クラウドセキュリティ監査ステップ・バイ・ステップ

クラウドセキュリティ監査とは？

クラウド監査とは、通常、独立した第三者によって実施されるクラウド環境のテストである。監査では、監査人は物理的な検査、調査、観察、再実行、または分析によって証拠を収集する。

クラウドのセキュリティ監査では、一般的に組織のセキュリティ統制に焦点が当てられる。セキュリティ統制とは、組織が情報システムの完全性と機密性を保護するために使用する、運用上、手続き上、または技術的な保護のことである。クラウドでは、監査人は、どのようなセキュリティ統制が存在するか、それらが正しく実装されているか、期待通りに機能しているか、脅威を緩和する上でどの程度効果的であるかを評価することができる。

さらに、クラウドセキュリティ監査では、通常、クラウドシステムが規制、業界標準、またはセキュリティベンチマークの特定の要件に合致していることを検証する。

クラウドセキュリティ監査のメリット

ここでは、セキュリティ監査によってクラウド環境のセキュリティを向上させる方法をいくつか紹介する：

• アクセス管理の監督-従業員の入退社や、新しい役割や部署への異動がある。セキュリティ監査によって、アクセス制御が責任を持って管理されていることを確認することができる。例えば、従業員が退職するときにアクセス権が失効するようにしたり、新しい従業員に最低限の権限を与えるようにしたりすることができる。
• クラウドへの安全なアクセス -クラウドセキュリティ監査は、従業員やその他のユーザーが安全な方法でクラウドシステムにアクセスしているかどうかを検証するのに役立つ。
• APIとサードパーティ製ツールのセキュリティ -ほとんどのクラウド環境では、多種多様なAPIとサードパーティ製テクノロジーが使用されている。すべてのAPIやサードパーティツールは潜在的なセキュリティリスクである。監査は、APIやツールのセキュリティ上の弱点を特定し、組織の是正に役立てることができる。
• バックアップ戦略の検証 -クラウドはバックアップを簡単に実行できる。しかし、これは組織のクラウドプラットフォームが定期的にバックアップを実行するように構成されている場合にのみ有効である。監査によって、組織がすべての重要なシステムのバックアップを実行し、それらのバックアップを保護するためのセキュリティ対策を採用していることを確認することができる。

クラウドセキュリティ監査の課題

ここでは、クラウドセキュリティ監査を難しくする可能性のあるいくつかの主要な課題と、その克服方法を紹介する。

透明性

クラウド環境では、クラウド・プロバイダーが運用データとフォレンジック・データのほとんどを管理している。このデータは監査目的には極めて重要である。監査には、クラウドのリソースとデータの包括的なインベントリ、セキュリティ・ポリシーへのアクセス、関連するフォレンジック・データへの直接アクセスが必要である。そのためには、クラウドプロバイダーや組織のIT運用スタッフとの調整が必要となる。

暗号化

クラウド上のデータを暗号化するには、主に2つの選択肢がある：

• オンプレミスでデータを暗号化してからクラウドに送ることもできるが、これでは不正な内部関係者がその権限を悪用する危険性がある。
• 暗号化をクラウド・プロバイダーに任せることもできるが、その場合、クラウド・プロバイダーの環境内での侵害のリスクにさらされることになる。

監査の観点からは、データをオンプレミスで暗号化し、暗号鍵を社内で管理した方が良い場合がほとんどである。暗号化キーがクラウド プロバイダによって管理されている場合、監査は非常に困難であり、場合によっては不可能になることさえあります。PCI DSS Cloud Special Interest Group は、組織がクラウドプロバイダから独立して暗号化キーを保管および管理することを推奨しています。

コロケーション

クラウド環境では、複数の環境が同じ物理システムを共有することがよくある。これはセキュリティ上の問題を引き起こし、物理環境の監査をより困難にする。物理的に分離されたデバイス上でサービスを実行することが不可能な場合、クラウド・プロバイダーは、システムのどのユーザーもマシンの管理者権限を得ることができないようにすることができるという証明を提供しなければならない。

規模、範囲、複雑さ

従来のデータセンターでは、監査人がレビューして報告できるサーバーの数は限られていた。クラウド環境では、物理ホスト、仮想マシン（VM）、管理対象データベース、コンテナ、サーバーレス機能など、監査対象のエンティティ数が指数関数的に増加する可能性がある。特に、新しいエンティティが日々追加・削除されることを考慮すると、これらすべてのエンティティを監査することは非常に困難である。

クラウド環境を監査可能にする鍵は、ワークロードを標準化することだ。例えば、コンテナは限られた、管理されたイメージ・セットを使用してのみ作成されるようにすれば、監査人は承認されたコンテナ・イメージにテストを集中させることができる。同様に、VMは監査人がレビュー可能なマシン・イメージの限られたプールから作成されるべきである。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、クラウドセキュリティ監査プロセスの最適化に役立つヒントを紹介しよう：

責任分担に重点を置いた監査範囲の明確化
自社の責任とクラウドプロバイダの責任の境界を明確に定義することで、クラウドセキュリティ監査の範囲を明確にする。これにより、監査プロセスが効率化され、監査人はデータ、ワークロード、アクセス管理など、自社の管理領域に集中できるようになります。

クラウドリソースインベントリの自動化
自動化ツールを使用して、VM、コンテナ、サーバーレス機能を含むすべてのクラウド資産の最新のインベントリを維持します。これにより、新しいリソースが動的に追加または削除された場合でも、監査はクラウド環境の全範囲を正確に評価できるようになります。

監査対応のロギングと可視性の確立
認証、データアクセス、設定変更など、すべての重要なクラウドサービスでロギングが有効になっていることを確認します。SIEM を使用してログを一元管理し、監査時に簡単にアクセスできるようにし、PCI DSS や HIPAA などの規制へのコンプライアンスを維持する。

監査プロセスを DevSecOps パイプラインに統合する
セキュリティチェックを CI/CD パイプラインに組み込んで、すべてのデプロイ済みワークロードがセキュリティ基準を満たしていることを確認します。これにより、手動による介入を必要とすることなく、コードとインフラストラクチャの変更が組織のセキュリティポリシーに従っていることを監査員が検証できるようになります。

監査可能な暗号化ベストプラクティスの採用
クラウドプロバイダーから独立して管理される暗号化キーにより、機密データが静止時と転送時の両方で暗号化されていることを確認する。暗号化管理にはAWS KMSやAzure Key Vaultのようなツールを使用し、鍵のローテーションやデータ保護の実践を容易に監査できるようにする。

クラウドセキュリティ監査の6ステップ

1.クラウド・プロバイダーのセキュリティ体制を評価する

クラウドセキュリティ監査の最初のステップは、クラウドプロバイダのセキュリティ体制を評価し、必要な情報を受け取るためにクラウドプロバイダのスタッフと関係を構築することです。監査の一環として、セキュリティ手順とポリシーを評価し、クラウドシステムから得られる信頼できるデータに基づいて、クラウドシステムに内在するリスクを判断する。

2.アタックサーフェスの決定

クラウド環境は複雑で、可視性が低い。最新のクラウド監視・観測技術を使用して、攻撃対象領域を特定し、リスクの高い資産に優先順位を付け、修復作業に集中する。

クラウドインスタンスやコンテナ内でどのようなアプリケーションが実行されているのか、またそれらが組織によって承認されているのか、それともシャドーITなのかを把握する。すべてのワークロードは標準化され、コンプライアンスを確保するための適切なセキュリティ対策が施されていなければならない。

この種のモニタリングは、管理するクラウド資産のセキュリティ・プロファイルを継続的に可視化することで、責任共有モデルの難点を解決することができる。

3.強力なアクセス制御の設定

アクセス管理違反は、最も一般的なクラウドセキュリティリスクの1つである。重要なクラウドリソースへの認証情報が悪用される可能性は数多くあります。ここでは、クラウド側のリスクを最小限に抑えるためにできる対策をいくつか紹介する：

• 強力なパスワードの標準とポリシーを作成する
• 多要素認証（MFA）を必須にする
• 管理者権限の制限
• すべてのクラウド資産に対する最小特権原則の実践

4.外部共有基準の策定

共有ドライブ、カレンダー、ファイル、フォルダーを介したデータ共有の基準を導入する必要がある。最良のアプローチは、最も厳格な標準から始めて、特別な必要があればセキュリティの制限を緩めることである。

個人を特定できる情報（PII）、財務情報、保護されるべき医療情報（PHI）など、最も機密性の高いデータを含むフォルダやファイルは、特別な状況を除き、外部からのアクセスや共有を許可すべきではありません。

5.パッチの自動化

クラウド環境の安全性を確保するために、定期的にパッチを当てる必要がある。しかし、パッチ管理をマスターすることは、セキュリティ・チームやITチームにとって難しいことだ。複数の調査によると、セキュリティ上の弱点にパッチを当てるのに、組織は平均1カ月以上かかるという。

効果的なパッチを適用するための鍵は、最も重要なパッチに優先順位を付け、重要な資産に定期的に自動的にパッチが適用されるようにすることである。パッチの仕組みが適切に機能していることを確認するために、定期的な手動レビューで自動化を補完する。

6.SIEMを使ってクラウドログを標準化する

セキュリティ情報・イベント管理（SIEM）システムは、組織が多くの業界標準や規制に準拠するのに役立ちます。SIEMの機能であるログ管理は、ITネットワーク上のアクティビティを監査するための業界標準のアプローチです。SIEMシステムは、標準化されたフォーマットでクラウドログを収集し、編集者がログデータを調査したり、様々なコンプライアンス基準に必要なレポートを自動的に生成したりすることができます。

エクサビーム：高度なセキュリティ分析で脅威検知を強化

Exabeam Fusion Enterprise Edition Incident Responderは、SIEM、行動分析、自動化、ネットワークの可視性を強力に組み合わせ、企業が脅威を検知、調査、対応する方法を変革します。ファイアウォールのログと、エンドポイント、クラウド環境、アイデンティティ・システム、その他のセキュリティ・ソースからのデータを相関させることにより、Exabeamは、通常であれば検出されない進化する脅威について、より深い洞察を提供します。

Exabeamは、行動分析によって静的なルールやシグネチャの枠を超え、クレデンシャルの不正使用、内部脅威、ネットワーク全体の横移動を示す異常な行動を特定します。通常のユーザーやエンティティの行動を長期にわたって分析することで、Exabeamは従来のセキュリティ・ツールが見落としていたリスクの高い行動を発見します。

自動化された調査は、異種のデータポイントを包括的な脅威のタイムラインにリンクすることでセキュリティ運用を合理化し、アナリストが手作業でインシデントをつなぎ合わせる時間を短縮します。これにより、チームは攻撃の根本原因を迅速に特定し、的確に対応できるようになります。

詳細はこちらExabeam Fusion SIEM