Slide 1

Slide 1 text

サイバー攻撃を想定した クラウドネイティブセキュリティガイドラインと CNAPP 及び Security Observability の 未来 佐古 伸晃 2022年08月05日 株式会社野村総合研究所 品質監理本部 情報セキュリティ部 吉江 瞬 NRIセキュアテクノロジーズ株式会社 マネージドセキュリティサービス開発本部 MSS技術開発部

Slide 2

Slide 2 text

1 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. はじめに 01 サイバー攻撃とクラウドネイティブセキュリティ 02 クラウドネイティブセキュリティガイドライン 03 CNAPPとSecurity Observability 04 まとめ 05

Slide 3

Slide 3 text

2 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. 自己紹介(佐古 伸晃) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼野村総合研究所(NRI) 情報セキュリティ部 佐古伸晃(SAKO Nobuaki) ⚫ オフィスセキュリティ担当グループマネージャー ⚫ OA環境/社内NWのセキュリティ対策・審査、委託先管理 ⚫ 外部クラウドサービスを利用する際のセキュリティ対策・審査 ◼業務経歴 ⚫ 金融・通信系バックエンドエンジニア→セールス→セキュリティ ⚫ クラウドサービス・クラウドネイティブ関連技術をいかに安全に使うか社内向けガイドライン策定 • 共通ガイドライン:IaaS / PaaS / SaaS 全般 • 個別ガイドライン:AWS / Azure / Google Cloud (GCP) / OCI / Alibaba Cloud 向けの詳細版 • Docker / Kubernetes • バージョン管理(GitHubなど) ◼好きなクラウドネイティブ技術 ⚫ DevSecOps、低レイヤーなもの

Slide 4

Slide 4 text

3 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. 自己紹介(吉江 瞬) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼NRIセキュアテクノロジーズ MSS技術開発部 吉江瞬(YOSHIE Shun) ⚫ セキュリティコンサルタント/エンジニア ⚫ マネージドセキュリティサービスのサービス開発 ◼業務経歴 ⚫ マネージドセキュリティサービス運用保守 ⚫ クラウドセキュリティ監査 ⚫ クラウド向けサービス開発 ◼好きなクラウドネイティブ技術 ⚫ オブザーバビリティ ◼コミュニティ ⚫ Security-JAWS 運営 ⚫ JAWS-UG 東京支部 運営

Slide 5

Slide 5 text

4 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. はじめに 01 サイバー攻撃とクラウドネイティブセキュリティ 02 クラウドネイティブセキュリティガイドライン 03 CNAPPとSecurity Observability 04 まとめ 05

Slide 6

Slide 6 text

5 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. そもそもセキュリティとは サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼セキュリティ【security】 • 個人の安全、建物・施設の防犯、国家の安全保証、財産の担保・有価証券など、価値ある資産を守ること • 情報への第三者の侵入、攻撃、持出、改竄といった不正利用から阻止し、機密性や完全性を保持すること ◼情報セキュリティ【Information Security】の特性 • 機密性 (Confidentiality) :許可されたものだけがアクセスできること、盗聴されないこと • 完全性 (Integrity) :正しい状態で保持されていること、改竄されないこと • 可用性 (Availability) :いつでも安全にアクセスできること、バックアップ手段があること • 真正性 (Authenticity) :対象が本当にその人・ものであること、認証すること • 責任追跡性 (Accountability) :起きたことや原因を追跡できること、ロギングすること • 否認防止 (Non-Repudiation) :後からなかったことにはできないこと、署名などで保護すること • 信頼性 (Reliability) :安定して期待される役割を果たすこと、冗長化すること ◼脅威を想定し、脆弱性があることを前提に、セキュリティ対策を考える

Slide 7

Slide 7 text

6 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. 想定される脅威:サイバー攻撃の傾向を知る サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼OWASP (Open Web Application Security Project) Top 10 ⚫ Webアプリケーションのセキュリティ向上を目的とした非営利団体が公開する、最も重大な10のリスク ➢ 定期的に更新され、直近のセキュリティリスクの傾向を知ることができる ⚫ OWASPが公開するその他リソース • Mobile Top 10 、 OWASP API Top 10 • ZAP(脆弱性診断ツール)、Testing Guide(テストフレームワーク)、ASVS(セキュリティコントロールフレームワーク) アクセス制御の不備 不適切な暗号化 インジェクション 安全でない設計 不適切なセキュリティ設定 脆弱で古くなったコンポーネント 不適切な識別と認証 ソフトウェアとデータの整合性不備 セキュリティログとモニタリングの不備 サーバーサイドリクエストフォージェリ (SSRF) 出典:OWASP Top Ten | OWASP®

Slide 8

Slide 8 text

7 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. 想定される脅威:サイバー攻撃者の戦術とテクニックを知る サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼MITRE ATT&CK(マイター・アタック: Adversarial Tactics, Techniques, and Common Knowledge) ⚫ MITRE社の管理する、現実の観測に基づく、敵対戦術とテクニック(脅威)のナレッジベース ⚫ 偵察、初期アクセス、実行、永続化、権限昇格、探索など14プロセスで、どのような事が行われるかパターン化 ➢ 敵対者の戦術とテクニックを知ることで、どのような脅威に対策をとるか想定し、具体的な対策に落とし込む 実行(Execution) 初期アクセス(Initial Access) 永続化(Persistence) 持出(Exfiltration) 権限昇格(Privilege Escalation) 認証情報(Credential Access) 探索(Discovery) 水平展開(Lateral Movement) 影響(Impact) 収集(Collection) コマンドと制御(Command and Control) 攻撃資源開発(Resource Development) 偵察(Reconnaissance) 出典:MITRE ATT&CK® 防衛回避(Defense Evasion)

Slide 9

Slide 9 text

8 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. MITRE ATT&CK IaaS Matrix (公式IaaS特化版) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 出典:IaaS Matrix | MITRE ATT&CK® 初期アクセス(Initial Access) • 公開アプリケーションの悪用 • 信頼関係のある組織の悪用 • クラウドアカウントの窃取 実行(Execution) • ユーザーの誤操作誘発 永続化(Persistence) • アカウントの操作、作成 • マシンイメージへの埋め込み • クラウドアカウントの窃取 権限昇格(Privilege Escalation) • クラウドアカウントの窃取 防衛回避(Defense Evasion) • FWの無効化、ログの消去 • クラウドインフラの変更 • 未使用リージョンの利用 • 代替認証情報の利用 • クラウドアカウントの窃取 認証情報(Credential Access) • ブルートフォース • Web認証情報の偽造 • 多要素認証リクエストの発行 • ネットワークフィッシング • 保護されていない認証情報 探索(Discovery) • クラウドアカウントの探索 • クラウドインフラ、サービス、オブジェ クトストレージ、ネットワークの検出 • ネットワークスニッフィング • ソフトウェアの特定 • 管理コンソールへのアクセス • 管理用アクセス経路の特定 • パスワードポリシー、権限の特定 水平展開(Lateral Movement) • 代替認証情報の利用 収集(Collection) • 自動収集 • リポジトリデータの窃取 • オブジェクトストレージの窃取 • ステージング環境へのコピー 持出(Exfiltration) • 他アカウントへデータ移送 影響(Impact) • データの破壊 • データの暗号化(ランサム) • データの改ざん • エンドポイントサービスの拒否 • ネットワークサービスの拒否 • リソースの不正利用 ➢ 攻撃者はアカウントをなんとか窃取しようとする

Slide 10

Slide 10 text

9 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. MITRE ATT&CK Containers Matrix (公式コンテナ特化版) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 初期アクセス(Initial Access) • 公開アプリケーションの悪用 • 外部リモートサービス(SSH,VPN) • アカウントの窃取 実行(Execution) • コンテナ管理コマンド • コンテナのデプロイ • コンテナオーケストレーションジョブ • ユーザー実行(悪意あるイメージ) 永続化(Persistence) • 外部リモートサービス • マシンイメージへの埋め込み • コンテナオーケストレーションジョブ • アカウントの窃取 権限昇格(Privilege Escalation) • ホストへの侵入 • 権限昇格の悪用 • コンテナオーケストレーションジョブ • アカウントの窃取 防衛回避(Defense Evasion) • ホスト上にイメージを構築 • コンテナのデプロイ • ホストインジケータの削除 • マスカレード • 代替認証情報の使用 • アカウントの窃取 認証情報(Credential Access) • ブルートフォース • Web認証情報の偽造 • 認証情報の窃取 探索(Discovery) • コンテナとリソースの検出 • ネットワークサービスの検出 • 権限グループの検出 水平展開(Lateral Movement) • 代替認証情報の使用 影響(Impact) • エンドポイント遮断 • ネットワーク遮断 • リソースハイジャック 出典:Matrix - Enterprise | MITRE ATT&CK® ➢ 攻撃者は権限昇格を利用し防衛を回避する

Slide 11

Slide 11 text

10 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. MITRE ATT&CK for Kubernetes (MS独自K8s特化版) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 初期アクセス(Initial Access) • クラウドプロバイダ認証情報悪用 • レジストリに攻撃用イメージを配布 • Kubeconfig fileの悪用 • アプリケーションの脆弱性を突く • 連携サービスの公開I/F悪用 実行(Execution) • コンテナ内に侵入し攻撃 • bash/cmd、SSHの悪用 • Application exploit (RCE) • 攻撃用Podを作成 • 攻撃用サイドカーを設置 永続化(Persistence) • バックドア用コンテナを作成 • ノードのファイルシステムにアクセス • Cronjobで定期実行 • アドミッションコントローラー悪用 権限昇格(Privilege Escalation) • 特権コンテナ、hostPathマウント • クラスタ管理者バインディング • クラウドプロバイダ認証情報窃取 防衛回避(Defense Evasion) • コンテナのログを消去 • Kubernetesのeventを消去 • コンポーネントに似た名前に偽装 • Proxyでアクセス元を隠ぺい 認証情報(Credential Access) • Secretsのリスト化、プリンシパル • ServiceAccountを窃取 • マネージドIDのトークンを窃取 • アドミッションコントローラーの悪用 探索(Discovery) • Kubernetes API Serverの探索 • Kubelet APIの探索 • Pod Networkのマッピング • ダッシュボード、メタデータ 水平展開(Lateral Movement) • クラウドのリソースへアクセス • コンテナサービスアカウント • クラスタ内NWへのアクセス • 設定ファイル内の認証情報窃取 • ホストの書き込み可能volマウント • Core DNS情報書き換え • ARP poisoning と IP spoofing 収集(Collection) • 非公開レジストリのイメージを窃取 影響(Impact) • クラスタのデータを削除 • クラスタのリソースを不正利用 • サービスの停止 出典:Secure containerized environments with updated threat matrix for Kubernetes | Microsoft ➢ 攻撃者は脆弱性を足がかりに、侵入先を広げる

Slide 12

Slide 12 text

11 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. 脆弱性があることを知る サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼CVE(共通脆弱性識別子) ⚫ MITRE社が管理する一般公開されているセキュリティ脆弱性のリスト ⚫ 世界中のITベンダー、セキュリティ企業、リサーチ組織がCVE採番機関(CNA)として登録、報告 ➢ このリストや通知情報から、自組織の利用するプロダクトに該当する脆弱性を特定、対策を検討 出典:CVE Details | MITRE

Slide 13

Slide 13 text

12 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. クラウドネイティブセキュリティとは? サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼CNCF Special Interest Group for Security (SIG-Security) のビジョン ⚫ リスク(脅威と脆弱性)を把握し、セキュリティポリシーが反映・持続された状態 ”オペレーター、管理者、開発者が、自信を持って新しいクラウドネイティブアプリケーションを作成できるような未来があります。 彼らは、リスクを明確に理解し、セキュリティポリシーでの決定が、デプロイされたソフトウェアに反映されていることを検証でき る状態で、クラウド技術を使用しています。” ⚫ ツールによるセキュリティ対策の省力化・自動化を想定 ”私たちは、クラウドネイティブのオペレーター、管理者、および開発者のエクスペリエンスを簡素化することができる、次のよう なツールのエコシステムが存在することを想定しています。“ 1. 増え続けるシステムの異質性を理解し、それに対応し、ユーザーにサービスを提供しながらリソースとデータを保護するためのフレーム ワークを提供する、システム・セキュリティ・アーキテクチャ 2. 開発者がシステムセキュリティ要件を満たすアプリケーションを簡単に作成・展開できるようにする、共通語彙とOSSライブラリ 3. 監査や説明可能な機能など、システムのセキュリティについて人々が推論することを可能にする、共通ライブラリとプロトコル 出典:https://github.com/odenyirechristopher/sig-security#vision

Slide 14

Slide 14 text

13 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. クラウドネイティブセキュリティホワイトペーパー サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼CNCF Security Technical Advisory Group(TAG) 発行のホワイトペーパー ⚫ クラウドネイティブは、迅速な開発とデプロイに焦点があり、セキュリティの懸念は複雑化 • ライフサイクルフェーズ(開発・配布・デプロイ・ランタイム)全体でセキュリティ対策 • ランタイムは、さらに実行環境、Access、Compute、Storageレイヤーで分けて考える • CI/CDパイプラインに沿った自動化が必要、反応的なセキュリティから予防的なセキュリティへ • 最小権限の原則、役割と権限、ゼロトラストアーキテクチャ ⚫ 脅威を想定 • OWASP脅威モデリング、MITRE ATT&CK Framework の活用 ⚫ 準拠にはセキュリティベンチマークを活用 • NIST SP800-190 Application Container Security Guide • NIST SP800-204 Security Strategies for Microservices-based Application Systems • Center for Internet Security(CIS)、OpenSCAP など • 業界ごとの規制基準(PCI-DSS、HIPAA、FedRAMP、GDPRなど) 出典:tag-security/security-whitepaper at main · cncf/tag-security · GitHub

Slide 15

Slide 15 text

14 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. クラウドネイティブセキュリティホワイトペーパー v2 Update サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼2020/11 v1 → 2022/5 v2 での追加事項 ⚫ セキュアなデフォルト8原則 1.セキュリティは設計要件 2.セキュアな構成はユーザーエクスペリエンスが最高 3.安全でない状態は意識して決定(リスク許容) 4.安全な状態へ移行可能 5.セキュアなデフォルトは継承可能 6.例外リストを実装し必要な特権のみ付与 7.デフォルト準拠で脆弱性から保護 8.セキュリティ制限の説明責任 ⚫ サプライチェーンセキュリティ ソフトウェア部品表(SBOM):Software Supply Chain Security Best Practices ⚫ GitOps 開発とデプロイを分離、早い段階から脆弱性の排除が可能 ⚫ セキュリティスタック ライフサイクルごとの利用ツール:Cloud Native Security Map ⚫ マッピング:NIST SP800-218 Secure Software Development Framework(SSDF) v1.1 MITRE ATT&CK Threat matrix for Containers ⚫ ユースケース:ランサムウェア、EU規制による金融機関のセキュリティ保護 出典:Announcing the Refreshed Cloud Native Security Whitepaper | CNCF

Slide 16

Slide 16 text

15 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. 新たな責任共有モデル サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼IaaS / PaaS / SaaS 以外の as-a-Service が増え、クラウドネイティブが担うレイヤーが細分化 ⚫ セキュリティはレイヤーごと考えて対策する必要があるが、レイヤーが複数に渡るため対策が困難 出典:クラウドコンピューティングの進化と新たな責任共有モデル | CSA OS データ 仮想化 物理 オンプレ アプリ ミドル 従来モデル (NIST SP800-145) OS データ 仮想化 物理 PaaS アプリ ミドル OS データ 仮想化 物理 アプリ ミドル IaaS OS データ 仮想化 物理 SaaS アプリ ミドル (Cloud Security Alliance) 利用者責任のクラウド 「における」セキュリティ クラウドプロバイダ責任の クラウド「の」セキュリティ

Slide 17

Slide 17 text

16 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. はじめに 01 サイバー攻撃とクラウドネイティブセキュリティ 02 クラウドネイティブセキュリティガイドライン 03 CNAPPとSecurity Observability 04 まとめ 05

Slide 18

Slide 18 text

17 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. The 4C's of Cloud Native security サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼クラウドネイティブセキュリティのコンテキストで考えるk8sセキュリティモデル ⚫ レイヤーごとの主な対策について整理されている ⚫ レイヤーに対応するガイドラインを用意 出典:Overview of Cloud Native Security | kubernetes.io レイヤー レイヤーごとの主な対策 NRIのガイドライン Code ・TLS接続、ポート制限、3rdパーティ依存関係の検証 ・SAST、Dynamic probing attacks(OWASPツール) ・Webアプリケーション ・スマートフォンアプリケーション Container ・OSセキュリティ ・脆弱性スキャン、イメージ署名、特権ユーザ禁止、セキュアな ランタイム ・OS ・Docker/Kubernetes Cluster ・クラスタ保護 ・コンポーネント(RBAC、認証、シークレット管理、etcd暗号 化、ポッドセキュリティ、ネットワークポリシー、TLS) Cloud/Co-Lo /Corporate DC ・クラウドプロバイダーのセキュリティ ・インフラ(コントロールプレーン、ノード、etcd) ・クラウド

Slide 19

Slide 19 text

18 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. NRIにおけるセキュリティガイドライン サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼各レイヤーごとに規程・ガイドラインが存在、プロジェクトごとに適したガイドラインを参照 ⚫ ガイドラインが準拠する法規・基準・スタンダードが何か、根拠がなにか、説明を求められる Webサイト運営 インターネット公開サーバ Webアプリケーション スマートフォンアプリケーション データベース OS クラウド バージョン管理 OS データ 仮想化 物理 アプリ ミドル Docker/Kubernetes 機密情報・個人情報管理 CIS Benchmark、CIS Control、MITRE ATT&CK FISC、PCIDSS、NISTなど 各ベンダーのベストプラクティスなど 関連法規など

Slide 20

Slide 20 text

19 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. 代表的なセキュリティフレームワーク サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼デファクトスタンダードとなっているセキュリティフレームワークは以下 それぞれサイバー攻撃対策・内部不正対策、組織面・技術面の四象限で特色あり ⚫ NIST CSF: 米国立標準研究所(NIST) 発行のCyber Security Framework(CSF) ⚫ CIS Controls:米インターネットセキュリティセンター(CIS) 発行のセキュリティ管理策 ⚫ ISMS: JISQ27001(ISO/IEC27001) に基づいた情報セキュリティ管理の仕組み ⚫ PCI DSS: クレジットカード業界セキュリティ団体(PCI SSC) 発行の対策基準 ◼クラウドサービス利用時のセキュリティ判断基準 ➢ NRIでは、サイバー攻撃対策に特化し、業界を問わず、 具体的な技術面での対策・設定に強みを持つ CISの提供するリソースを活用 出典:【解説】NIST サイバーセキュリティフレームワークの実践的な使い方 | NRIセキュア

Slide 21

Slide 21 text

20 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. (参考)セキュリティフレームワークやナレッジの利用例 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼セキュリティフレームワークやナレッジを活用したセキュリティ対策の評価・分析手法 ◼セキュリティベンチマーク/コントロールでの対策/方針と、セキュリティフレームワークとのマッピング 出典:NRIセキュア | MITRE ATT&CKを用いたサイバー攻撃対策の評価サービス IM-1: 一元化された ID と認証システムを使用する CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1 3.12, 13.4, 4.4 AC-4, SC-2, SC-7 1.1, 1.2, 1.3 セキュリティの原則: 一元化された ID と認証システムを使用して、クラウドリソースと非クラウドリソースに対する組織の ID と認証を管理します。 出典:Azure セキュリティベンチマーク | Microsoft 出典:Microsoft | MITRE ATT&CK® と組み込 み Azure security control とのマッピングを発表

Slide 22

Slide 22 text

21 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Center for Internet Security(CIS)の提供リソース サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼米国の政府・学術機関・企業がインターネット・セキュリティ標準化に取り組む団体 ⚫ CIS Controls:サイバー攻撃に焦点を当てた具体的技術対策を示す18種類のフレームワーク ⚫ CIS Benchmarks:セキュリティ推奨事項・設定値を記載したドキュメント 出典:CIS Center for Internet Security 責任共有モデルのどのレイヤーをカバーするか

Slide 23

Slide 23 text

22 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. NRIにおけるクラウドネイティブセキュリティガイドラインの構成 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼独自ルール/ベストプラクティス/CIS Benchmarkの三階建て、メガクラウドは個別詳細版あり ⚫ 権威あるスタンダードとして、MITRE ATT&CK および CIS Control とマッピング、脅威・根拠・対策を横串 Oracle Cloud ガイドライン Google Cloud ガイドライン AWS ガイドライン Azure ガイドライン クラウドガイドライン(共通) CIS Control MITRE ATT&CK ベースライン: サイバー攻撃 対策フレームワーク リスクベース: 想定される脅威 個別サービスごとの設計方針・設定方法 Alibaba Cloud ガイドライン※ 各クラウドのベストプラクティス(設定・方針が個別) CIS Benchmark(設定は個別だが、方針は共通) 自社ノウハウをもとにした独自ルール(共通) NRI独自サービス、CSPM、クラウドプロバイダのセキュリティチェック・可視化サービスで自動化 過去の運用から得られた独自の知見 各クラウドサービスのアカウントを監視、違反があれば利用者へ通知 ※整備中

Slide 24

Slide 24 text

23 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. 「クラウドのセキュリティ」は信頼できるのか? サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼クラウド事業者の責任は果たされているか? ⚫ 責任を共有するには、利用するクラウドサービスが信頼できるか、コンプライアンスの観点で判断する ⚫ 企業のセキュリティポリシーに合致するか、独自の質問票(セキュリティチェックシート)を用意するケースもある が、クラウドサービス事業者と一問一答をやり取りするのは双方ともに非常に労力・時間がかかる ◼コンプライアンスに関しては、以下のような第三者基準の認証取得状況を確認 ⚫ ISO27001:情報セキュリティマネジメントシステム(ISMS) ⚫ ISO27017:クラウドベースの情報セキュリティの統制 ⚫ ISO27018:クラウド上での個人データ保護 ⚫ SOC1:財務報告に係る内部統制報告書 ⚫ SOC2:セキュリティや可用性等の内部統制報告書 ⚫ HIPPA、PCI-DSS、FISCなど:特定業界ごとの統制基準 ⚫ ISMAP、FedRAMP / SP800-53、NIST SP800-171、GDPR、マイナンバー法など:国ごとの統制基準 NRIでは第三者認証の取得状況に応じ、 クラウド事業者のセキュリティ対策が実 施済みと判断し、セキュリティアセスメント を省略可としている

Slide 25

Slide 25 text

24 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. 「クラウドにおけるセキュリティ」をどう対策するか? サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼CIS Benchmarks は、非常に広範囲な製品・サービスを対象とするドキュメント群 ⚫ 各クラウドプロバイダ、Docker/Kubernetes、OS/ミドルなどをカバー ⚫ 以下の観点では対策が手薄なので、追加対策を実施 • コンテナイメージの署名、レジストリの定期・依存関係先スキャン、CI/CDパイプライン保護、バージョン管理 カテゴリ 対象の製品・サービス(例) Cloud Provider Alibaba Cloud, Amazon Web Services, Microsoft Azure, Google Cloud Platform, IBM Cloud, OCI Desktops & Web Browsers Apple Desktop OSX, Apple Safari Browser, Google Chrome, Microsoft Internet Explorer, Microsoft Windows Desktop 10/XP/NT, Mozilla Firefox Browser, Opera Browser, Mobile Devices, Zoom Mobile Devices Apple Mobile Platform iOS, Google Mobile Platform Network Devices Agnostic Print Devices, Check Point Firewall, Cisco Firewall Devices, Cisco Routers/Switches IOS, Cisco Wireless LAN Controller, Juniper Routers/Switches JunOS, Palo Alto Networks Server Software - Operating Systems Amazon Linux, CentOS, Debian Linux Server, IBM AIX Server, IBM Z series, Microsoft Windows Server, Novell Netware, Oracle Linux, Oracle Solaris Server, Red Hat Linux Server, Slackware Linux Server, SUSE Linux Enterprise Server, Ubuntu LTS Server Server Software - Other Apache HTTP Server, Apache Tomcat Server, BIND DNS Server, FreeRADIUS, Microsoft IIS Server, IBM DB2 Server, Microsoft Exchange, Microsoft SharePoint Server, Microsoft SQL Server, MIT Kerberos, MySQL Database Server, Novell eDirectory, OpenLDAP Server, Oracle Database Server, PostgreSQL Database Server, Sybase Database Server Security Metrics Quick Start Guide, Security Metrics Virtualization Platforms Agnostic VM Server, Docker, Kubernetes, VMware Server, Xen Server Other Microsoft Access, Microsoft Excel, Microsoft Office, Microsoft Outlook , Microsoft PowerPoint, Microsoft Word 出典:CIS Benchmarks | CIS

Slide 26

Slide 26 text

25 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. CIS Cloud Provider Benchmarks サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼ 主要なパブリッククラウドのIaaS中心の対策 • ①IAM、②ネットワーク、③コンピュート、④ロギング/モニタリング、⑤セキュリティ/コンプライアンスの5分類 • 各クラウドベンダごとに利用できる機能、設定の細かさ・複雑さが異なるが、考え方は共通 • 上記をベースに、各クラウドのベストプラクティスや、自組織のセキュリティ要件を加えてガイドライン化 AWS Azure Google Cloud OCI Alibaba Cloud Version 1.4.0 1.4.0 1.3.0 1.2.0 1.0.0 最終更新 2021/5/28 2021/11/26 2022/3/31 2022/4/13 2020/12/11 ① IAM 21 23 15 13 16 ② Networking 4 6 10 8 5 ③ Compute VM - 7 11 - 6 Storage 7 11 2 6 9 Database - 18 30 - 9 Serverless - 11 3 - - ④ Logging / Monitoring 11+15 15 12 16 23 ⑤ Security / Compliance - 15+5 - 2 8 合計 58 111 83 45 76

Slide 27

Slide 27 text

26 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. CIS Cloud Provider Benchmarks での対策 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼ 主要なパブリッククラウドのIaaS中心の対策 ① IAM(Identity and Access Management) • 最小権限、パスワードポリシー、MFA、プリンシパル • クレデンシャル、APIキー、rootユーザの利用制限 ② ネットワーク • プロトコル・ポート制限、 from IP制限 • 許可されたソースのみに制限 ③ コンピュート • プロトコル・ポート制限、パブリック公開制限 • 暗号化、CMK・BYOK、ローテーション ④ ロギング/モニタリング • ログ記録、保管、監視、作成・変更・削除の通知 • タグ、分析、監査 ⑤ セキュリティ/コンプライアンス • セキュリティ状況の検査、分析、可視化、アドバイザリ • 自社セキュリティ/コンプライアンスサービスの有効化 ②ネットワーク/③コンピュート ①IAM ④ロギング/モニタリング ⑤セキュリティ/モニタリング Subnet C 10.0.30.0/24 Subnet D 10.0.30.0/24 Subnet B 10.0.30.0/24 REGION Availability Zone 1 Availability Zone 2 AZ3 Subnet A 10.0.30.0/24 Bastian Server Primary Database Loaded Balanced Web Servers Standby Database Database System Object Storage Identity & Access Management VPN Bare Metal Compute Database System Gateway VCN Load Balancer Virtual Machine Virtual Machine Notifications Alarming Monitoring Healthcheck Tagging Auditing Logging Secur ity Lists Policies Groups

Slide 28

Slide 28 text

27 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. CIS Kubernetes Benchmarks サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼ Kubernetes、主要なパブリッククラウドのマネージドKubernetesサービス、OpenShiftの対策 • ①コントロールプレーンのコンポーネント、②設定、③ワーカーノード、④ポリシー、⑤関連サービスの5分類 • 各クラウドベンダごとに利用できる機能、設定の細かさ・複雑さが異なるが、考え方は共通 • マネージドKubernetesサービスを利用すると、コントロールプレーンの対策①が不要に(②の一部設定だけ) • ワーカーノードにFargateなどのサーバレスを利用すると、ワーカーノードの対策③も不要となる Kubernetes Amazon EKS Azure AKS Google GKE Oracle OKE Alibaba ACK RedHat OpenShift Version ー 1.1.0 1.1.0 1.2.0 1.1.0 1.0.0 1.2.0 最終更新 2022/5/13 2022/4/13 2022/02/04 2021/11/16 2022/6/23 2021/3/4 2022/6/22 ① Master (Control Plane) Components 41 ー ー ー ー 41 65 ② Master (Control Plane) Configuration 21 1 1 3 7 21 3 ③ Worker Node 23 16 15 16 16 20 23 ④ Policies 30 22 23 24 22 24 24 ⑤ Managed Service / etcd 7 13 15 37 12 17 + 7 7 122 52 54 80 67 130 122

Slide 29

Slide 29 text

28 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. CIS Kubernetes Benchmarks での対策 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼ 構成要素ごとにセキュリティ対策を実施 ① コントロールプレーンのコンポーネント • APIサーバー、コントローラーマネージャー、スケジューラーの設定 ② コントロールプレーンの設定 • 設定ファイルのパーミッションとオーナー、認証認可、ロギング ③ ワーカーノード • 設定ファイルのパーミッションとオーナー、kubelet、コンテナ用OS ④ ポリシー • RBACとサービスアカウント、Pod Security Standards、ネットワー クポリシーとCNI、シークレット管理、アドミッションコントロール ⑤ 関連サービス • etcd • クラウドプロバイダ提供:レジストリとイメージスキャン、IAM連携、 KMS、メタデータ保護、ノードの保護、クラスタネットワーク構成、 ロギング、認証認可の連携、ストレージ暗号化キー、権限継承に よる全体保護、セキュリティサービスとの連携 ①② kubectl Container registry Image Image Image docker Infrastructure [Node, Metadata, Network, …] Infra cmd manifest API Server [Pods, services, …] Scheduler Controller Manager etcd Docker Kubelet Proxy Worker Docker Kubelet Proxy Docker Kubelet Proxy Pod Pod Pod Pod Pod Pod Pod Master Cloud Managed Service [IAM, KMS, Logging, …] ③ ⑤ ④ ①②

Slide 30

Slide 30 text

29 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. ケーススタディ:脆弱性スキャンは定期的・依存関係先まで必要 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼事象:Log4j の脆弱性がパッケージに含まれるコンテナイメージが長期間認知されず ⚫ 2021年12月頭に Amazon ECR にイメージプッシュ、認知が2022年5月 ◼原因:イメージの脆弱性スキャンが不十分 ⚫ 該当箇所のCI/CDが実行されない : もともと更新頻度が少ない箇所に使われていた ⚫ 定期的な脆弱性スキャンの未実施 : プッシュ時スキャンしかしていなかった(Log4j公知はプッシュ後) ⚫ 依存関係先のパッケージまで未検査 : ベーシックスキャンの仕様認識が不十分だった(ClairのCVEベース) ◼対策:脆弱性スキャンを定期的に実行し、依存関係先までスキャン ⚫ 該当箇所のCI/CDが実行されない : CloudWatch Events から Lambda で手動スキャンを定期実行 ⚫ 定期的な脆弱性スキャンの未実施 : (同上) ⚫ 依存関係先のパッケージまで未検査 : Inspector統合の拡張スキャン、Trivy による依存関係先スキャン

Slide 31

Slide 31 text

30 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. ◼各サービスごとに設定できる対策と想定される脅威は様々だが、大別して7つを設定 対策の大項目 想定される脅威 1. アイデンティティによる認証・認可、MFA 不正アクセス、アカウント乗っ取り、過大権限による誤操作 2. ネットワークによるアクセス制御・境界線防御 インターネットからのログイン施行、侵入・攻撃 3. 暗号化による保存データ・通信経路の保護 情報漏洩、盗聴、改ざん 4. 多重化・冗長化構成による可用性の向上 HW故障、SW障害、広域障害 5. バックアップ取得によるデータロストへの備え 運用ミス、データセンター被災、ランサムウェア 6. ロギング・モニタリングによる記録・監視 攻撃、不正行動 7. 分析・レポーティングによる可視化・監査 攻撃、障害、設定不備の見落とし ◼ セキュリティ以外の関連する観点も追加し、より包括的なガイドラインを作成 8. 統制レベルに応じたアカウント分割 コンプライアンス違反、本番環境とその他環境の混同 9. 予算設定、利用金額超過アラート 使い過ぎ、無駄なリソース利用、不正利用 NRIのガイドラインの考え方 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来

Slide 32

Slide 32 text

31 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. ◼ルール、適用・検知、利用者の対処、教育・啓蒙を通じ、継続的な対策の普及を推進 • ガイドライン適用の維持 • 違反通知へのアクション • 調査、アナウンス対応 • e-Learning • 研修、勉強会 • 連絡会、社内アナウンス • クラウド利用申請・審査 • アカウントの棚卸・調査 • ガイドライン準拠状況の チェック・通知サービス • 各種社内規程 • クラウドガイドライン • 脆弱性/セキュリティ アップデート対応 ルール 適用・ 検知 利用者 の対処 教育・ 啓蒙 NRIにおけるクラウドセキュリティの取り組み サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来

Slide 33

Slide 33 text

32 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. ガイドラインが活用される工程は限定的 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼課題:従来のガイドラインを用いた品質担保を実施する運用では、カバーされる工程が少ない ⚫ 企画の最上流、実装~テスト中盤、リリース運用では、ドキュメントであるガイドラインが活用されにくい ➢シフトレフト、CI/CD・DevSecOps、継続監視・通知、セキュリティの可視化・自動化が必要 企画 要件定義 設計 実装 テスト リリース 運用 テストフェーズ終盤~リリース前に、 Web/プラットフォーム診断を実施 セキュリティホールの発見・対策 開発工程 アプリケーション、OS/ミドル、Docker/Kubernetes、 クラウドの各セキュリティガイドラインを参照 推奨される要件定義・設計・実装のチェック CI/CDパイプライン、DevOpsループ SAST/DAST/SCA/IAST の組み込み 持続可能なセキュリティ CSPM/CWPP/etc セキュリティのシフトレフト Security by Design 従 来 今 後

Slide 34

Slide 34 text

33 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. はじめに 01 サイバー攻撃とクラウドネイティブセキュリティ 02 クラウドネイティブセキュリティガイドライン 03 CNAPPとSecurity Observability 04 まとめ 05

Slide 35

Slide 35 text

34 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. ガイドラインによる目検に追加で、システム化によるチェックが必要 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼NRIとしてクラウドにおける各種サイバーセキュリティフレームワークを含めるようになった ⚫ CIS Benchmarks、CIS Controls ⚫ MITRE ATT&CK Framework ◼課題の再定義 ⚫ セキュリティ監査が行われる前後でしかガイドラインが参照されない問題 ⚫ 継続してセキュリティチェックを自動化し、開発や運用の現場が継続して確認可能か ◼以降、いくつかのアプローチを紹介 ⚫ 初学者向けにもいくつかのキーワードについて説明しているスライドがあるので参考にしてください • 想定される運用設計課題についても記述 ⚫ 最後にイケてるツールをいくつか紹介 • すべてのサービスをすべて検証したわけではないのでご注意ください

Slide 36

Slide 36 text

35 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. 責任共有モデルと技術的アプローチによるカバー サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼技術的アプローチを後ほど、責任共有モデルにマッピング

Slide 37

Slide 37 text

36 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. CSPM(Cloud Security Posture Management) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼CSPM(クラウドセキュリティ態勢管理) ⚫ クラウドセキュリティの構成不備・管理不備・リスクを可視化し、レスポンスを行うための仕組み ◼CSPMの運用課題と対応 ⚫ チェック結果を受けた利用者がどう能動的に動いてくれるか • 週次・月次定例の開催など、強制的に実施する文化を採用 ⚫ 初期導入後のアラート数の多さ • リスクベース・脅威ベースアプローチから、アラートの対応優先度をマッピング・取捨選択 AWS Security Hub Google Cloud Security Command Center Microsoft Defender for Cloud Oracle Cloud Guard 管理対象とするIaaSサービスと紐づけ、リソースを発見する 脆弱な設定や設定不備をカスタムポリシーで自動修復 マルチクラウドの一元統制管理 コンプライアンス確認 Palo Alto Networks Prisma Cloud Checkpoint CloudGuard

Slide 38

Slide 38 text

37 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. CWPP(Cloud Workload Protection Platform) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼CWPP(クラウドワークロード保護プラットフォーム) ⚫ VMやコンテナ、サーバーレスなど様々なワークロードを保護する仕組み ⚫ CI/CD上ではコンプライアンス違反してるもの等を検査、デプロイされた環境ではさらにランタイム保護、外部から のAPI保護等が可能となり、ワークロードのリスクを可視化し、コントロールするための仕組み ◼CWPPの運用課題と対応 ⚫ 開発者のデリバリに応じてCWPPの設定追従できるだけのアジリティを確保 • 3rdベンダーのサービスにおいても、IaCで設定できるものはDevSecOpsの各種工程内で極力実施 ⚫ サーバーレスサービス向けのカバー範囲の狭さ • OWASP Serverless Top10あるいはSAS12(※)、OWASP ASVSやチートシートシリーズで対策 Google Cloud Security Command Center Microsoft Defender for Cloud 開発段階でのスキャン ランタイム保護 Aqua CSP Sysdig Secure Palo Alto Networks Prisma Cloud WAAP保護 脅威(マルウェアや不正プロセス、不正アクセス)の検出 出典:The 12 Most Critical Risks for Serverless Applications | CSA

Slide 39

Slide 39 text

38 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. マルチクラウドの一元統制管理 CIEM(Cloud Infrastructure Entitlements Management) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼CIEM(クラウドインフラストラクチャ権限管理) ⚫ クラウドリソース(APIのアクセス元とアクセス先)、IAM、内部脅威に対し、権限昇格の対策やラテラルムーブメン トの抑制、ガバナンスと可視化を提供する仕組み ◼CIEMの運用課題と対応 ⚫ チェック結果を受けた利用者がどう能動的に動いてくれるか • 週次・月次定例の開催など、強制的に実施する文化を採用 • クラウドにて追加提供されるサービスの権限付与に対して、ワイルドカードの禁止等適切な権限管理追従 • 使われていない認証の棚卸 Microsoft Entra Permissions Management クラウド上の権限のガバナンス 最小権限の構成 マルチクラウドにおけるガードレール、ランディングゾーンの構成 Palo Alto Networks Prisma Cloud Zscaler Cloud Protection (Trustdome) Sysdig Secure CIEM

Slide 40

Slide 40 text

39 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. 責任共有モデルと技術的アプローチによるカバー サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼CSPM、CWPP、CIEMを当てはめると以下のような範囲をカバー ⚫ ベンダーがデフォルトで設定してくるアンセキュアな設定をCIEMで一部対応 CSPM CWPP CIEM CWPP CIEM

Slide 41

Slide 41 text

40 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. IaC Security (Infrastructure as Code Security) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼IaC Security ⚫ 設定不備や脆弱性が含まれるIaCテンプレートを事前にスキャンし、セキュリティリスクを可視化、低減するための アプローチを把握する仕組み ◼IaC Securityの運用課題と対応 ⚫ Terraform、CloudFormation、Azure Resource Manager、Kubernetes以外のIaCへの対応は遅延 • OSSのLintツールなどで凌ぐことと、CSPMで指摘されるセキュリティ対策の掛け算でセキュリティレベルを向上 AWS CloudFormation Guard(cfn-guard) Microsoft Azure Policy Snyk Infrastructure as Code セキュアなIaCテンプレートの維持 最小権限の構成 マルチクラウドにおけるガードレール、ランディングゾーンの構成 コンプライアンス確保 Palo Alt Networks Prisma Cloud (Bridgecrew Checkov) Google Risk Compliance as Code(RCaC)

Slide 42

Slide 42 text

41 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. セキュア化させるCI/CD セキュリティテスト Apps & Data Security サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼Apps & Data Security(アプリケーションとデータのセキュリティ) ⚫ アプリケーションやAPI、アプリケーション内に含まれるデータやコードを盗聴、搾取、改ざんされないための仕組み ◼Apps & Data Securityの運用課題と対応 ⚫ 既知の脆弱性への対策、アプリケーションのセキュリティ対策がおろそか • クラウドネイティブのセキュリティサービスの活用、脅威への対策、DLPの活用 • OSSの既知の脆弱性とライブラリの依存関係の早期確認 • 脆弱性診断(SAST、DAST)をBuild/Ship/RunあるいはCI/CDに取り込んだセキュリティ対策とアジリティ確保 • ペンテストを活用し、上記ツールでは見つけられない、脆弱性と侵入方法の調査と対策 WAF DDoS ボット対策 暗号化対策 アプリケーションやAPIのセキュリティ 不要なデータを保持しない (Need To Know) コードレベルでのセキュリティ強化 Security by Design 守るべきアプリ、データ、その所在、優先順 位は明確になっていることが大前提 アクセス制御 脆弱性管理 セキュリティ監視

Slide 43

Slide 43 text

42 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. CNAPP(Cloud Native Application Protection Platforms) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼CNAPP(クラウドネイティブアプリケーション保護プラットフォーム) ⚫ “CSPM” + “CWPP” + “CIEM” + “IaC Security” + “Apps & Data Security” ⚫ 可視化とコントロールの圧倒的向上 ⚫ 開発から運用まで、クラウドネイティブアプリケーションのライフサイクル全体を カバーする統合セキュリティアプローチを実装することが可能 ⚫ アプリケーションやデータのセキュリティも対策として考えられる、 CNAPPこそ最強 CSPM CWPP CIEM IaC Security Apps&Data Security CNAPP ※ベンダーによって、CNAPPの定義などは異なる

Slide 44

Slide 44 text

43 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. CNAPPがカバーする責任共有モデル サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼CNAPPがカバーする責任共有モデル ⚫ 現状、NoCodeをカバーするサービスは国内ではあまり見かけることができず、今後に期待 CNAPP CSPM CWPP CIEM IaC Security Apps&Data Security Apps&Data Security CWPP Apps&Data Security Apps&Data Security CIEM

Slide 45

Slide 45 text

44 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. シフトレフトセキュリティの採用 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼CNAPPにおけるセキュリティはシフトレフトすることでより力を発揮 ⚫ 先の発表にもあったクラウドネイティブセキュリティガイドラインを利用したSecurity by Designを採択 ⚫ 早期時点で脆弱性や設定不備を把握し、セキュリティテストと修正におけるコストの削減 システム企画 要件定義 基本設計 詳細設計 構築・設定 単体・結合テスト システム・運用テスト サービス要求にかかるリスクの検討不足により、システム化計画の目的が達成されない サービス要求のシステム要件への落とし込みの不足により、想定すべき脅威を見逃す セキュリティ要件の検討不足により、システムの方式や運用にかかるリスクの考慮が漏れる セキュリティ仕様の実装方針の検討不足により、アプリ・基盤の既知の脆弱性の考慮が漏れる コーディング規約や検査不備により実装段階での考慮が不足し、既知の脆弱性の考慮が漏れる 設定レベル・機能レベルでの安全性検証不足により、セキュリティの実装不備や脆弱性を検出できない システム全体の安全性の検証不足により、セキュリティ要件の実現不備や脆弱性を検出できない ShiftLeft 早期時点から、 ◼ CSPM ⚫ リスク検出数の抑止 ◼ CWPP ⚫ 脆弱性検出数の抑止 ◼ CIEM ⚫ リスク検出数の抑止 ◼ IaC Security ⚫ リスク検出数の抑止 ◼ Apps&Data Security ⚫ 脆弱性検出数の抑止 考えられるリスク

Slide 46

Slide 46 text

45 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Apps & Data Securityの課題 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼アプリケーションおよびデータのセキュリティの課題 ⚫ アプリケーションの脆弱性管理とデータに対する脅威の管理 ⚫ その他 • アセット管理(ITAM) • クラウドセキュリティアクセスブローカー(CASB) • サービス管理(ITSM) • SaaS管理プラットフォーム(SMP) • SaaS Security Posture Management(SSPM) ◼アプリケーションおよびデータのセキュリティを可視化する方法 ⚫ 組織として開発・運用するアプリケーションやデータのセキュリティ状況の可視化 ⚫ リアルタイムにいまそのアプリケーションに対して何が起きているのかを可視化 ◼上記を満たすことが出来そうな技術といえば? ここでは公開システム/サービスについて言 及していく

Slide 47

Slide 47 text

46 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Observability サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼Observability (可観測性) ⚫ 外部出力からシステムの内部の状態をどれだけよく理解できるかを測定・可視化する仕組み ⚫ 監視の事前定義が困難であっても、その影響から原因への移動・遷移が可能 ◼Observabilityの運用課題と対応 ⚫ 複雑で大規模なマイクロサービスを可視化できても、エラー多すぎてエラーバジェットを使い切りがち • エラーの原因究明と修正による信頼性回復、ポストモーテムの実施 Datadog Oracle Cloud Infrastructure Monitoring Metrics:効率的かつ頻繁にヘルス情報・パフォーマンス情報を測定 Events:特定タイミングで発生する事象 Logging:処理内容に関する情報を記録したテキストデータ Tracing:イベントの因果連鎖を追跡するもの NewRelic Splunk Azure Monitoring Amazon Cloudwatch、X-Ray Google Cloud Monitoring 出典:Observability Conference 2022、オブザーバビリティから組織、ルールを見直した事例を紹介 | Think IT ここではNewRelicが定義する4つの テレメトリーをもってObservabilityとする

Slide 48

Slide 48 text

47 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. ◼SIEM(セキュリティ情報イベント管理) ⚫ ネットワークやセキュリティ機器のログ内のアクティビティを一元管理し、リアルタイムで脅威を検出し可視化する 仕組み ◼SIEMの運用課題と対応 ⚫ アラート発生時におけるインシデントレスポンス・サイバーレジリエンスの体制 • トリアージやインシデントレスポンスはセキュリティ担当者が二次被害への抑制として担うとしても、その後の本格対策に おいて、Dev、Sec、Ops担当者によるクロージング、経営層と一緒にレジリエンスを確保 ⚫ アウトソースから自社運用に切り替えた際の、クラウドネイティブサービスにおけるオーナーシップの範囲の増加 • コストパフォーマンスを見ながら自動化に切り替えていく必要性 予防的捜索 SIEM(Security Information and Event Management) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 MetricsやEvents、Loggingの一元集中管理 高度な相関分析 インシデントの早期発見 Splunk SIEM SumoLogic Cloud SIEM Microsoft Sentinel Google Chronicle

Slide 49

Slide 49 text

48 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. ◼SOAR(セキュリティのオーケストレーションと自動化によるレスポンス) ⚫ セキュリティ運用の自動化及び効率化を実現する仕組み ⚫ インシデントへの対応手順をプレイブックに作成が可能であれば、自動対処可 ◼SOARの運用課題と対応 ⚫ インシデント対処時の組織におけるパフォーマンスのばらつきの発生 • 各担当者の作業記録、作業時間などのパフォーマンスインジケータをもとに、組織内の改善計画立案 人材不足対応 SOAR(Security Orchestration, Automation and Response) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 インシデント対処自動化 インシデント管理機能 セキュリティ運用部隊のパフォーマンス可視化 同一プラットフォーム内で業務プロセスの完結 Splunk SOAR SumoLogic Cloud SOAR Microsoft Sentinel Google Chronicle 出典:SOARとは?セキュリティ運用の自動化により得られる3つのメリット | NRIセキュア

Slide 50

Slide 50 text

49 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Cloud Nativeなシステムにおける、従来のSecurity Monitoringの限界 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼Cloud Nativeなシステムにおける、従来のSecurity Monitoringの限界 ⚫ Metrics、Events、LoggingでSecurity Monitoringが行われてきた過去 • SIEMにおけるトラディショナルな相関分析もこの三つのテレメトリーを対象 ⚫ 既知の脅威は定義の上で検出できても、未知の脅威の検出は不可 ⚫ 複雑なマイクロサービス連携のおかげで、5W1Hの中でも、特にHowとWhereがわかりにくい状況 ⚫ Cloud Nativeなシステムにおいて、ログ量が爆発的に増大して、分析が難解となり、その後の対応が人力では 困難

Slide 51

Slide 51 text

50 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. ObservabilityがCloud Native Securityと親和性よい理由 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼ObservabilityがCloud Native Securityと親和性よい理由 ⚫ Tracingというテレメトリーを取り込むことで、 • APM(Application Performance Monitoring)の実施が可能 • 攻撃が行われていることを検出 • 脆弱性やリスクの表面化 ⚫ HowとWhereが可視化され、マイクロサービス上のどこでどのように侵害されてるのか鮮明に理解 ⚫ 未知の脅威や内部不正の検知にも有効 ⚫ 自動化とプレイブックの作成による、セキュリティインシデント対応の効率化 ⚫ CWPPを補完し、Apps & Data Securityの領域を可視化 Security Tracing

Slide 52

Slide 52 text

51 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Security Tracing サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼Security Tracing ⚫ Tracingを使用して、マイクロサービスへの攻撃を特定して阻止 • リクエストが認証・認可含め、必要なサービスをすべて通過したか? • リクエストが予期せぬサービスを呼び出したか? • リクエストが不正なデータへのアクセスを許可したか? • リクエストがシステムに入ってきた個所 • リクエストを発信したIPアドレス • (場合によって)攻撃者が特定できるか? ⚫ 膨大なマイクロサービスでは可視化だけでは困難 ⚫ 正常動作と異常動作を識別することを、機械学習とアノマリ検知の組み合わせで実現できると、マイクロサービ スで連携されたアプリケーションの脆弱性を検出することが可能 ⚫ より解像度高く何が起きたかを把握することが可能

Slide 53

Slide 53 text

52 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Security Observability サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼Security Observability ⚫ 組織として開発・運用するアプリケーションやデータのセキュリティ状況とリアルタイムにいまそのアプリケーションに 対して何が起きているのかを可視化できる仕組み ⚫ 脆弱性管理はもちろん、公開されているアプリケーションやAPIなどにおける脅威の動向を可視化できる仕組み

Slide 54

Slide 54 text

53 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. 既存Observabilityサービスにおけるセキュリティの課題 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼既存Observabilityサービスでは詳細に識別できないより細かなレベルでのトラフィックを見る必 要性 ⚫ アプリケーションとネットワークのパフォーマンスモニタリング ⚫ サービスメッシュ、負荷分散、動的トポロジの継続的な検出 ⚫ システムコール、パケットペイロードの監視 ◼本課題を解決できる技術は二つあると考察

Slide 55

Slide 55 text

54 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. DPI(Deep Packet Inspection) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼DPI(ディープパケットインスペクション) ⚫ ネットワークで何が起きているかをよく理解し、パケットの内容を細かく評価する仕組み ⚫ ヘッダー、フッターを見るだけではなく、ユーザー定義のルール、ポリシーに合致したものかを良いようにフィルタしてく れるため、悪意あるパケットや侵入の特定、トラフィック管理に有用 ⚫ ペイロードチェックの工程で、特定文字列(署名照合など)の確認を行うことも可能 ◼過去の遺物ではなく、大規模に収集したデータを簡易に分析できる今、改めて見直されようとし ている技術 Traffic

Slide 56

Slide 56 text

55 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. eBPF(Extended Berkeley Packet Filter) サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼eBPF ⚫ Kernelのソースコード変更もモジュール追加もなく、プログラムを実行することができるKernel技術 ⚫ Linux Kernel内の軽量なサンドボックスされたVMと見なして、特定のKernelリソースを利用したBPFプログラムを 実行 ⚫ ObservabilityのためにeBPFを用いることで、セキュリティやネットワークなど観測以外の目的にも応用が可能 出典:What is eBPF? | ebpf.io

Slide 57

Slide 57 text

56 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Security Observabilityを用いて成し遂げたい/成し遂げられること サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼Security Observabilityを用いて成し遂げたい/成し遂げられること ⚫ アプリケーションの脆弱性管理やデータにおける脅威の管理が可能 ⚫ 脅威がシステムに侵入することを阻止、あるいは侵入されても、混乱が引き起こされる前に阻止 ⚫ DevSecOpsにおける前工程において、脅威を防いで、効果的にDevとOpsを支援

Slide 58

Slide 58 text

57 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Security Observabilityのツール紹介 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼Traceable / Traceable ◼Araali Networks / Araali Lens, Sense, Shield ◼Deepfence / ThreatMapper, ThreatStryker ◼Gigamon / Gigamon Hawk, ThreatINSIGHT

Slide 59

Slide 59 text

58 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Traceable / Traceable サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼Traceable / Traceable ◼https://www.traceable.ai/ ◼アプリケーションのランタイムにおけるAPIリ スクの特定、内部・外部で悪用された APIの検出、APIセキュリティのリスク評価

Slide 60

Slide 60 text

59 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Araali Networks / Araali Lens, Sense, Shield サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼Araali Networks / Araali Lens, Sense, Shield ◼https://www.araalinetworks.com/ ◼Araali Lensで脅威検出し、Araali Sense でリスクに優先順位を付け、 Araali Shieldで適切に構成されたeBPFベースの コントロールをクラウドに導入して、エクスプ ロイトの可能性とデータ侵害の影響の両 方を管理

Slide 61

Slide 61 text

60 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Deepfence / ThreatMapper, ThreatStryker サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼Deepfence / ThreatMapper, ThreatStryker ◼https://deepfence.io/ ◼ThreatMapper: ⚫ クラウドネイティブなアプリの脆弱性と攻撃パス を見つけ、そのエクスプロイトのリスクに基づいて ランク付け ◼ThreatStryker: ⚫ DPI技術を用いて、IoAとIoCを見つけ、各攻撃 イベントについての相関分析をし、脅威を緩和 ※IoC(Indicators of Compromise;侵害の指標):IPアドレスやドメイン、URL、ハッ シュなどシステムやネットワークのアーティファクトで構成される静的なオブジェクト ※IoA(Indicators of Attack;攻撃の指標):悪意ある攻撃(不正コードの実行、永続 化の実施、C2の確立、防御回避)などのTTP(Tactics/Techniques/Procedures)で構成 されるもの

Slide 62

Slide 62 text

61 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Gigamon / Gigamon Hawk, ThreatINSIGHT サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼Gigamon / Gigamon Hawk, ThreatINSIGHT ◼https://www.gigamon.com/ ◼Hawk: ⚫ マルチクラウド・ハイブリッドクラウドのネットワーク全体を可 視化する”Deep Observability” ⚫ 既存利用しているObservabilityツールとの統合も可で、 米国国防総省でも利用 ◼GTI: ⚫ 侵害されたデバイスと脅威を確認し、脅威におけるリスク の動的計算とトリアージを自動化 ⚫ DNSやSSLトラフィックをモニタリングし、行動特性を分析 出典:Gigamon Adds Crucial Network Visibility to Zero Trust at the Department of Defense | Gigamon

Slide 63

Slide 63 text

62 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Cloud Native SecurityとしてSecurity Observabilityの未来 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼“CNAPP” + “Security Observability” + “SIEM” + “SOAR” ⚫ 見るべき個所すべてが可視化 ⚫ レイヤーごとに導入されていたツール間での分断がなくなり、 一貫したセキュリティ体制の実現が可能 ⚫ Security Tracingを取り込んだSIEMによる相関分析と プレイブック記載が可能なインシデントのSOARによる自動対応 CSPM CWPP CIEM IaC Security Apps&Data Security Security Observability CNAPP SIEM SOAR

Slide 64

Slide 64 text

63 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. Cloud Native SecurityとしてSecurity Observabilityの未来 サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼未来年表(色が濃いと運用が出来ている) ⚫ IaC Security以下、国内にて利用が開始し出すのは近い将来訪れるが、標準的に運用されるまではまだまだ 時間はかかる見込み 2018 2019 2020 2021 2022 2023 2024 2025 2026 2027 CSPM CWPP IaC Security CIEM CNAPP Security Observability

Slide 65

Slide 65 text

64 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. はじめに 01 サイバー攻撃とクラウドネイティブセキュリティ 02 クラウドネイティブセキュリティガイドライン 03 CNAPPとSecurity Observability 04 まとめ 05

Slide 66

Slide 66 text

65 Copyright (C)Nomura Research Institute, Ltd. NRI SecureTechnologies, Ltd. All rights reserved. まとめ サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来 ◼クラウドネイティブは非常にレイヤーが多く、跨ってのセキュリティ対応が必要で複雑化しがち ⚫ NRIはレイヤーごとにスタンダード、ベストプラクティスを取り込んでガイドラインを設定 ⚫ ガイドラインを確実に適用するため、クラウド利用申請、適用審査、棚卸・年次調査、セキュリティ教育を実施 ⚫ 利用者自身での定期診断が必須だが、手運用は負荷が高いため、ツールでの可視化・自動化を推奨 ◼レイヤーごとに最適なツールをいれても、全体での整合性がつきにくい ⚫ 各ガイドラインを守るためのツールも、特定レイヤーに特化したものが多い ⚫ レイヤーを跨ったクラウドネイティブアプリケーションのライフサイクル全体のセキュリティ対策は道半ば ◼次の段階として、ライフサイクル全体を可視化するソリューションが求められる ⚫ CNAPPのような、これまでのクラウドネイティブセキュリティを統合した、包括的な取り組みが必要 ⚫ 最適な解にはたどり着けておらず、NRIグループ全体で協力してSecurity Observabilityの実現を目指す

Slide 67

Slide 67 text

No content