ビジネス+IT Webセミナー「DX・ハイブリッドワーク時代の SASE・クラウド セキュリティ2023 秋」で発表した資料です。 https://www.sbbit.jp/eventinfo/76586
クラウド時代を生き抜くためのセキュリティ技術と人材育成DX・ハイブリッドワーク時代の SASE・クラウドセキュリティ 2023 秋ニューリジェンセキュリティ株式会社クラウドセキュリティアーキテクト大島 悠司
View Slide
目次1. はじめに2. クラウドに対する脅威と利用者の責任3. クラウド基盤を守る技術4. クラウド人材の育成5. まとめ
はじめに
3© Nuligen Security Co., Ltd.自己紹介◼ 大島 悠司(Yuji Oshima)⚫ ニューリジェンセキュリティ株式会社⚫ クラウドセキュリティアーキテクト/SREリーダー⚫ AWS Community Builders (Security & Identity)⚫ 2023 JAPAN AWS Top Engineers (Security)⚫ 2022-2023 APN ALL AWS Certifications Engineers⚫ IPA 10大脅威選考会⚫ 情報処理技術者試験委員会・情報処理安全確保支援士試験委員会◼ 経歴⚫ デジタルフォレンジック、マルウェア解析、スレットインテリジェンス⚫ SOC、基盤運用、インシデントレスポンス⚫ ニューリジェンの創業メンバーとしてサービス開発 / 基盤構築運用 / 研究開発 などに従事yuj1osm
クラウドに対する脅威と利用者責任
5© Nuligen Security Co., Ltd.情報セキュリティ対策◼ 情報セキュリティとは⚫ インターネットやITツールを活用することで生じるリスクから情報資産を守るための施策⚫ 情報資産の機密性、完全性、可用性を維持すること◼ 情報セキュリティの要素⚫ 機密性 : 権利を持つ者だけが情報資産にアクセス可能なこと(パスワード、アクセス制御)⚫ 完全性 : 改ざんがなく正確な情報を維持すること(バックアップ、操作ログ)⚫ 可用性 : いつでもアクセス可能なこと(冗長化、UPS)⚫ 真正性 : 相手が本人かどうか特定できること(多要素認証、デジタル署名)⚫ 責任追跡性 : 事象を追跡できること(アクセスログ、操作ログ)⚫ 否認防止: 事象を否認できないこと(アクセスログ、操作ログ)⚫ 信頼性 : 意図した動作が行われていること(システム設計、運用設計)◼ 情報資産に対する脅威と脆弱性を検討し、リスクに応じた情報セキュリティ対策を施すリスク
6© Nuligen Security Co., Ltd.国内のクラウド利用動向◼ 背景⚫ クラウドを利用する企業は年々増加⚫ 70%以上の企業がクラウドを利用◼ クラウドのメリット⚫ 初期費用がゼロ⚫ 柔軟性と俊敏性により必要な分だけ即時に利用可能⚫ マネージドサービスにより運用負荷が軽減◼ 世の中のクラウド推進の流れ⚫ 企業のデジタルトランスフォーメーション(DX)推進⚫ 政府のクラウド・バイ・デフォルト原則(出典) 令和4年通信利用動向調査の結果 | 総務省
7© Nuligen Security Co., Ltd.クラウドセキュリティの脅威動向◼ CSA Top Threats⚫ クラウドの脅威やリスクに関する重大な脅威◼ ユーザ起因の脅威は継続しており、クラウドネイティブ機能の具体的な脅威が増加11の悪質な脅威 (2019)1 データ侵害2 設定ミスと不適切な変更管理3 クラウドセキュリティアーキテクチャと戦略の欠如4 ID、資格情報、アクセス、鍵の不十分な管理5 アカウントハイジャック6 内部者の脅威7 安全でないインターフェースとAPI8 弱い管理プレーン9 メタストラクチャとアプリストラクチャの障害10 クラウド利用の可視性の限界11 クラウドサービスの悪用・乱用・不正利用パンデミック11 (2022)1 不十分なアイデンティティ、資格情報およびアクセスとキーの管理2 セキュアでないインターフェースやAPI3 設定ミスと不適切な変更管理4 クラウドセキュリティのアーキテクチャと戦略の欠如5 セキュアでないソフトウェア開発6 セキュアでないサードパーティーリソース7 システムの脆弱性8 予想外のクラウドデータ公開9 サーバレスやコンテナワークロードの構成ミスや悪用10 組織的な犯罪、 ハッカーとAPT11 クラウドストレージデータ流出(出典) Top Threats to Cloud Computing The Egregious 11 | CSA (出典) Top Threats to Cloud Computing - Pandemic Eleven| CSA
8© Nuligen Security Co., Ltd.代表的なXaaSにおける責任範囲◼ クラウドサービスの提供形態によって責任範囲が異なる◼ いずれの形態もユーザの責任がゼロになることはいデータアプリケーションミドルウェアオペレーティングシステム仮想化ソフトウェアハードウェアデータアプリケーションミドルウェアオペレーティングシステム仮想化ソフトウェアハードウェアデータアプリケーションミドルウェアオペレーティングシステム仮想化ソフトウェアハードウェアIaaS PaaS SaaSユーザの責任範囲クラウド提供事業者の責任範囲
9© Nuligen Security Co., Ltd.AWSのIaaSにおける責任共有モデル例(Amazon EC2の場合)◼ AWS⚫ ハードウェア/ソフトウェア/NWを含んだインフラストラクチャすべての保護に責任を負う◼ お客様⚫ OS更新やセキュリティパッチ適用、AWSが提供するセキュリティ機能の設定など、セキュリティ構成と管理に責任を負う◼ あくまでセキュリティ構成はユーザに委ねられる責任共有モデル | AWShttps://aws.amazon.com/jp/compliance/shared-responsibility-model/
10© Nuligen Security Co., Ltd.ワークロード全体で考えるセキュリティ対策◼ 実際には、ワークロードは複数のサービスが組み合わさってできている◼ ワークロード全体として、責任境界をきれいに線引きできるわけではない◼ 重要なのは、各サービスの機能を理解したうえで、ユーザがセキュリティ対策を検討することAWS CloudVPCWebサイト (Amazon EC2) データ(Amazon RDS)Amazon CloudFront静的コンテンツ(Amazon S3)UsersIaaS PaaS
クラウド基盤を守る技術
12© Nuligen Security Co., Ltd.セキュリティフレームワークの活用◼ セキュリティフレームワークのメリット⚫ セキュリティ対策の抜け漏れを防ぎ、効率良く運用管理体制を構築可能⚫ 第三者認証の取得に繋がり、信頼獲得に貢献◼ 代表的なセキュリティフレームワーク⚫ NIST CSF : 米国国立標準技術研究所(NIST)発行の重要インフラ向けフレームワーク⚫ CIS Controls : Center for Internet Security発行のセキュリティ対策ガイドライン⚫ ISMS : JIS Q 27001(ISO/IEC 27001)に基づいた情報セキュリティ管理対策⚫ PCI DSS : Payment Card Industry Security Standards Council発行のカード業界向け対策基準NIST CSF ISMSCIS Controls PCI DSS組織向け技術向けサイバー攻撃対策向け情報セキュリティ全般向け
13© Nuligen Security Co., Ltd.ネットワークセキュリティ対策FW (Firewall) / WAF (Web Application Firewall)◼ FW (Firewall)とは⚫ 内部ネットワークと外部ネットワーク間の通信を検査◼ 代表的なFWサービス⚫ AWS Network Firewall⚫ Azure Firewall⚫ VPC ファイアウォール◼ WAF (Web Application Firewall)とは⚫ クライアントとWeb サーバーとの間のHTTPトラフィックを検査⚫ SQLインジェクションやXSSなどの攻撃通信を防御可能◼ 代表的なWAFサービス⚫ AWS WAF⚫ Azure WAF⚫ Google Cloud ArmorアプリケーションポートスキャンSQLインジェクション、XSS、・・・WAFFW通常閲覧
14© Nuligen Security Co., Ltd.脆弱性管理Vulnerability Management◼ 脆弱性管理とは⚫ ソフトウェアの脆弱性を継続的にスキャンしてリスクを可視化⚫ パッチの自動適応や構成管理情報の出力といった機能を有するものもある◼ 代表的な脆弱性管理サービス⚫ Amazon Inspector⚫ Microsoft Defender for Cloud⚫ GCP Security Command Center・資産情報収集・脆弱性情報収集 (NVD, JVD, など)・脆弱性スキャン・リスク評価
15© Nuligen Security Co., Ltd.クラウドセキュリティ態勢管理CSPM(Cloud Security Posture Management)◼ CSPM⚫ フレームワークやガイドラインをベースに、クラウドサービスの設定を継続的に評価⚫ 設定不備やリスクがあればユーザに通知⚫ リスクを可視化し、修復方法を提示◼ 代表的なサービス⚫ AWS Security Hub⚫ Microsoft Defender for Cloud⚫ GCP Security Command CenterCSPM設定・設定監査・リスク可視化・修復支援 確認
16© Nuligen Security Co., Ltd.クラウドワークロード保護プラットフォームCWPP(Cloud Workload Protection Platform)◼ CWPP⚫ クラウド上のVMやコンテナ、サーバレスといったワークロードの監視と保護⚫ CI/CDと連携することでコンテナイメージをスキャンでき、開発段階から品質を向上◼ 代表的なサービス⚫ Microsoft Defender for Cloud⚫ Google Cloud Security Command CenterCWPP設定・脆弱性スキャン・脅威検知・リスク可視化 確認
17© Nuligen Security Co., Ltd.クラウドネイティブアプリケーション保護プラットフォームCNAPP(Cloud Native Application Protection Platform)◼ CNAPP⚫ 監査・管理の側面が強いCSPMと脅威防御の側面が強いCWPPを統合した概念⚫ 開発から運用までライフサイクル全体で包括的なセキュリティ対策が可能⚫ CI/CDツールと連携してDevSecOpsを効率的に実践可能CSPM CWPPCNAPPアクセス制御暗号化アカウント制御VMコンテナサーバレス・・・・・・(出典) DevSecOps|セキュリティ用語解説|NRIセキュア
クラウド人材の育成
19© Nuligen Security Co., Ltd.クラウド人材の育成の難しさ◼ クラウドの幅広さと変化の速さ⚫ AWSでは毎年多くの新機能がリリースされ、その数は年々増加(出典) 「AWS Partner Summit Japan 2022」基調講演AWSの新機能数の推移
20© Nuligen Security Co., Ltd.クラウド人材に必要なスキル◼ ITに関する他分野の知識やクラウドの基礎知識⚫ オンプレからクラウドになってもITインフラ全般の知識は必要⚫ ハードウェア / ソフトウェア / OS / ミドルウェア / ネットワーク / セキュリティ など◼ クラウドの特性を生かした設計力⚫ クラウドのデザインパターンやベストプラクティスの理解⚫ 信頼性、パフォーマンス効率、運用の優位性、セキュリティ、コスト最適化 など◼ クラウド技術への探求心⚫ 幅広さや変化の速さに追従する力⚫ 変化を楽しむこと
21© Nuligen Security Co., Ltd.クラウド資格◼ クラウド資格取得のメリット⚫ 各クラウドサービスを体系的に学習することが可能⚫ デザインパターンやベストプラクティスを学習することが可能⚫ パートナーシップの要件への貢献◼ クラウド資格の例⚫ AWS : AWS Certified Solutions Architect – AssociateAWS Certified Solutions Architect - Professional⚫ Azure : Microsoft Certified : Azure Administrator AssociateMicrosoft Certified : Azure Solutions Architect Expert⚫ GCP : Google Cloud - Associate Cloud EngineerGoogle Cloud - Professional Cloud Architect⚫ ベンダーフリー : CCSP(Certified Cloud Security Professional)(出典) 15 TOP-PAYING IT CERTIFICATIONS OF 20221 AWS Certified Solutions Architect – Professional2 CISM - Certified Information Security Manager3 Google Cloud - Professional Cloud Architect4 CISSP - Certified Information Systems Security Professional5 AWS Certified Solutions Architect – Associate6 AWS Certified Security – Specialty7 PMP: Project Management Professional8 Nutanix Certified Professional – MulticloudInfrastructure (NCP-MCI)9 Microsoft Certified: Azure Solutions Architect Expert10 Google Cloud - Cloud Digital Leader11 CISA - Certified Information Systems Auditor12 AWS Certified Big Data – Specialty13 VMware Certified Professional – Data Center Virtualization(VCP-DCV)14 AWS Certified Cloud Practitioner15 CCNP Enterprise
22© Nuligen Security Co., Ltd.クラウドコミュニティ◼ クラウドコミュニティのメリット⚫ 勉強会や交流会を通して、新しい知見や多用な価値観を習得することが可能⚫ 登壇することで様々なフィードバックが得られ、アウトプットすることで誰かの助けになる◼ クラウドコミュニティの例⚫ AWS : JAWS-UG (AWS Users Group – Japan)⚫ Azure : JAZUG (Japan Azure User Group)⚫ GCP : Jagu'e’r (Japan Google Cloud Usergroup for Enterprise)
23© Nuligen Security Co., Ltd.クラウドカンファレンス◼ クラウドカンファレンスのメリット⚫ 新サービスの発表を間近で聴講でき、現地の熱量を感じることが可能⚫ グローバルカンファレンスでは世界中の人と交流が可能◼ クラウドカンファレンスの例⚫ AWS : AWS re:InventAWS re:Inforce⚫ Azure : Microsoft IgniteMicrosoft Build⚫ GCP : Google Cloud NextGoogle I/O
まとめ
25© Nuligen Security Co., Ltd.まとめ◼ クラウドセキュリティの脅威動向として、ユーザ起因の脅威が継続⚫ ユーザとクラウド提供事業者の責任範囲を理解する必要がある⚫ 各サービスやアーキテクチャを理解したうえで、ユーザ自身がセキュリティ対策に責任を持つ◼ クラウド基盤を守る技術を理解⚫ セキュリティフレームワークを活用すると効率よくセキュリティ対策できる⚫ クラウドセキュリティの技術的アプローチを理解し、自組織に必要なものを選択する◼ クラウド人材の育成を戦略的に実施⚫ 資格を活用することで、効率的にクラウドを学べる⚫ コミュニティやカンファレンスに参加することで、視野を広げることができる
www.nuligen.com