クラウド時代を生き抜くためのセキュリティ技術と人材育成 / Security Technology and Human Resource Development to Survive in the Cloud Era

Transcript

1. クラウド時代を生き抜くための セキュリティ技術と人材育成 DX・ハイブリッドワーク時代の SASE・クラウドセキュリティ 2023 秋 ニューリジェンセキュリティ株式会社 クラウドセキュリティアーキテクト 大島 悠司

2. 目次 1. はじめに 2. クラウドに対する脅威と利用者の責任 3. クラウド基盤を守る技術 4. クラウド人材の育成 5.

   まとめ

3. はじめに

4. 3 © Nuligen Security Co., Ltd. 自己紹介 ◼ 大島 悠司（Yuji

   Oshima） ⚫ ニューリジェンセキュリティ株式会社 ⚫ クラウドセキュリティアーキテクト/SREリーダー ⚫ AWS Community Builders (Security & Identity) ⚫ 2023 JAPAN AWS Top Engineers (Security) ⚫ 2022-2023 APN ALL AWS Certifications Engineers ⚫ IPA 10大脅威選考会 ⚫ 情報処理技術者試験委員会・情報処理安全確保支援士試験委員会 ◼ 経歴 ⚫ デジタルフォレンジック、マルウェア解析、スレットインテリジェンス ⚫ SOC、基盤運用、インシデントレスポンス ⚫ ニューリジェンの創業メンバーとして サービス開発 / 基盤構築運用 / 研究開発 などに従事 yuj1osm

5. クラウドに対する脅威と利用者責任

6. 5 © Nuligen Security Co., Ltd. 情報セキュリティ対策 ◼ 情報セキュリティとは ⚫

   インターネットやITツールを活用することで生じるリスクから情報資産を守るための施策 ⚫ 情報資産の機密性、完全性、可用性を維持すること ◼ 情報セキュリティの要素 ⚫ 機密性 : 権利を持つ者だけが情報資産にアクセス可能なこと（パスワード、アクセス制御） ⚫ 完全性 : 改ざんがなく正確な情報を維持すること（バックアップ、操作ログ） ⚫ 可用性 : いつでもアクセス可能なこと（冗長化、UPS） ⚫ 真正性 : 相手が本人かどうか特定できること（多要素認証、デジタル署名） ⚫ 責任追跡性 : 事象を追跡できること（アクセスログ、操作ログ） ⚫ 否認防止: 事象を否認できないこと（アクセスログ、操作ログ） ⚫ 信頼性 : 意図した動作が行われていること（システム設計、運用設計） ◼ 情報資産に対する脅威と脆弱性を検討し、リスクに応じた情報セキュリティ対策を施す リスク

7. 6 © Nuligen Security Co., Ltd. 国内のクラウド利用動向 ◼ 背景 ⚫

   クラウドを利用する企業は年々増加 ⚫ 70%以上の企業がクラウドを利用 ◼ クラウドのメリット ⚫ 初期費用がゼロ ⚫ 柔軟性と俊敏性により必要な分だけ即時に利用可能 ⚫ マネージドサービスにより運用負荷が軽減 ◼ 世の中のクラウド推進の流れ ⚫ 企業のデジタルトランスフォーメーション（DX）推進 ⚫ 政府のクラウド・バイ・デフォルト原則 (出典) 令和４年通信利用動向調査の結果 | 総務省

8. 7 © Nuligen Security Co., Ltd. クラウドセキュリティの脅威動向 ◼ CSA Top

   Threats ⚫ クラウドの脅威やリスクに関する重大な脅威 ◼ ユーザ起因の脅威は継続しており、クラウドネイティブ機能の具体的な脅威が増加 11の悪質な脅威 (2019) 1 データ侵害 2 設定ミスと不適切な変更管理 3 クラウドセキュリティアーキテクチャと戦略の欠如 4 ID、資格情報、アクセス、鍵の不十分な管理 5 アカウントハイジャック 6 内部者の脅威 7 安全でないインターフェースとAPI 8 弱い管理プレーン 9 メタストラクチャとアプリストラクチャの障害 10 クラウド利用の可視性の限界 11 クラウドサービスの悪用・乱用・不正利用 パンデミック11 (2022) 1 不十分なアイデンティティ、資格情報およびアクセスとキーの管理 2 セキュアでないインターフェースやAPI 3 設定ミスと不適切な変更管理 4 クラウドセキュリティのアーキテクチャと戦略の欠如 5 セキュアでないソフトウェア開発 6 セキュアでないサードパーティーリソース 7 システムの脆弱性 8 予想外のクラウドデータ公開 9 サーバレスやコンテナワークロードの構成ミスや悪用 10 組織的な犯罪、 ハッカーとAPT 11 クラウドストレージデータ流出 (出典) Top Threats to Cloud Computing The Egregious 11 | CSA (出典) Top Threats to Cloud Computing - Pandemic Eleven| CSA

9. 8 © Nuligen Security Co., Ltd. 代表的なXaaSにおける責任範囲 ◼ クラウドサービスの提供形態によって責任範囲が異なる ◼

   いずれの形態もユーザの責任がゼロになることはない データ アプリケーション ミドルウェア オペレーティングシステム 仮想化ソフトウェア ハードウェア データ アプリケーション ミドルウェア オペレーティングシステム 仮想化ソフトウェア ハードウェア データ アプリケーション ミドルウェア オペレーティングシステム 仮想化ソフトウェア ハードウェア IaaS PaaS SaaS ユーザの責任範囲 クラウド提供事業者の 責任範囲

10. 9 © Nuligen Security Co., Ltd. AWSのIaaSにおける責任共有モデル例（Amazon EC2の場合） ◼ AWS

    ⚫ ハードウェア/ソフトウェア/NWを含んだ インフラストラクチャすべての保護に責任を負う ◼ お客様 ⚫ OS更新やセキュリティパッチ適用、 AWSが提供するセキュリティ機能の設定など、 セキュリティ構成と管理に責任を負う ◼ あくまでセキュリティ構成はユーザに委ねられる 責任共有モデル | AWS https://aws.amazon.com/jp/compliance/shared-responsibility-model/

11. 10 © Nuligen Security Co., Ltd. ワークロード全体で考えるセキュリティ対策 ◼ 実際には、ワークロードは複数のサービスが組み合わさってできている ◼

    ワークロード全体として、責任境界をきれいに線引きできるわけではない ◼ 重要なのは、各サービスの機能を理解したうえで、ユーザがセキュリティ対策を検討すること AWS Cloud VPC Webサイト (Amazon EC2) データ(Amazon RDS) Amazon CloudFront 静的コンテンツ(Amazon S3) Users IaaS PaaS

12. クラウド基盤を守る技術

13. 12 © Nuligen Security Co., Ltd. セキュリティフレームワークの活用 ◼ セキュリティフレームワークのメリット ⚫

    セキュリティ対策の抜け漏れを防ぎ、効率良く運用管理体制を構築可能 ⚫ 第三者認証の取得に繋がり、信頼獲得に貢献 ◼ 代表的なセキュリティフレームワーク ⚫ NIST CSF : 米国国立標準技術研究所(NIST)発行の重要インフラ向けフレームワーク ⚫ CIS Controls : Center for Internet Security発行のセキュリティ対策ガイドライン ⚫ ISMS : JIS Q 27001（ISO/IEC 27001）に基づいた情報セキュリティ管理対策 ⚫ PCI DSS : Payment Card Industry Security Standards Council発行のカード業界向け対策基準 NIST CSF ISMS CIS Controls PCI DSS 組織向け 技術向け サイバー攻撃 対策向け 情報セキュリティ 全般向け

14. 13 © Nuligen Security Co., Ltd. ネットワークセキュリティ対策 FW (Firewall) /

    WAF (Web Application Firewall) ◼ FW (Firewall)とは ⚫ 内部ネットワークと外部ネットワーク間の通信を検査 ◼ 代表的なFWサービス ⚫ AWS Network Firewall ⚫ Azure Firewall ⚫ VPC ファイアウォール ◼ WAF (Web Application Firewall)とは ⚫ クライアントとWeb サーバーとの間のHTTPトラフィックを検査 ⚫ SQLインジェクションやXSSなどの攻撃通信を防御可能 ◼ 代表的なWAFサービス ⚫ AWS WAF ⚫ Azure WAF ⚫ Google Cloud Armor アプリケーション ポートスキャン SQLインジェクション、XSS、・・・ WAF FW 通常閲覧

15. 14 © Nuligen Security Co., Ltd. 脆弱性管理 Vulnerability Management ◼

    脆弱性管理とは ⚫ ソフトウェアの脆弱性を継続的にスキャンしてリスクを可視化 ⚫ パッチの自動適応や構成管理情報の出力といった機能を有するものもある ◼ 代表的な脆弱性管理サービス ⚫ Amazon Inspector ⚫ Microsoft Defender for Cloud ⚫ GCP Security Command Center ・資産情報収集 ・脆弱性情報収集 (NVD, JVD, など) ・脆弱性スキャン ・リスク評価

16. 15 © Nuligen Security Co., Ltd. クラウドセキュリティ態勢管理 CSPM(Cloud Security Posture

    Management) ◼ CSPM ⚫ フレームワークやガイドラインをベースに、クラウドサービスの設定を継続的に評価 ⚫ 設定不備やリスクがあればユーザに通知 ⚫ リスクを可視化し、修復方法を提示 ◼ 代表的なサービス ⚫ AWS Security Hub ⚫ Microsoft Defender for Cloud ⚫ GCP Security Command Center CSPM 設定 ・設定監査 ・リスク可視化 ・修復支援 確認

17. 16 © Nuligen Security Co., Ltd. クラウドワークロード保護プラットフォーム CWPP(Cloud Workload Protection

    Platform) ◼ CWPP ⚫ クラウド上のVMやコンテナ、サーバレスといったワークロードの監視と保護 ⚫ CI/CDと連携することでコンテナイメージをスキャンでき、開発段階から品質を向上 ◼ 代表的なサービス ⚫ Microsoft Defender for Cloud ⚫ Google Cloud Security Command Center CWPP 設定 ・脆弱性スキャン ・脅威検知 ・リスク可視化 確認

18. 17 © Nuligen Security Co., Ltd. クラウドネイティブアプリケーション保護プラットフォーム CNAPP(Cloud Native Application

    Protection Platform) ◼ CNAPP ⚫ 監査・管理の側面が強いCSPMと脅威防御の側面が強いCWPPを統合した概念 ⚫ 開発から運用までライフサイクル全体で包括的なセキュリティ対策が可能 ⚫ CI/CDツールと連携してDevSecOpsを効率的に実践可能 CSPM CWPP CNAPP アクセス制御 暗号化 アカウント制御 VM コンテナ サーバレス ・・・ ・・・ (出典) DevSecOps｜セキュリティ用語解説｜NRIセキュア

19. クラウド人材の育成

20. 19 © Nuligen Security Co., Ltd. クラウド人材の育成の難しさ ◼ クラウドの幅広さと変化の速さ ⚫

    AWSでは毎年多くの新機能がリリースされ、その数は年々増加 (出典) 「AWS Partner Summit Japan 2022」基調講演 AWSの新機能数の推移

21. 20 © Nuligen Security Co., Ltd. クラウド人材に必要なスキル ◼ ITに関する他分野の知識やクラウドの基礎知識 ⚫

    オンプレからクラウドになってもITインフラ全般の知識は必要 ⚫ ハードウェア / ソフトウェア / OS / ミドルウェア / ネットワーク / セキュリティ など ◼ クラウドの特性を生かした設計力 ⚫ クラウドのデザインパターンやベストプラクティスの理解 ⚫ 信頼性、パフォーマンス効率、運用の優位性、セキュリティ、コスト最適化 など ◼ クラウド技術への探求心 ⚫ 幅広さや変化の速さに追従する力 ⚫ 変化を楽しむこと

22. 21 © Nuligen Security Co., Ltd. クラウド資格 ◼ クラウド資格取得のメリット ⚫

    各クラウドサービスを体系的に学習することが可能 ⚫ デザインパターンやベストプラクティスを学習することが可能 ⚫ パートナーシップの要件への貢献 ◼ クラウド資格の例 ⚫ AWS : AWS Certified Solutions Architect – Associate AWS Certified Solutions Architect - Professional ⚫ Azure : Microsoft Certified : Azure Administrator Associate Microsoft Certified : Azure Solutions Architect Expert ⚫ GCP : Google Cloud - Associate Cloud Engineer Google Cloud - Professional Cloud Architect ⚫ ベンダーフリー : CCSP(Certified Cloud Security Professional) (出典) 15 TOP-PAYING IT CERTIFICATIONS OF 2022 1 AWS Certified Solutions Architect – Professional 2 CISM - Certified Information Security Manager 3 Google Cloud - Professional Cloud Architect 4 CISSP - Certified Information Systems Security Professional 5 AWS Certified Solutions Architect – Associate 6 AWS Certified Security – Specialty 7 PMP: Project Management Professional 8 Nutanix Certified Professional – Multicloud Infrastructure (NCP-MCI) 9 Microsoft Certified: Azure Solutions Architect Expert 10 Google Cloud - Cloud Digital Leader 11 CISA - Certified Information Systems Auditor 12 AWS Certified Big Data – Specialty 13 VMware Certified Professional – Data Center Virtualization (VCP-DCV) 14 AWS Certified Cloud Practitioner 15 CCNP Enterprise

23. 22 © Nuligen Security Co., Ltd. クラウドコミュニティ ◼ クラウドコミュニティのメリット ⚫

    勉強会や交流会を通して、新しい知見や多用な価値観を習得することが可能 ⚫ 登壇することで様々なフィードバックが得られ、アウトプットすることで誰かの助けになる ◼ クラウドコミュニティの例 ⚫ AWS : JAWS-UG (AWS Users Group – Japan) ⚫ Azure : JAZUG (Japan Azure User Group) ⚫ GCP : Jagu'e’r (Japan Google Cloud Usergroup for Enterprise)

24. 23 © Nuligen Security Co., Ltd. クラウドカンファレンス ◼ クラウドカンファレンスのメリット ⚫

    新サービスの発表を間近で聴講でき、現地の熱量を感じることが可能 ⚫ グローバルカンファレンスでは世界中の人と交流が可能 ◼ クラウドカンファレンスの例 ⚫ AWS : AWS re:Invent AWS re:Inforce ⚫ Azure : Microsoft Ignite Microsoft Build ⚫ GCP : Google Cloud Next Google I/O

25. まとめ

26. 25 © Nuligen Security Co., Ltd. まとめ ◼ クラウドセキュリティの脅威動向として、ユーザ起因の脅威が継続 ⚫

    ユーザとクラウド提供事業者の責任範囲を理解する必要がある ⚫ 各サービスやアーキテクチャを理解したうえで、ユーザ自身がセキュリティ対策に責任を持つ ◼ クラウド基盤を守る技術を理解 ⚫ セキュリティフレームワークを活用すると効率よくセキュリティ対策できる ⚫ クラウドセキュリティの技術的アプローチを理解し、自組織に必要なものを選択する ◼ クラウド人材の育成を戦略的に実施 ⚫ 資格を活用することで、効率的にクラウドを学べる ⚫ コミュニティやカンファレンスに参加することで、視野を広げることができる

27. www.nuligen.com