クラウド・セキュリティ・モニタリングとは？

クラウド・セキュリティ・モニタリングには、組織がクラウド環境における運用ワークフローをレビュー、管理、観察するためのいくつかのプロセスが含まれる。

クラウド・セキュリティ・モニタリングは、手動プロセスと自動プロセスを組み合わせて、サーバー、アプリケーション、ソフトウェア・プラットフォーム、ウェブサイトのセキュリティを追跡・評価する。

クラウドセキュリティの専門家は、クラウド上のデータを継続的に監視・評価する。不審な挙動を特定し、クラウドベースのセキュリティ脅威を修復します。既存の脅威や脆弱性を特定した場合は、その問題に迅速に対処し、さらなる被害を軽減するための改善策を提案します。

クラウドセキュリティ監視のメリット

クラウド・セキュリティ・モニタリングでは、以下のことが可能です：

• コンプライアンスの維持 -PCI DSSやHIPAAなど、ほとんどの主要な規制では監視が義務付けられています。クラウドプラットフォームを使用している組織は、これらの規制に準拠し、罰則を回避するために、観測ツールを活用する必要があります。
• 脆弱性の発見 -脆弱性を特定するためには、クラウド環境の可視性を維持することが重要です。自動観測ツールを使用すれば、ITチームやセキュリティ・チームに迅速にアラートを送信し、不審な行動パターンや侵害の兆候（IoC）を特定することができます。
• ビジネスの中断を避ける -セキュリティ・インシデントが発生すると、ビジネス・オペレーションが中断したり、完全なシャットダウンを余儀なくされたりする可能性があります。事業の中断やデータ漏洩は、顧客の信頼や満足度に影響を与える可能性があるため、クラウド環境を監視し、事業継続性やデータセキュリティ、事業継続性を維持することが重要です。
• 機密データの保護 -クラウド・セキュリティ・モニタリング・ソリューションを利用して、定期的な監査を実施し、データの安全性を保つことができます。セキュリティシステムの健全性を監視し、セキュリティ対策を実施するための推奨事項を受け取ることができます。
• 継続的な監視とサポートの活用 -クラウドセキュリティ管理サービスは、24時間365日システムを監視することができます。オンプレミスでセキュリティを維持するには、定期的に物理的な監視を行う必要がありますが、クラウドベースのサービスでは継続的な監視を実施できるため、脅威に気づかずに放置してしまうリスクを大幅に低減できます。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、クラウドセキュリティの課題にうまく適応するためのヒントを紹介しましょう：

私の経験から、クラウド・セキュリティ・モニタリングの最適化に役立つヒントを紹介しよう：

コンテキストを考慮したアラートの使用
ユーザの役割、過去の行動、リソースの機密性に基づいてアラートを文脈化します。管理者レベルのアカウントの不正使用や機密データの転送に対するアラートは、リスクの低いイベントよりも優先されるべきである。

定義済みのプレイブックを使用してインシデント対応を自動化
自動化されたプレイブックを備えた SIEM または XDR プラットフォームを使用して、一般的なクラウドの脅威に迅速に対応します。これにより、侵害されたインスタンスの分離や悪意のあるユーザーのブロックなどの反復タスクが、人手を介さずに即座に実行されます。

リアルタイムの異常検知を組み込む
通常の行動パターンからの逸脱をリアルタイムで検出する継続的な行動分析が重要です。これにより、インサイダーの脅威、クレデンシャルの乱用、不正なリソースの展開などを、エスカレートする前に検知することができます。

マルチクラウド・モニタリング統合の活用
複数のクラウドプロバイダーをシームレスに統合する監視ツールを選択します。これにより、ログとセキュリティ・データが統合され、クラウド全体のエコシステムを一元的に把握できるようになります。

機械学習を活用してログ・ノイズを削減
機械学習モデルを導入することで、偽陽性をフィルタリングして「ログのノイズ」を低減します。これにより、セキュリティチームは本物の脅威に集中し、インシデント調査プロセスを効率化できます。

クラウド・セキュリティ・モニタリングの仕組み

クラウド・サービス・プロバイダーは通常、自社のインフラに組み込まれたネイティブのクラウド・セキュリティ・モニタリング・ツールを提供している。また、サードパーティの監視ソリューションをクラウド環境に追加することもできます。あるいは、オンプレミスのセキュリティ管理ソリューションを使用してクラウド環境を監視することもできます。

クラウド監視ツールは、複数のサーバー、インスタンス、コンテナからのログデータを集約します。高度なクラウド監視ソリューションは、収集したデータを関連付け、分析して、異常なアクティビティを特定し、インシデント対応チームに警告を発します。クラウド・セキュリティ・モニタリング・ソリューションは通常、以下の機能を提供します：

• 継続的な監視- クラウド監視ソリューションは、クラウド上のすべてのアクティビティを継続的に監視し、疑わしい挙動をリアルタイムで検出して脅威を軽減できるようにする必要があります。
• 可視性 -クラウドに移行すると、組織のインフラ全体の可視性が低下します。クラウド監視ツールは、監視を一元化し、ユーザー、ファイル、アプリケーションの動作の統一されたビューを提供することができます。
• 監査 -強力なモニタリングと監査機能により、組織に適用される規制へのコンプライアンスを維持することができます。
• 拡張性-クラウド・セキュリティ・モニタリング・ツールは、さまざまな場所に分散した大量のデータを監視できる。
• 統合-モニタリング・ソリューションは、既存のツールやサービスと統合し、最大限の可視性を提供することが理想的である。既存の生産性スイート（Google WorkspaceG SuiteやMicrosoft 365など）、エンドポイント・セキュリティ・ソリューション（VMware、Carbon Black、Crowdstrikeなど）、本人確認・認証サービス（OktaやDuoなど）と連携できるソリューションを選ぼう。

クラウドセキュリティ監視にSIEMを活用する方法とは？

SIEM ソフトウェアは、クラウド環境のセキュリティ脅威を防ぐために、私たちが日常的に利用している多くのシステムのオーバーレイとして機能します。これらのシステムには以下が含まれる：

• セキュリティ・ポリシー管理ソフトウェア
• マルウェア対策アプリケーション
• ファイアウォールと侵入検知・防止（IDS/IPS）ツール

さらにSIEMは、WindowsやLinuxなどのオペレーティングシステム、Microsoft SQL ServerやOracleなどのミッションクリティカルなアプリケーションからデータを取得する。

SIEM は、さまざまな形式の多くのデータストリームとして届く膨大な量の情報を、正規化して中央のリポジトリに格納することで、理解を助けることができます。SIEM は、データを相関・集約してセキュリティに関する洞察を提供し、セキュリティ・チームに対して実用的なアラートを生成します。

クラウドの脅威を検知するためにSIEMをどのように利用できるか、2つの例を紹介しよう：

• 内部脅威の特定 -セキュリティの設定ミスを利用してユーザーから管理者に権限を昇格させた従業員を考えてみましょう。SIEMは、権限昇格イベントと同じユーザーからの通常とは異なるログインを関連付けることで、攻撃を特定するのに役立ちます。
• 悪意のあるリソースの特定 -環境内で突然開始される不正なクラウドサーバーを考えてみよう。これは偶発的に発生してセキュリティ上の脅威となることもあれば、攻撃者が意図的に発生させることもある。SIEMは新しい資産を特定し、脆弱性やマルウェアのスキャン・ツールからの情報と関連付け、セキュリティ監査を受けていないことを確認することができます。

クラウドセキュリティ監視のためのSIEMユースケース【P1

SIEM ソリューションを使用すると、管理者は多くの一般的なセキュリティ脆弱性の全体像を把握することができます。SIEM は、日常業務の低レベルのノイズから脆弱性を分離するのに役立ちます。

不審なイベントは、ログオンイベント、ユーザー権限やロールの変更、環境でのサービスの開始や停止、マルウェアの検出、異常な帯域幅の使用などのデータを調べることで検出できる。

SIEMがクラウドセキュリティインシデントの検出にどのように役立つかを示す3つの例を紹介しよう：

• ユーザの不正ログイン -SIEMは、ユーザが通常の暗号キーを使用せずにクラウドサーバに直接ログインしたことを検出できます。これは、ユーザーのアカウントの役割が変更され、アクセス権限がなくなったデータにアクセスする方法を探していることを示している可能性があります。同様に、従業員はユーザーから管理者に権限を昇格させ、ビジネスの他の部分に関連する情報にアクセスすることができる。
• 職務の分離 -SIEM は、異なる担当者が処理しなければならない組織機能にアクセスできる従業員を特定するのに役立つ。例えば、経理部門の従業員が、承認された給与小切手へのアクセス権を与えられ、かつシステムで給与を定義する責任者でもある場合、その従業員は自分の銀行口座に資金を流すことができる。
• イベントの相関 -SIEMは、単独では重要ではないが、一緒になるとセキュリティ侵害を意味する複数のイベントを特定することができる。例えば、クラウドで新しいコンピュートインスタンスが開始され、セキュリティスキャンが失敗したとする。これは単純な設定ミスによるものかもしれない。しかし、環境の他の場所で検出されたマルウェアや権限の変更と一緒に考えれば、これは攻撃者が環境に侵入したことを意味する可能性がある。

Exabeamによるクラウド・セキュリティ・モニタリング

オール・クラウドの構想が動き出していなくても、近い将来、組織がクラウドに業務を移行する可能性は高い。このステップに進む前に、関連するセキュリティとコンプライアンスの問題を理解し、クラウド運用の安全性をどのように確保するかを評価することが重要です。幸いなことに、最新のセキュリティ情報・イベント管理（SIEM）、または拡張検知・対応（XDR）ソリューションを使用すれば、アナリストは高度なモニタリング、行動分析、自動化によって企業のクラウドセキュリティに対処することができます。

最新のアプローチでは、複数のクラウド全体からアラートデータを自動的に収集し、行動分析を使って通常のユーザーやエンティティのアクティビティにおける逸脱を検出し、アナリストがクラウド・アプリケーションやインフラストラクチャに対する攻撃に迅速に対応できるようにします。最新のSIEMまたはXDRは、IDおよびアクセス管理（IAM）、クラウドアクセスセキュリティブローカー（CASB）、セキュアアクセスサービスエッジ（SASE）などの他のクラウドセキュリティソリューションを補強することで、誤検知を最小限に抑えながら、クラウドベースの攻撃をより適切に検出、調査、対応し、標的型の複雑化する攻撃や内部脅威と戦うことができます。

Exabeam Fusion SIEMと Fusion XDR は、クラウドで提供される製品として、機密データ、アプリケーション、インフラを確実に保護するため、クラウドセキュリティにさまざまな方法で対応しています。次世代SIEMとXDRのリーダーであるエクサビームは、SOCの生産性を劇的に向上させ、サイバー攻撃の検知、調査、対応を51%短縮します。以下は、Exabeamがクラウドセキュリティをサポートする方法の一部です：

• 複数の企業クラウドにまたがる数十のクラウドセキュリティツールや一般的なクラウドベースのサービスから直接取り込むことにより、アラートデータを収集します。
• 行動分析で新たな脅威を検知
• インシデント調査を自動化することで、アナリストの生産性を向上させ、対応時間を短縮するために、機械的に構築されたタイムラインを提供します。
• 脅威を封じ込め、緩和するための事前構築済みのコネクタと数百のアクションを使用したレスポンス・プレイブックが含まれます。
• コンプライアンス・パッケージを提供 (Exabeam Fusion SIEM)
• へのマッピングで検出と調査をサポートする。MITRE ATT&CK
• IAMやCASBなどの他のクラウド・セキュリティ・ソリューションを強化し、誤検知を最小限に抑えながら、クラウドベースの攻撃をより的確に検知、調査、対応する。