クラウド時代を生き抜くためのセキュリティ技術と人材育成 / Security Technology and Human Resource Development to Survive in the Cloud Era

クラウド時代を生き抜くための
セキュリティ技術と人材育成
DX・ハイブリッドワーク時代の SASE・クラウドセキュリティ 2023 秋
ニューリジェンセキュリティ株式会社
クラウドセキュリティアーキテクト
大島悠司

View Slide

目次
1. はじめに
2. クラウドに対する脅威と利用者の責任
3. クラウド基盤を守る技術
4. クラウド人材の育成
5. まとめ

View Slide

はじめに

View Slide

3
© Nuligen Security Co., Ltd.
自己紹介
◼ 大島悠司（Yuji Oshima）
⚫ ニューリジェンセキュリティ株式会社
⚫ クラウドセキュリティアーキテクト/SREリーダー
⚫ AWS Community Builders (Security & Identity)
⚫ 2023 JAPAN AWS Top Engineers (Security)
⚫ 2022-2023 APN ALL AWS Certifications Engineers
⚫ IPA 10大脅威選考会
⚫ 情報処理技術者試験委員会・情報処理安全確保支援士試験委員会
◼ 経歴
⚫ デジタルフォレンジック、マルウェア解析、スレットインテリジェンス
⚫ SOC、基盤運用、インシデントレスポンス
⚫ ニューリジェンの創業メンバーとして
サービス開発 / 基盤構築運用 / 研究開発などに従事
yuj1osm

View Slide

クラウドに対する脅威と利用者責任

View Slide

5
情報セキュリティ対策
◼ 情報セキュリティとは
⚫ インターネットやITツールを活用することで生じるリスクから情報資産を守るための施策
⚫ 情報資産の機密性、完全性、可用性を維持すること
◼ 情報セキュリティの要素
⚫ 機密性 : 権利を持つ者だけが情報資産にアクセス可能なこと（パスワード、アクセス制御）
⚫ 完全性 : 改ざんがなく正確な情報を維持すること（バックアップ、操作ログ）
⚫ 可用性 : いつでもアクセス可能なこと（冗長化、UPS）
⚫ 真正性 : 相手が本人かどうか特定できること（多要素認証、デジタル署名）
⚫ 責任追跡性 : 事象を追跡できること（アクセスログ、操作ログ）
⚫ 否認防止: 事象を否認できないこと（アクセスログ、操作ログ）
⚫ 信頼性 : 意図した動作が行われていること（システム設計、運用設計）
◼ 情報資産に対する脅威と脆弱性を検討し、リスクに応じた情報セキュリティ対策を施す
リスク

View Slide

6
国内のクラウド利用動向
◼ 背景
⚫ クラウドを利用する企業は年々増加
⚫ 70%以上の企業がクラウドを利用
◼ クラウドのメリット
⚫ 初期費用がゼロ
⚫ 柔軟性と俊敏性により必要な分だけ即時に利用可能
⚫ マネージドサービスにより運用負荷が軽減
◼ 世の中のクラウド推進の流れ
⚫ 企業のデジタルトランスフォーメーション（DX）推進
⚫ 政府のクラウド・バイ・デフォルト原則
(出典) 令和４年通信利用動向調査の結果 | 総務省

View Slide

7
クラウドセキュリティの脅威動向
◼ CSA Top Threats
⚫ クラウドの脅威やリスクに関する重大な脅威
◼ ユーザ起因の脅威は継続しており、クラウドネイティブ機能の具体的な脅威が増加
11の悪質な脅威 (2019)
1 データ侵害
2 設定ミスと不適切な変更管理
3 クラウドセキュリティアーキテクチャと戦略の欠如
4 ID、資格情報、アクセス、鍵の不十分な管理
5 アカウントハイジャック
6 内部者の脅威
7 安全でないインターフェースとAPI
8 弱い管理プレーン
9 メタストラクチャとアプリストラクチャの障害
10 クラウド利用の可視性の限界
11 クラウドサービスの悪用・乱用・不正利用
パンデミック11 (2022)
1 不十分なアイデンティティ、資格情報およびアクセスとキーの管理
2 セキュアでないインターフェースやAPI
3 設定ミスと不適切な変更管理
4 クラウドセキュリティのアーキテクチャと戦略の欠如
5 セキュアでないソフトウェア開発
6 セキュアでないサードパーティーリソース
7 システムの脆弱性
8 予想外のクラウドデータ公開
9 サーバレスやコンテナワークロードの構成ミスや悪用
10 組織的な犯罪、ハッカーとAPT
11 クラウドストレージデータ流出
(出典) Top Threats to Cloud Computing The Egregious 11 | CSA (出典) Top Threats to Cloud Computing - Pandemic Eleven| CSA

View Slide

8
代表的なXaaSにおける責任範囲
◼ クラウドサービスの提供形態によって責任範囲が異なる
◼ いずれの形態もユーザの責任がゼロになることはい
データ
アプリケーション
ミドルウェア
オペレーティングシステム
仮想化ソフトウェア
ハードウェア
データ
ミドルウェア
ハードウェア
データ
ミドルウェア
ハードウェア
IaaS PaaS SaaS
ユーザの責任範囲
クラウド提供事業者の
責任範囲

View Slide

9
AWSのIaaSにおける責任共有モデル例（Amazon EC2の場合）
◼ AWS
⚫ ハードウェア/ソフトウェア/NWを含んだ
インフラストラクチャすべての保護に責任を負う
◼ お客様
⚫ OS更新やセキュリティパッチ適用、
AWSが提供するセキュリティ機能の設定など、
セキュリティ構成と管理に責任を負う
◼ あくまでセキュリティ構成はユーザに委ねられる
責任共有モデル | AWS
https://aws.amazon.com/jp/compliance/shared-responsibility-model/

View Slide

10
ワークロード全体で考えるセキュリティ対策
◼ 実際には、ワークロードは複数のサービスが組み合わさってできている
◼ ワークロード全体として、責任境界をきれいに線引きできるわけではない
◼ 重要なのは、各サービスの機能を理解したうえで、ユーザがセキュリティ対策を検討すること
AWS Cloud
VPC
Webサイト (Amazon EC2) データ(Amazon RDS)
Amazon CloudFront
静的コンテンツ(Amazon S3)
Users
IaaS PaaS

View Slide

クラウド基盤を守る技術

View Slide

12
セキュリティフレームワークの活用
◼ セキュリティフレームワークのメリット
⚫ セキュリティ対策の抜け漏れを防ぎ、効率良く運用管理体制を構築可能
⚫ 第三者認証の取得に繋がり、信頼獲得に貢献
◼ 代表的なセキュリティフレームワーク
⚫ NIST CSF : 米国国立標準技術研究所(NIST)発行の重要インフラ向けフレームワーク
⚫ CIS Controls : Center for Internet Security発行のセキュリティ対策ガイドライン
⚫ ISMS : JIS Q 27001（ISO/IEC 27001）に基づいた情報セキュリティ管理対策
⚫ PCI DSS : Payment Card Industry Security Standards Council発行のカード業界向け対策基準
NIST CSF ISMS
CIS Controls PCI DSS
組織向け
技術向け
サイバー攻撃
対策向け
情報セキュリティ
全般向け

View Slide

13
ネットワークセキュリティ対策
FW (Firewall) / WAF (Web Application Firewall)
◼ FW (Firewall)とは
⚫ 内部ネットワークと外部ネットワーク間の通信を検査
◼ 代表的なFWサービス
⚫ AWS Network Firewall
⚫ Azure Firewall
⚫ VPC ファイアウォール
◼ WAF (Web Application Firewall)とは
⚫ クライアントとWeb サーバーとの間のHTTPトラフィックを検査
⚫ SQLインジェクションやXSSなどの攻撃通信を防御可能
◼ 代表的なWAFサービス
⚫ AWS WAF
⚫ Azure WAF
⚫ Google Cloud Armor
ポートスキャン
SQLインジェクション、XSS、・・・
WAF
FW
通常閲覧

View Slide

14
脆弱性管理
Vulnerability Management
◼ 脆弱性管理とは
⚫ ソフトウェアの脆弱性を継続的にスキャンしてリスクを可視化
⚫ パッチの自動適応や構成管理情報の出力といった機能を有するものもある
◼ 代表的な脆弱性管理サービス
⚫ Amazon Inspector
⚫ Microsoft Defender for Cloud
⚫ GCP Security Command Center
・資産情報収集
・脆弱性情報収集 (NVD, JVD, など)
・脆弱性スキャン
・リスク評価

View Slide

15
クラウドセキュリティ態勢管理
CSPM(Cloud Security Posture Management)
◼ CSPM
⚫ フレームワークやガイドラインをベースに、クラウドサービスの設定を継続的に評価
⚫ 設定不備やリスクがあればユーザに通知
⚫ リスクを可視化し、修復方法を提示
◼ 代表的なサービス
⚫ AWS Security Hub
⚫ GCP Security Command Center
CSPM
設定
・設定監査
・リスク可視化
・修復支援確認

View Slide

16
クラウドワークロード保護プラットフォーム
CWPP(Cloud Workload Protection Platform)
◼ CWPP
⚫ クラウド上のVMやコンテナ、サーバレスといったワークロードの監視と保護
⚫ CI/CDと連携することでコンテナイメージをスキャンでき、開発段階から品質を向上
◼ 代表的なサービス
⚫ Google Cloud Security Command Center
CWPP
設定
・脆弱性スキャン
・脅威検知
・リスク可視化確認

View Slide

17
クラウドネイティブアプリケーション保護プラットフォーム
CNAPP(Cloud Native Application Protection Platform)
◼ CNAPP
⚫ 監査・管理の側面が強いCSPMと脅威防御の側面が強いCWPPを統合した概念
⚫ 開発から運用までライフサイクル全体で包括的なセキュリティ対策が可能
⚫ CI/CDツールと連携してDevSecOpsを効率的に実践可能
CSPM CWPP
CNAPP
アクセス制御
暗号化
アカウント制御
VM
コンテナ
サーバレス
・・・
・・・
(出典) DevSecOps｜セキュリティ用語解説｜NRIセキュア

View Slide

クラウド人材の育成

View Slide

19
クラウド人材の育成の難しさ
◼ クラウドの幅広さと変化の速さ
⚫ AWSでは毎年多くの新機能がリリースされ、その数は年々増加
(出典) 「AWS Partner Summit Japan 2022」基調講演
AWSの新機能数の推移

View Slide

20
クラウド人材に必要なスキル
◼ ITに関する他分野の知識やクラウドの基礎知識
⚫ オンプレからクラウドになってもITインフラ全般の知識は必要
⚫ ハードウェア / ソフトウェア / OS / ミドルウェア / ネットワーク / セキュリティなど
◼ クラウドの特性を生かした設計力
⚫ クラウドのデザインパターンやベストプラクティスの理解
⚫ 信頼性、パフォーマンス効率、運用の優位性、セキュリティ、コスト最適化など
◼ クラウド技術への探求心
⚫ 幅広さや変化の速さに追従する力
⚫ 変化を楽しむこと

View Slide

21
クラウド資格
◼ クラウド資格取得のメリット
⚫ 各クラウドサービスを体系的に学習することが可能
⚫ デザインパターンやベストプラクティスを学習することが可能
⚫ パートナーシップの要件への貢献
◼ クラウド資格の例
⚫ AWS : AWS Certified Solutions Architect – Associate
AWS Certified Solutions Architect - Professional
⚫ Azure : Microsoft Certified : Azure Administrator Associate
Microsoft Certified : Azure Solutions Architect Expert
⚫ GCP : Google Cloud - Associate Cloud Engineer
Google Cloud - Professional Cloud Architect
⚫ ベンダーフリー : CCSP(Certified Cloud Security Professional)
(出典) 15 TOP-PAYING IT CERTIFICATIONS OF 2022
1 AWS Certified Solutions Architect – Professional
2 CISM - Certified Information Security Manager
3 Google Cloud - Professional Cloud Architect
4 CISSP - Certified Information Systems Security Professional
5 AWS Certified Solutions Architect – Associate
6 AWS Certified Security – Specialty
7 PMP: Project Management Professional
8 Nutanix Certified Professional – Multicloud
Infrastructure (NCP-MCI)
9 Microsoft Certified: Azure Solutions Architect Expert
10 Google Cloud - Cloud Digital Leader
11 CISA - Certified Information Systems Auditor
12 AWS Certified Big Data – Specialty
13 VMware Certified Professional – Data Center Virtualization
(VCP-DCV)
14 AWS Certified Cloud Practitioner
15 CCNP Enterprise

View Slide

22
クラウドコミュニティ
◼ クラウドコミュニティのメリット
⚫ 勉強会や交流会を通して、新しい知見や多用な価値観を習得することが可能
⚫ 登壇することで様々なフィードバックが得られ、アウトプットすることで誰かの助けになる
◼ クラウドコミュニティの例
⚫ AWS : JAWS-UG (AWS Users Group – Japan)
⚫ Azure : JAZUG (Japan Azure User Group)
⚫ GCP : Jagu'e’r (Japan Google Cloud Usergroup for Enterprise)

View Slide

23
クラウドカンファレンス
◼ クラウドカンファレンスのメリット
⚫ 新サービスの発表を間近で聴講でき、現地の熱量を感じることが可能
⚫ グローバルカンファレンスでは世界中の人と交流が可能
◼ クラウドカンファレンスの例
⚫ AWS : AWS re:Invent
AWS re:Inforce
⚫ Azure : Microsoft Ignite
Microsoft Build
⚫ GCP : Google Cloud Next
Google I/O

View Slide

まとめ

View Slide

25
まとめ
◼ クラウドセキュリティの脅威動向として、ユーザ起因の脅威が継続
⚫ ユーザとクラウド提供事業者の責任範囲を理解する必要がある
⚫ 各サービスやアーキテクチャを理解したうえで、ユーザ自身がセキュリティ対策に責任を持つ
◼ クラウド基盤を守る技術を理解
⚫ セキュリティフレームワークを活用すると効率よくセキュリティ対策できる
⚫ クラウドセキュリティの技術的アプローチを理解し、自組織に必要なものを選択する
◼ クラウド人材の育成を戦略的に実施
⚫ 資格を活用することで、効率的にクラウドを学べる
⚫ コミュニティやカンファレンスに参加することで、視野を広げることができる

View Slide

www.nuligen.com

View Slide

クラウド時代を生き抜くためのセキュリティ技術と人材育成 / Security Technology and Human Resource Development to Survive in the Cloud Era

クラウド時代を生き抜くためのセキュリティ技術と人材育成 / Security Technology and Human Resource Development to Survive in the Cloud Era

Yuji Oshima

More Decks by Yuji Oshima

Other Decks in Technology

Featured

Transcript