第114回 雲勉【オンライン】セキュリティの『わからない』が『ちょっと分かる』に変わる 60分 〜CSPM から始めよう！ クラウド環境のセキュリティ〜

Transcript

1. 第114回 雲勉【オンライン】 CSPMから始めよう︕ クラウド環境のセキュリティ

2. 自己紹介 2 ▪ 佐伯 康浩 • クラウドインテグレーション事業部 セキュリティセクション セキュリティ系サービスの運用保守やサービスの検討をやってます •

   2022年 9月 入社 • アイレット歴 ＝ クラウド歴 • 前職は銀行で情シスやセキュリティを担当していました

3. アジェンダ 3 1. クラウド環境の設定不備、管理できてますか？ 2. CSPM (Cloud Security Posture Management)

   とは 3. AWS Security Hub について 4. Security Command Center について 5. サードパーティの CSPM 6. CSPM の活用とセキュリティ強化 7. おわりに

4. 本日のゴール 4 • クラウド環境の設定不備の重大性を理解する • CSPM の概要を理解する • CSPM やってみよう！と感じる

   • 詳細な運用方法の説明 • CSPM 以外のセキュリティの話 やらないこと

5. 5 クラウド環境の設定不備、管理できてますか？

6. オンプレミス環境のセキュリティ 6 • ファイアウォールによる明確な境界 • 境界を監視・防御すること一定の安全を確保 出入口はここだけ

7. クラウド環境のセキュリティ 7 • 明確な境界は存在しない • さまざまな場所からいつでも簡単にリソースが公開可能 公開可能 公開可能 公開可能 公開可能

   公開可能

8. クラウド環境の設定不備によるインシデント事例 8 • オブジェクトストレージの設定が公開設定となっており、長期間 にわたって機密情報が公開されていた ➢ 不正にアクセスされ、機密情報が漏洩した • ネットワークの設定不備で、仮想マシンへのパブリックアクセス が許可されていた

   ➢ 不正にアクセスされ、コンテンツが不正に書き換えられた • 不要なIAMアクセスキーを発行していた ➢ アクセスキーを不正利用され、高額なインスタンスを起動された

9. クラウド環境の設定不備によるインシデント事例 9 クラウド環境の設定不備が重大なインシデントに繋がるのはわかった。 それをうまいことばーっとチェックしてくれてなんかええ感じに見やすく管理で きるといいんやけど難しそうやなぁ・・・ CSPM を利用しましょう！

10. 10 CSPM (Cloud Security Posture Management) とは

11. 11 CSPM とは？ Cloud Security Posture Management （クラウドセキュリティ態勢管理） クラウド環境のセキュリティに不備がないか（設定ミス、過剰な 権限、過剰な公開範囲等）、標準的なコンプライアンスに準拠し

    ているかなどを継続的にチェックし、管理する機能です。

12. 12 CSPM とは 各リソースの設定内容をチェック

13. 13 CSPM の主な機能 CIS、NIST、PCIDSS 等の各種セキュリティ標準に 準拠しているかを評価し、クラウド環境の設定不備を検出する 設定不備の検出結果を通知する クラウド環境の各種セキュリティアラートを可視化する

14. 14 主なCSPMサービス（製品） TIPS それぞれのサービス（製品）で備えている機能に差はありますが、前ページで示したような CSPM の機能を備えています。 AWS Google Cloud サードパーティ製品

    AWS Security Hub Security Command Center Sysdig Prisma Cloud etc.

15. 15 AWS Security Hub について

16. 16 AWS Security Hub の概要 AWS Security Hub • AWSリソースの設定がセキュリティのベストプラクティスから逸脱し

    ていないかを自動的にチェックするサービス • GuardDuty と並び、AWS を使い始めたら、まず有効化しておきたい セキュリティサービスのひとつ • その他のセキュリティサービスと統合することにより、検出結果を一 元的に可視化することが可能 • Organizations と統合することで、組織内アカウントの検出結果を集約 することも可能

17. 17 AWS Security Hub の主な機能 • 各種セキュリティ標準ごとに評価結果を表示 • 検出結果をスコア化して表示 •

    AWS のセキュリティ関連サービスの検出結果 を集約 • 数クリックで簡単に有効化 • 検出除外の設定もコンソールから簡単に可能 TIPS 最近のアップデートで、指定した条件を満たす検出を自動的に抑制したりする設定も可能 となっています。

18. AWS Security Hub の有効化 18

19. 19 AWS Security Hub の活用例（通知例） ・通知条件を設定 ・ターゲットの設定 ・通知先の設定 ・Security Hubへ統合

20. 20 Security Command Center について

21. 21 Security Command Center の概要 Security Command Center • Google

    Cloud のセキュリティ・リスク管理サービス • Google Cloud 環境の構成ミスや脆弱性、脅威を検出し、可視化する ことが可能 • 無料のスタンダードティア、有料のプレミアムティアがあり、使え る機能に差がある。 TIPS 従来はプレミアムティアを有効にする場合、組織単位でのサブスクリプション契約が必要 でしたが、現在は使用量ベースでの課金が基本となり、組織単位に加え、プロジェクトレ ベルでの有効化も可能となりました。

22. 22 Security Command Center の主な機能 機能 概要 スタンダード プレミアム Security

    Health Analytics 構成ミスの検出 一部の検出のみ ・すべての検出 ・各種セキュリティ 標準のチェック Web Security Scanner Webアプリケーションに対して簡易的な 脆弱性診断を行う 一部の検出のみ すべての検出 Event Threat Detection マルウェアの活動等、異常な挙動を検知 - ◯ Container Threat Detection コンテナに関する不審な挙動を検知 - ◯ Virtual Machine Threat Detection 仮想通貨マイニングの検知 - ◯ TIPS Security Command Center は CSPM というよりも、その他の機能も含んだ包括的なセキュ リティ管理サービスというイメージです。

23. Security Command Center の有効化 23

24. Security Command Center の有効化 24

25. Security Command Center の有効化 25

26. Security Command Center の有効化 26

27. 27 Security Command Center の活用例（通知例） ・Pub/Subトピック設定 ・通知条件の設定 ・サブスクリプションの設定 ・指定したチャンネル にpostする関数

28. 28 サードパーティの CSPM

29. この後のページで、CSPM とは別のクラウドセキュリティの機能・概念が出てきます 。 サードパーティ製品の説明の前に、クラウドセキュリティの機能・概念について少し 説明します。 サードパーティ製品の説明の前に 29 CNAPP CSPM CWPP

    CIEM

30. 30 CSPM とは？ （再掲） Cloud Security Posture Management （クラウドセキュリティ態勢管理） クラウド環境のセキュリティに不備がないか（設定ミス、過剰な

    権限、過剰な公開範囲等）、標準的なコンプライアンスに準拠し ているかなどを継続的にチェックし、管理する機能です。

31. TIPS 31 CWPP とは？ Cloud Workload Protection Platform （クラウドワークロード保護プラットフォーム） クラウド環境の仮想マシンやコンテナ、サーバーレス等、多様なワークロードに対し

    て、セキュリティ確保のための様々な機能を提供するものです。 クラウドワークロード ➢ クラウド環境で動作するプログラムやアプリケーションのことです。

32. TIPS 32 CIEM とは？ Cloud Infrastructure Entitlement Management （クラウドインフラストラクチャエンタイトルメント管理） クラウドエンタイトルメント

    ➢ クラウド環境において、特定のユーザーやリソースに割り当てられるアクセス 権限のことです。 クラウド環境におけるアクセス権限を可視化・管理することにより、過剰なアクセス 権限の付与を防止し、アクセス権限の適切な設定を可能にする機能です。

33. 33 CNAPP とは？ Cloud Native Application Protection Platform （クラウドネイティブアプリケーション保護プラットフォーム） クラウドアプリケーションのセキュリティを確保するためのフレームワークです。

    CSPM、CWPP、CIEM など様々なクラウドセキュリティ機能を統合したものを指し ます。 CNAPP = CSPM + CWPP + CIEM

34. 34 サードパーティ製品の特徴 • クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) 製品として提供 • 複数のクラウド環境を1つのコンソールで管理できる • 複数のクラウドを横断したレポート機能

35. 35 アイレットで取扱う製品を少しご紹介

36. 36 sysdig • マルチクラウド ◦ AWS、Google Cloud、Azure、Oracle Cloud、etc. • リスクを１箇所で可視化

    ◦ クラウド・コンテナをまとめて保護 • 脆弱性対応の時間を節約 ◦ ランタイム情報に基づき自動で優先順位付け • コンテナランタイム保護 ◦ オープンソースの技術をベースとして、コンテナ / Kubernetes 環境の脅威を検出

37. 37 Prisma Cloud • マルチクラウド ◦ AWS、Google Cloud、Azure、Oracle Cloud、etc. •

    コンプライアンス ◦ 400項目以上の構成チェックCIS 等の準拠確認 • ワークロードセキュリティ ◦ ホスト・コンテナ・サーバーレス環境へ対応 • オンデマンドサービスの提供 ◦ アイレット独自のサービスとして、オンデマンドサービスを提供

38. 38 サードパーティのメリット・デメリット • 複数のクラウド環境を1箇所で管理できる • 複数のクラウドを横断したレポート機能 • クラウドワークロード保護 (CWPP) も合わせて対策可能

    • デフォルトで多くのフレームワークに対応したテンプレートが使用可能 • カスタムルールが作成がしやすい etc. • 製品の運用・学習コスト • 製品としての費用が必要 デメリット メリット

39. 39 CSPM の活用とセキュリティ強化

40. 40 CSPM の活用に向けて① • マネージドサービスの CSPM (Security Hub、Security Command Center)

    を まずは有効化 • 何が検出されるか見る • 検出されたアラートの対応方法を考える TIPS 検出されたアラートに全て対応するのではなく、重要度や自社環境における影響等、リス クに応じた対応を検討する必要があります。

41. 41 CSPM の活用に向けて② • 運用を考える ◦ アラートを検知した場合の対応方針 ◦ 対応するアラートの範囲（Critical /

    High は対応する等） • 単一アカウント・プロジェクトだけでなく、組織全体の管理方法を考える • サードパーティ製品の利用も検討する TIPS 今回は CSPM 中心の話をしていますが、CWPP の機能を使用したいということを目的に サードパーティ製品を利用することも多いです。

42. 42 おわりに

43. おわりに 43 クラウド上でシステムを安全に利用するためには、クラウドの特性を理解しながら、オン プレミスとは異なるセキュリティ管理体制を強化することが必要です。 CSPM を利用することで、クラウド環境の設定不備を可視化し、継続的に管理することが 可能です。 CSPM を軸に、クラウド環境のセキュリティの管理を進めてみてはいかがでしょうか？