shefuyuta blog

Posture Managementとは?~クラウドセキュリティの第一歩~

こんにちは

 

一応、セキュリティ業界にいる人間の端くれなので、

セキュリティについても語っていきたいと思っている所存です。

 

さて、いきなり専門用語らしきPosture Managementという言葉が出てきましたが、

まずはそれは何ぞや?という話からしたいと思います。

 

直訳すると

姿勢管理となりますが、

それは一旦忘れてください。

 

Posture Managementとは、

一言で言うと「クラウド上の設定ミスによるリスクを減らす」ことを目的とした一つの考え方です。

 

クラウド上の設定ミス?

えっと、つまり?

という気持ちになっている方もいるかもしれません。

 

主には、

AWSAzureなどのパブリッククラウド上に

システムサービスを構築している方々向けのものです。

 

クラウド上にシステムやサービスを構築しているということは、

クラウド上にネットワークを構築することになります。

 

そしてネットワークがあるということは、

ルーティングやアクセス制御の設定をしなければいけません。

誰がどこにアクセスできて、誰はできないのか。

どこからであればアクセスできて、どこからはできないのか。

 

そういった設定をしっかり行わなければいけないのです。

 

ただしまず大前提として、

そういったシステムやサービスを構築するのに

パブリッククラウドは非常に便利です。

 

サーバーやストレージ、スイッチなどの機器を買って、

それらを設置するラックを用意して、

ラックを配置するデータセンターを管理して、

データセンターと機器を上手く運用して、

といったようなヘビーな業務が省略されます。

 

そういった業務はクラウドベンダーに任せて、

クラウドベンダーが持つ巨大なデータセンターの中で稼働している

無数の機器の機能(リソース)だけを、

サービスとして使わせてもらって、

そのサービス利用分だけをベンダーに支払うだけでいいのです。

 

機器を所持するのとは違い、無駄なコンピューターリソースを持つ必要はなく、

また追加のリソースが必要になったらクリック一つで簡単に、それも高速に追加できます。

 

クラウドは便利で非常に使い勝手の良い物だということは忘れないでください。

 

しかし先程述べたとおり、

クラウド上のデータを守るためには、

しっかりとトラフィック制御を行わなければなりません。

 

その際に、以下の2つは注意していなかければいけないと

僕は考えています。

 

1つは、

パブリッククラウドはインターネット上にある

ということです。

 

いやいや、あたりまえじゃないか

と言われてしまうかもしれませんが、

インターネット上にあるということは

外部公開されているのがデフォルト

と考えてしかるべきです。

 

油断していると、

公開してはいけない機密データ

知らぬ間に公開されていた

なんてことにもなりかねないのです...。

 

そして2つめは、

パブリッククラウドの利点の一つである

簡単にリソースや設定を追加できる

ということです。

 

パブリッククラウドにログインできること

ログインするユーザーに権限が付与されていること

 

この二つの条件さえ揃っていれば

GUIの操作で簡単に、自由に変更を加えることができます。

 

クリックだけの操作ですから、

ネットワークの知識が無くても、

意図していない操作であっても、

それはもう簡単に設定が変わってしまうのです。

 

これらの設定を怠った結果として

何らかの被害を被ったとしても、

誰も助けることはできません。

 

パブリッククラウドでは

責任共有モデル(共同責任モデル)

という考え方があり、

クラウド上の資産管理の責任はユーザー側にあるのです

 

何となくでやらず、

きちんと考えられた構築が必要です。

 

さて、ここまで少々雑ではありながら

パブリッククラウドに潜むリスクについて

書いてきました。

 

そしてそのリスク、つまり設定ミスを防ぐことができるのが

Posture Managementなのです。

厳密には、

Cloud Security Posture Management

と呼ばれています。

略してCSPMです。

 

CSPMは、

コンサルティングやテクノロジー企業の評価を行う

アメリカのGartnerという企業が提唱した

クラウドセキュリティの考え方の一つです。

 

もっと言えば、

Gartnerは他にもクラウド上に必要なセキュリティの考え方をまとめており、

特にクラウドネイティブなアプリケーションの保護を実現する

CNAPP(Cloud Native Application Protection Platform)というものを提唱しています。

 

CSPM

その"Platform"の中の一機能なのです。

 

CNAPPについては

別の機会にお話ししたいと

思います。

 

ということで

CSPMの話に戻りましょう。

 

クラウド上の設定ミスを防ぐために、

以下の3つの機能が不可欠になります。

・クラウド上のリソース、ネットワーク設定の可視化

・一般的なセキュリティガイドラインに沿ったクラウドの設定評価

・上記二つを定期的に行う

 

これらの3つの機能についてもう少し深堀っていきます。

 

・クラウド上のリソース、ネットワーク設定の可視化

設定ミスを見つけるには、

大前提としてクラウド上にどのリソースを稼働させているか、

どのようなネットワークを構築しているか、

といった情報を常に把握しておく必要があります。

 

冒頭で述べた通り、

クラウド上の状態を把握するのは

非常に難しいため、

人力だけに頼るのは危険です。

 

・一般的なセキュリティガイドラインに沿ったクラウドの設定評価

これはクラウド上のシステムが

所謂コンプライアンス違反をしていないか

を確認する機能です。

設定ミス発見の一環として、

まずは既存のガイドラインに沿った設計になっているか

ということを確認することも重要です。

 

・上記二つを定期的に行う

定期的にがポイントですが、

簡単に設定が変わる=変化が激しい

という特性を持ったパブリッククラウドでは

一度確認できたから終わり

ということは決してありません。

 

油断せず、

定期的に検査をし、設定変更やミスを見逃さない

ということが必要です。

 

そしてそれを

人の目で確実に行っていく

ということが如何に非現実的かは

想像に難くないところだと思います。

 

人間の力を過信してはいけません。

情報量が多いクラウド環境では特に

人間だけでどうこうできる内容ではありません。

 

とういことで、

語れば長くなるCSPMについて、

できる限り簡潔に書いたつもりです。

 

まだまだ書きたいことは山ほどありますが、

ひとまずここまでの内容を上手く説明できていれば幸いです。

 

最後に、

このCSPMに関する簡単なYoutubeを作成しましたので是非ご覧ください。

shefutech Channel

ではまた。