クラウドセキュリティコントロール：主要要素と4つのコントロール・フレームワーク

クラウド・セキュリティ・コントロールとは何か？

クラウド・セキュリティ・コントロールとは、クラウド環境を脆弱性から保護し、悪意のある攻撃の影響を最小限に抑えるための一連のセキュリティ・コントロールである。セキュリティ管理は、クラウド・コンピューティング戦略の中心的な要素である。

クラウド・セキュリティ・コントロールは、クラウド環境を保護するために実施すべき最善の手順、プラクティス、ガイドラインのすべてを包含する、比較的広範な用語である。クラウドセキュリティ管理は、組織がクラウドセキュリティを評価し、実装し、対処するのに役立つ。

クラウド・コンピューティングはオンサイトの展開とは異なるため、クラウドのセキュリティも異なると考えるのが自然である。組織は、クラウドへの移行に先立ち、この違いを理解しておくことが重要である。また、移行が完了したらすぐに、あるいは移行中であっても、セキュリティ管理を導入することが不可欠である。

クラウド・サービス・プロバイダーは、顧客のアプリケーションやネットワークを保護するためのさまざまなクラウド・セキュリティ・サービスやツールを提供しているが、社内の管理者は適切なセキュリティ対策を講じる必要がある。企業が機密情報やアプリケーションをクラウドに移行すると、ユーザーはデータやアプリケーションにリモートでアクセスすることになる。その結果、管理者は適切なクラウドベースのユーザー・アクセス制御を導入する必要もある。

クラウド・セキュリティ・コントロールの主要要素

以下は、クラウド・セキュリティ・コントロールが提供すべき主な機能である。

クラウドインフラの一元的可視化

クラウド・プロバイダーが異なれば、あるいは同じクラウドでもサービスが異なれば、設定やセキュリティのベスト・プラクティスはさまざまだ。すべてのクラウド・サービスを把握し、それぞれが安全に設定されていることを確認することは、大きな課題である。

この課題を支援するセキュリティ・コントロールのひとつに、クラウド・ワークロード・プロテクション・プラットフォーム（CWPP）がある。これは、クラウド・プロバイダーと統合し、組織のセキュリティ体制を可視化する新しいタイプのセキュリティ・ソリューションである。クラウド・サービスやアプリケーションの設定を自動的にレビューし、セキュリティ上の問題を特定して、ITチームが迅速に対応できるようにする。

クラウドプロバイダーのセキュリティシステムへのネイティブな統合

クラウド・セキュリティ・コントロールは、クラウド・プロバイダのセキュリティ機能と直接統合されていなければならない。例えば、クラウド・セキュリティ・ソリューションは、Amazon InspectorやGuardDuty、Azure Security Center、Google Cloud Platform Flow Driversなどのセキュリティ・システムとAPIレベルで統合されている必要がある。

サービスとしてのソフトウェア（SaaS）を使用している場合は、SaaSソフトウェアへのアクセスを統合・規制し、使用しているアプリケーションに関連する特定のリスクを特定するのに役立つクラウド・アクセス・セキュリティ・ブローカー（CASB）も必要な場合があります。

セキュリティ・オートメーション

クラウド環境の非常に動的な性質を考慮し、小規模なチームの負担を軽減するために、クラウドのセキュリティ管理は自動化されなければならない。サイバーセキュリティのスキル不足は、セキュリティ・アナリスト、特にクラウドの経験者が不足していることを意味する。ツールを効果的に使用するには、脅威を検知し、自律的に対応する必要がある。

自動化の重要な側面は、クラウドシステムに新しい機能や構成が導入されたときにセキュリティポリシーを変更できるように、セキュリティ制御が自己更新されることである。セキュリティ・ポリシーを手動で調整する必要があるツールは、セキュリティ・チームに大きな管理上のオーバーヘッドをもたらす可能性がある。

脅威インテリジェンスフィード

クラウド・セキュリティ・コントロールは、既知の攻撃パターンを特定し、特定の攻撃者やハッカー・グループに関する事前知識を提供するために、脅威インテリジェンスを使用する必要があります。脅威インテリジェンスで強化されたクラウド・セキュリティ・ソリューションは、攻撃を特定し、人間の対応を導き、多くの場合、脅威を軽減するために自動的に対応することができます。

クラウド・セキュリティ・フレームワークとは何か？

クラウド・セキュリティ・フレームワークは、クラウド環境に関連するセキュリティ対策について、より広範な業界に詳細を提供するものである。他のセキュリティフレームワークと同様、クラウドセキュリティフレームワークには、一連の管理策とその使用に関するガイダンス、および検証、管理、クラウド導入のセキュリティ確保に関するその他の側面が記載されている。

フレームワークの実践と管理を確立することは、クラウドの顧客とクラウド・サービス・プロバイダー（CSP）にとって有利である。これは、セキュリティ対策と実践について議論するための参照枠を提供するものである。組織が自社の環境を確実に保護するために使用する可能性のある対策は、ほぼ無限に存在する。容認される対策の共有リストを作成することは、CSP が予算と時間をどのように使うかを決定するのに役立つ。また、顧客が CSP を評価する際に、標準的なセキュリティの仕組みとして何を求めるべきかに関する指針を提供することにもなる。

また、フレームワークは評価の基準にもなる。クラウド利用者がプロバイダーを評価したり、プロバイダー間のセキュリティ対策を比較したりする際に役立つベースラインを提供する。サービス・プロバイダーは、自社のセキュリティ対策を示すため、あるいは営業上の説明の一部として、あるいは契約前の審査に役立てることができる。フレームワークの管理策が規定的かつ具体的であればあるほど、評価において有用である。

戦略的に採用すれば、フレームワークは CSP と顧客の双方にとって作業を最小限に抑える。顧客にとっては、評価チェックリストや一連の評価基準の基礎を提供することができる。サービス・プロバイダーにとっては、顧客から受け取る対照的な単発の評価アンケートの数を制限することができる。フレームワークは、プロバイダが、遭遇する可能性のあるすべての顧客について個別にではなく、既知の一連の基準に照らして、ナラティブを準備し、回答を整理し、証拠を蓄積することにより、顧客の審査をより効率的にする。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、クラウド・セキュリティ・コントロールの実装と最適化に役立つヒントを紹介しよう：

複数のクラウド層でセキュリティ制御を適用する
アプリケーションやネットワークのレベルだけでなく、データ、ワークロード、オーケストレーションの各レイヤーにもセキュリティ制御を導入する。この多層的なアプローチにより、クラウド環境全体を包括的にカバーすることができます。

リアルタイムの可視化をサポートする制御の設計
クラウドのセキュリティ管理で、クラウドインフラストラクチャとユーザの行動の両方をリアルタイムで可視化できるようにします。一元化されたリアルタイムのダッシュボードは、脅威が拡大する前に検知して対応するのに役立ちます。

プロアクティブなデータ損失防止（DLP）ポリシーの採用
クラウドにDLPソリューションを導入し、機密データを自動的に分類、監視、保護します。データレベルでの暗号化とアクセス制御を実施することで、侵害や設定ミスの際に暴露されるリスクを軽減することができます。

管理策を進化するフレームワークに継続的に対応付ける
MITRE ATT&CKや CIS のような進化するセキュリティフレームワークに合わせて、セキュリティ管理策を定期的に更新する。このようなプロアクティブなマッピングは、新しい攻撃ベクトルや出現しつつある攻撃ベクトルが悪用される前に対処するのに役立ちます。

AIによる動的な脅威検知
AIを活用した脅威検知を統合し、クラウドワークロード内のパターンと挙動を分析します。AIは、異常やこれまで知られていなかった攻撃手法を迅速に特定し、応答時間と精度を向上させます。

4 クラウド・セキュリティ・コントロール・フレームワーク

クラウドセキュリティ対策の代表的なフレームワークをいくつか紹介しよう。

MITRE ATT&CKフレームワーク

はMITRE ATT&CK フレームワークは、サイバー敵の行動に関する世界的にアクセス可能な知識ベースとモデルであり、サイバーセキュリティ・アプローチの改善を望む組織に対して、詳細かつ最新のサイバー脅威ガイドラインを提供する。

MITRE ATT&CK Matrix for Enterpriseは、悪意のある行為者が使用するLinux、Windows、macOSの具体的なテクニックと戦術を特徴としています。更新された「MITRE ATT&CK Cloud Matrix」フレームワークは、Azure、Microsoft 365、Google Cloud Platform（GCP）、AWS、およびその他のクラウドプロバイダに対する具体的な攻撃手法に関する情報を提供します。適切なクラウド管理策とセキュリティ・ソリューションを選択する際、組織は最大の効果を得るために、適切なMITRE ATT&CKフレームワークに対して適用範囲をマッピングすることを試みるべきである。

NISTサイバーセキュリティフレームワーク

2014年、米国立標準技術研究所（NIST）は、組織がサイバー攻撃を防止、検知、対応するための指針となる自主的なフレームワークを策定した。この評価手順と手法により、組織は、自社のセキュリティ対策が要求通りに動作しているかどうかを評価し、正しく実装されているかどうかをテストし、要求される結果（組織のセキュリティ要求を順守していること）を生み出すことができる。NISTのフレームワークは、サイバーセキュリティの進展に対応するため、継続的に更新されている。

CISコントロールズ

インターネット・セキュリティ・センター（CIS）は、組織がサイバー攻撃を阻止するための出発点となる、優先度の高い防御活動のリストを作成した。CISの管理策を作成したSANS Instituteは、そのフレームワークが、主要な脅威レポートで強調されている最も一般的な攻撃パターンに基づいており、政府や業界の専門家の幅広いコミュニティで審査されているため、機能すると指摘している。

組織は、これらのフレームワークを使用して、個人のセキュリティフレームワークとITセキュリティの実践を構築することができる。

シーシーエム

CSAクラウド制御マトリックス（CCM）は、クラウド・コンピューティング環境で使用される共有セキュリティ・モデルに基づいています。これは、クラウド技術のすべての中心的なコンポーネントに対応する 16 の領域を特徴とするサイバーセキュリティ・コントロールのフレームワークです。すべての領域は、133の管理目標に分類されている。CCMは、クラウドサプライチェーンのどの関係者がどのようなセキュリティ対策を講じるべきかについての指針を与えることで、クラウドの実装を評価するツールとして機能する。

CCMの各コントロールは、誰がそのコントロールを実施しなければならないか（すなわち、クラウド顧客またはCSP）を特定し、そのコントロールがどのクラウドモデルタイプ（PaaS、IaaS、またはSaaS）またはクラウド環境（ハイブリッド、プライベート、またはパブリック）に関連するかを示している。CCMは、クラウド顧客とクラウド・サービス・プロバイダー間の責任と役割の概要を示し、どのコントロール・ガイダンスが各エンティティーに関係するかを示す。

エクサビーム：高度なセキュリティ分析で脅威検知を強化

Exabeam Fusion Enterprise Edition Incident Responderは、SIEM、行動分析、自動化、ネットワークの可視性を強力に組み合わせ、企業が脅威を検知、調査、対応する方法を変革します。ファイアウォールのログと、エンドポイント、クラウド環境、アイデンティティ・システム、その他のセキュリティ・ソースからのデータを相関させることにより、Exabeamは、通常であれば検出されない進化する脅威について、より深い洞察を提供します。

Exabeamは、行動分析によって静的なルールやシグネチャの枠を超え、クレデンシャルの不正使用、内部脅威、ネットワーク全体の横移動を示す異常な行動を特定します。通常のユーザーやエンティティの行動を長期にわたって分析することで、Exabeamは従来のセキュリティ・ツールが見落としていたリスクの高い行動を発見します。

自動化された調査は、異種のデータポイントを包括的な脅威のタイムラインにリンクすることでセキュリティ運用を合理化し、アナリストが手作業でインシデントをつなぎ合わせる時間を短縮します。これにより、チームは攻撃の根本原因を迅速に特定し、的確に対応できるようになります。

詳細はこちらExabeam Fusion SIEM