどちらにおいても可視化と管理が重要なことは変わりませんが、考え方が異なりますので分けてご紹介します。

SaaSの対応策「SSPM」とは

SSPM(SaaS Security Posture Management)とは、クラウド(SaaS)環境のセキュリティ体制(Posture)を継続的に監査・管理するツールのことです。

SaaSのセキュリティ設定に不備がないか（設定ミス、権限の過剰な付与、公開範囲の不備など）、コンプライアンスを遵守しているかなどを継続的に可視化、管理することで設定ミスを減らし設定状態を正しく管理することが可能です。

SSPMの機能

SSPMには大きく３つの機能があります。

１．構成・設定の分析、追跡の自動化
コンプライアンス準拠状況の評価、データアクセス権の評価により、リスクの検出を実施します。

２．分析結果の可視化
リスクの高い設定をスコアリングし、アラートを発報します。それらをダッシュボードにて継続的な監視が可能です。

３．リスクを軽減するための改善方法の教示
設定項目・設定パラメータにおいて、ルールとプロファイルに従って、設定改善の提案が可能です。

SSPMとCASBの違い

SaaSのインシデントリスク軽減には、CASB(Cloud Access Security Broker)というソリューションも利用されます。

CASBは、クラウドベースのアプリケーションやデータへのアクセスを監視し、セキュリティポリシーを適用してリスクを軽減します。これにはアプリケーションの可視化や、ユーザのアクセス制御やデータの暗号化、マルウェア検出などのセキュリティ機能の提供が含まれます。
クラウドプロバイダーとエンタープライズ間の仲介役として機能し、クラウド環境全体のセキュリティポリシーの一元管理を可能にします。

SSPMはアプリケーションの設定を評価し、それらが継続的にセキュリティポリシーや規制基準に準拠していることを保証します。アプリケーションを継続的に監視することで、設定の流出を防ぎ、監査の準備に必要な時間を大幅に短縮できます。

つまり、CASBは従業員がSaaSを利用する上でのリスク洗い出しをサポートする機能で、SSPMはSaaSを安全な設定で利用できているかチェックをサポートする機能です。

IaaS/PaaSの対応策「CSPM＋CWPP」とは

CSPM(Cloud Security Posture Management)​とは、クラウド(IaaS)環境のセキュリティ体制(Posture)を継続的に監査・管理するソリューション​のことです。CWPP(Cloud Workload Protection Platform)とは、クラウドサービス上のサーバや仮想マシン、そこで動作しているソフトウェアといったワークロードに対して提供するセキュリティソリューションです。

IaaS上のネットワークやファイアウォール、アカウントの設定に不備がないか（本来外部に公開してはいけないインスタンスに誤ってグローバルIPが付与されていないかなど）、各種セキュリティガイドラインやIaaSベンダーの定義するベストプラクティスを遵守しているかなどを継続的に可視化、管理することで設定ミスを減らし、設定状態を正しく管理することが可能です。

CSPMの機能

CSPMには大きく３つの機能があります。

１．IaaS/PaaS環境独自の設定項目に関する設定ミスを検出
設定監査項目をテンプレートとして保持しており、定期スキャンによりIaaS/PaaSの脆弱な設定を検出します。

２．フレームワークに準拠した設定監査項目を提供
NIST(National Institute of Standards and Technology)や CIS(Center for Internet Security Controls)、HIPAA(Health Insurance Portabilityand Accountability Act)、PCI-DSSといったセキュリティフレームワークに準拠した監査ポリシーを提供します。

３．マルチクラウドの1つのコンソールで管理
複数のクラウド環境を一元管理が可能です。

１つのダッシュボードで設定やアクセス状況を統合管理することにより、運用工数を削減することができます。

SSPM、CSPMが可能なソリューション

ソフトバンクでは、SSPMとして「Netskope」を、CSPMとしては「Cloud Guard Posture Management」をご提供しています。

「Netskope」について

CASBとの連携で不正なアクションを検知し修正することが可能です。お客さまの環境に合っているかどうか、「Netskopeサービスご紹介資料」にてご確認ください。
また、料金のご相談や正式導入前のPoC実施のご相談も可能です。お気軽にこちらよりご連絡ください。

「Cloud Guard Posture Management」について

IaaSの管理不全を可視化、評価、違反を検出しIaaSのセキュリティを強化、情報漏洩事故を未然に防止します。使いやすい管理画面で、セキュリティに詳しくない人でも運用が可能です。詳細は「CloudGuard Posture Managementサービス紹介資料」にてご確認ください。また、料金のご相談や無料トライアルが可能です。お気軽にこちらよりご連絡ください。

同じカテゴリーの記事をみる