フォーム読み込み中
ご覧いただきありがとうございます。クラウドエンジニアの今井です。
皆さんは「情報漏洩」という単語から過去の事例や出来事が容易に思い浮かぶのではないでしょうか。クラウドの領域においても、設定ミスなどにより甚大な情報漏洩に発展するセキュリティリスクが存在しており、それらを適切にケアすることが企業/個人には求められています。昨今の世の中の趨勢としては、ここで例に挙げた情報漏洩に限らず、様々なセキュリティ問題に対して慎重に取り組む必要があります。
Alibaba Cloudでは、セキュリティ向上のための機能が豊富に提供されています。本記事ではそれら機能の一つである「コンフィグアセスメント機能」についてご紹介します。この機能を用いることで、自身が保有するリソースの設定にセキュリティリスクがないか手軽に確認することができます。
1. コンフィグアセスメント機能の概要
コンフィグアセスメント機能は、Alibaba Cloudのセキュリティ系プロダクトである「Security Center」に搭載されている機能の一つです。この機能では使用している各種リソースの設定に何らかのセキュリティリスクやエラーが存在しないかを確認することができます。チェック可能なプロダクトはコンピューティング系、ネットワーク系、ストレージ系、データベース系と多岐に渡ります。またチェック可能なアイテム(チェックアイテム)数は記事執筆時点(2024年3月)で512個存在します。
具体的にどのようなチェックアイテムが存在するかについては、例えばECS(Elastic Compute Service)であれば、セキュリティグループに外部からの通信をanyで許可するルールが存在しないか、ECSへのログイン時の認証設定がパスワード認証でなくキーペア認証に設定されているかなどを判断するチェックアイテムが用意されています。
大量のリソースがある環境では、一つ一つリソースの設定をチェックするのは手間も時間もかかりますが、コンフィグアセスメント機能を利用することで、様々な設定項目を簡単なコンソール操作で確認することができます。またその際にセキュリティリスクの検知が行われるだけでなく改善方法についても案内があるため、セキュリティ対策やリスクの軽減をスムーズに行うことができます。
2. 料金
料金計算
コンフィグアセスメント機能は下記の計算式で料金が請求されます。
料金 = 単価 × クォータ × サブスクリプション期間
単価
チェックアイテムごとに 0.02(USD)
クォータ(1ヵ月単位)
リソースに対してチェックが行われる度に消費される値であり、コンフィグアセスメント実施の前に購入しておく必要があります。コンフィグアセスメント実施によるクォータの消費量は下記の計算式で求められます。
消費量 = スキャンされたリソースの総数 × チェックアイテム数
サブスクリプション期間
Security Centerのサブスクリプション期間
無料枠
Security Centerのエディションごとにコンフィグアセスメント機能の無料枠が用意されています。
Basic, Anti-virus:20以上のチェックアイテム
Advanced:40以上のチェックアイテム
Enterprise, Ultimate:200以上のチェックアイテム
3. 機能検証
ECSのセキュリティグループにECSに対する外部からの通信を全て許可するルールが存在するのはセキュリティ上好ましくありません。そこで、今回はコンフィグアセスメント機能を使用して、ECSのセキュリティグループに外部からの22番ポートへの通信をanyで許可するルールが存在するかどうかを確認する手順をご紹介します。
3.1. 事前準備
事前準備としてECSのセキュリティグループを2つ用意します。実際にコンフィグアセスメント機能をご利用いただく際は既に存在しているリソースに対して実施いただければと思います。
セキュリティグループA(セキュリティグループ名:security-group-A)
アクセス元を問わずインバウンド方向の22番ポートへのアクセスを許可
セキュリティグループB(セキュリティグループ名:security-group-B)
アクセス元IPが192.168.0.0/16である場合インバウンド方向の22番ポートへのアクセスを許可
また今回コンフィグアセスメントで使用するチェックアイテムは次の通りです。
チェックアイテム名
Ensure no security groups allow ingress from 0.0.0.0/0 to port 22
3.2. チェック実施手順
ここからは実際のチェック手順をご紹介します。
チェックの実行
①Security Centerコンソールにアクセスし、画面左側のメニューより「Risk Governance」の「Configuration Assessment」を選択します。その後、表示された画面にて「Configuration Check」タブをクリックします。
②検索ボックスでチェックを実施する対象のプロダクトを選択(本検証では「ECS」を選択)しチェックアイテムを検索します。画像ではプロダクト名で検索していますが、チェックアイテム名でも検索可能です。
③対象のチェックアイテム名の横にあるチェックボックスにチェックを入れます。その後、画面下部にある「Scan」ボタンをクリックしチェックを実行します。
④しばらくするとチェックの実行が完了し、Status列が「Not Checked」から「Passed」あるいは「Not Passed」に変化します。各ステータスの意味は次の通りです。
Not Checked
チェックが実行されていない
Passed
対象リソースがチェックアイテムの条件を満たしている
Not Passed
対象リソースがチェックアイテムの条件を満たしていない
チェック結果の確認と対処
⑤チェックアイテムのActions列の「Details」をクリックします。その後、表示された画面で「Impact」タブを選択します。
「Impact」タブにはチェック結果としてチェックが実施されたリソースの一覧が表示されます。Status列が「Passed」のものはチェックアイテムの条件に準拠しているため問題ありません。しかしながら、「Not Passed」のものについては対処する必要があります。
セキュリティグループAの結果:対処の必要あり
セキュリティグループBの結果:対処の必要なし
⑥対処方法は「Solution」タブより確認できます。「Solution」に記載されている案内に従い、セキュリティグループの設定を変更します。
⑦再度「Impact」タブに戻り、「Actions」列のVerifyをクリックします。なお「Verify」をクリックすることによる追加のクォータ消費はありません。
設定内容に問題がなければStatusが「Passed」に変化します。
4. チェックの定期実行
コンフィグアセスメント機能はチェックポリシーを作成することで定期的な実行が実現可能です。チェックポリシーの設定では「Detection Cycle」パラメータで曜日を選択し、「Detection Time」パラメータで実行時間帯を選択します。これにより実行タイミングを調整することができます。また、「Check Item」パラーメータで定期的にチェックしたいチェックアイテムのみを選択することでチェックアイテムを絞ることができます。
5. 使用感
この機能を使用してみた結果感じたこととして、やはり一番の魅力は数クリックの操作で画像のように自身が所持するリソース全ての設定確認が行えることだと感じました。
今回選択したのはECSのセキュリティグループに関するチェックアイテム1つのみでしたが、実際にはチェックアイテムを複数選択することで、選択したチェックアイテム全てについて一括で確認を行うことができます。これにより、複数プロダクトを利用中であったとしても、環境全体の設定を容易に確認することが可能です。
また、チェックを実行する際はその時点で存在するリソースが自動的にチェック対象に追加されます。これは手動実行のみならず、チェックポリシーで定期実行した場合にも同様です。これにより、リソースを新規作成した際に、手動でチェック対象を追加する手間がかかりません。
一方で、希望どおりのチェックアイテムが存在しないケースなど、痒い所に手が届かない場合もありました。こちらについては今後のアップデートにより改善されることが期待されます。
まとめ
本記事では、Alibaba CloudのSecurity Centerに搭載されているコンフィグアセスメント機能についてご紹介しました。この機能を利用することで、手軽にクラウド上のリソースの設定を確認することができます。さらに、定期的な確認の実行も可能ですので、セキュリティ対策を継続的に行うことができます。
皆さんもコンフィグアセスメント機能を活用するという手段を、セキュリティ対策の一つとして選択してみてはいかがでしょうか。
関連サービス
Alibaba Cloud
Alibaba Cloudは中国国内でのクラウド利用はもちろん、日本-中国間のネットワークの不安定さの解消、中国サイバーセキュリティ法への対策など、中国進出に際する課題を解消できるパブリッククラウドサービスです。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
