クラウドネイティブ機能+AIを用いたシフトレフトなセキュリティ対策

セキュリティオペレーション統括部 JSOCの賀川です。

システム開発や、環境構築、サービス提供に向けたプロジェクトなど、様々なシーンでクラウドプラットフォームを用いるのが当たり前になってきました。そこで気になるのが「プロジェクトの開始時点で、セキュリティ対策をしっかりと考慮できているかどうか」です。

ラックは2022年9月に「AIクラウドセキュリティ運用支援サービス」を発表^※しました。2023年3月、このサービスに新たな機能を追加し、サービス内容を拡充しています。ここでは、その内容を踏まえながら、クラウドネイティブ機能とAIを組み合わせた最新のセキュリティ対策を紹介します。

※ ラック、組織で利用するクラウド環境をサイバー侵害から守る「AIクラウドセキュリティ運用支援サービス」を提供

クラウドプラットフォームが抱える難しさ

クラウドプラットフォームは手軽でスピーディに環境を準備し、システムを構築できますが、一方で様々な被害事例が日々報道されています。例えば、セキュリティ面でクラウド特有の考慮が足りていない、後追いのセキュリティ対策となって運用が追い付いていない、対策し始めたものの後からどんどん考慮しなければいけないことが出てきて対応リソースやコスト面での負荷が増してしまうといった事態です。なんとなく対策をしているように見えて、実際には効果的なセキュリティ対策を打てていないのかもしれません。

既にシステムを運用中のために後付けで対応せざるを得ないものや、設計時点からセキュリティを考慮した形で進めるのは難しいという実態があるのも事実です。そのような厳しい状況にもかかわらず「なぜ設計段階から考慮しておかなかったのか」という指摘を受けないようにしたいところです。

そこで、設計段階など、可能な限り早期の段階で実施すべきセキュリティ対策を盛り込んでおく「シフトレフト」なセキュリティ対策が注目を集めていて、いわゆる後付けの対策と比較して、コスト削減効果が高いという調査結果が複数発表されています。

AIクラウドセキュリティ運用支援サービスは、クラウドネイティブ機能を用いてシフトレフトを実現するセキュリティ運用支援サービスです。クラウドネイティブ機能を用いることで素早く導入でき、AIによる高い予防効果も期待できます。また、適切な設定に基づいたセキュリティ対策効果を継続して発揮できるのが特徴です。

なぜクラウドネイティブなセキュリティ機能を用いるべきなのか

クラウドプラットフォームの利用については責任共有モデルが採用されていて、ハードウェア、ネットワーク周りなどインフラストラクチャ部分についてはプラットフォーム側の責任範囲となっています。

一方で、利用者であるユーザ側の責任範囲についても明示されていて、ネットワーク周りの設定、アプリケーション利用における管理、データの暗号化、アクセス制御を含む権限の管理などがユーザの責任範囲となります。

ユーザ側の責任範囲とはいえ、クラウドプラットフォーム事業者によって、対応に必要なセキュリティ機能がサービスとして提供されているので、適切に使用できれば利用料は必要なものの、セキュリティを高めることが可能です。個別にセキュリティ対策を行うより、費用面はもちろん、運用面でも効率的に対応が行えます。

ただし、セキュリティ機能をサービス利用していても、設定そのものに不備があったり、権限管理に問題が存在したりしていては、防げるものも防げません。結果として、思わぬインシデントの発生へとつながってしまいます。サービスを利用するだけでは、セキュリティ対策をした「つもり」になっているにすぎず、正しく利用できているとは言えません。

加えて、オンプレミスのセキュリティ製品のように、数年に一度のラインナップ更新に伴って新機能が提供されるわけではありません。毎年数多くの機能追加やアップデートが断続的に実施されるため、一度設定を正しく行ったとしても、随時追加される機能や必要な設定内容を把握し、適切な対応を継続しなければなりません。

セキュリティに関するいわゆるベストプラクティスが、世の中の情勢とともに変化していくのに対し、オンプレミス環境では機器の追加やシステム換装に伴うタイミングでの考慮に限定されてしまいます。クラウドプラットフォームであれば、ベストプラクティスを満たすために最新の機能が素早く低コストで提供され、利用できます。一方で、利用・管理形態が様々であるため、利用環境に応じて適切に管理し続けるには相応の知見と対応リソースが必要となります。

シフトレフトを実現するネイティブセキュリティ機能を追加

大切なのは、クラウドプラットフォームの利用を開始する時点で、セキュリティを考慮に入れておくシフトレフトなセキュリティです。ソフトウェア開発におけるDevOpsのように、利用開始の時点から素早くセキュリティ機能を実装、運用するには、クラウドプラットフォームが提供するネイティブなセキュリティ機能を利用するのがアプローチとして適切であると考えます。

もちろん、セキュリティ機能を利用したとしても、膨大なログにまみれるような運用では意味がありません。プラットフォーム利用を妨げることなく迅速かつ高い頻度でセキュリティの品質を保つ必要があり、セキュリティ機能と運用者とが緊密に連携することで、初めて適切な運用が可能となります。

今回、JSOCではクラウド利用されるユーザ側において運用上ネックになることの多い、「設定管理」「脆弱性管理」について、クラウドプラットフォーム側が提供するネイティブなセキュリティ機能と、独自のAIを用いて対応が必要な個所の早期発見、加えて行うべき対応内容を適切に通知するサービスをリリースします。

既に、AWSプラットフォームを対象として、WAF（Web Application Firewall）の防御力を高めるAIクラウドセキュリティ運用支援サービスを提供していますが、今回さらなる追加機能として、設定ミスや管理不備に対応するCSPM（Cloud Security Posture Management）と、仮想サーバであるAmazon EC2および、コンテナレジストリ Amazon ECRに含まれる、脆弱性の検出と管理を行うVM（Vulnerability Management）機能、そしてアウトバウンド通信などを対象とするNFW（Network FW）機能を加えて、新たにサービスをリリースします。

クラウド設定検査支援機能「CSPM」

AWS Security Hubを中心としたネイティブセキュリティ機能による検知結果と、サービス独自の調査結果を組み合わせて、設定不備の検知および対策を支援します。

脆弱性管理支援機能「VM」

Amazon Inspectorを活用し、Amazon EC2、Amazon ECR上のシステムにおける既知の脆弱性有無を検査し、迅速に発見。対処方法をユーザに通知します。

Network FW機能（NFW）

AWSの仮想ネットワーク「VPC（Virtual Private Cloud）」間の通信やアウトバウンド通信を対象に脅威インテリジェンスを活用した防御ルールを提供し、マルウェア通信などをブロックします。

日本語による通知で明確な対応を支援

AIクラウドセキュリティ運用支援サービスは、クラウドネイティブ機能を用いたセキュリティ対策として、ネックになりがちなポイントをしっかりカバーします。

グローバルなプラットフォームであるために、日本語へのローカライズは機能面に限られている傾向があります。そのためログなどを専門知識のない方が見ても、直感的に理解できないことが多いでしょう。対応が必要だとしても、実際に設定したことがない方は内容を把握できず、通知を受信後に実施するべき対応について、担当部門へ情報を連携しようにも誰に何を伝えたらいいのか困ってしまう場面が想像できます。

AIクラウドセキュリティ運用支援サービスにおけるCSPM機能については、AWSプラットフォームにおける複数のログを基にして、独自の調査結果から設定の不備を見つけ出します。AWSプラットフォーム上には多種多様なログが存在しますが、ログ情報をそのまま通知されたとして、適切な行動に移すことができる方はどれだけいるでしょうか。ログは蓄積するだけでは意味がなく、「何が起きているか」「何をすべきか」まで含めて把握することで意味を持ちます。

よくある例として挙げられる

• 通知されるアラートを見て何をすればいいのか直感的にわからず、結局対応に時間を有してしまう
• 対応が必要な事象をアラートとして通知してくれるのは良いけど、セキュリティ担当者しか内容を把握できない
• 管理者へ情報展開するのに、都度情報の追記をしなければならず、面倒に感じる

といったお困り事象を解消できるように、推奨する対応方法についての通知は日本語で記載して行われます。

対処すべき箇所と、具体的な内容がわかれば実際に対応にあたる担当者との連携についてスムーズに行うことが可能となります。セキュリティ担当者でなくても、通知の内容を把握できれば、行うべき対応や情報連携、責任者への適切なエスカレーションなど必要な行動につなげることができ、結果としてセキュリティ品質を高められます。

ラック 診断サービスとの連携

上述した通り、ラックではAIクラウドセキュリティ運用支援サービスによって、クラウドプラットフォームにおける予防力を高めることができますが、より迅速にチェックを行いたいという場合に、必要に応じてクラウドセキュリティ設定診断（スポット診断）を個別に実施することが可能です。

クラウド環境は開発者が簡単に構築できる一方、設定ミスや脆弱性の見落とし、セキュリティ管理から漏れている野良クラウドなどの問題によって、重大な情報セキュリティ事故に発展するリスクがあります。
いつでも、必要な時に手軽に利用できるスポット診断を活用し、クラウド環境構築後に早期に診断を実施することが可能であり、利用開始前のチェックを行い短期間でクラウド環境のセキュリティ上の問題を把握できます。

まずはスピーディに診断を行うことで必要な対処を行い、その後の運用フェーズにおいてはAIクラウドセキュリティ運用支援サービスによって、定常的な設定の確認や、脆弱性の有無をチェックすることで、プロアクティブなサイバーセキュリティ対策が実現可能であり、クラウドプラットフォームを健全な状態で保ちながら活用することが可能となります。

AIクラウドセキュリティ運用支援サービスは、クラウドネイティブ機能を用いるため、導入が比較的容易です。適切な情報を適切なタイミングで必要な情報を含めて通知するシフトレフトなセキュリティを実現するための一助としてAIクラウドセキュリティ運用支援サービスのご利用を検討いただければ幸いです。