クラウド セキュリティに向けた CISO のメンタルモデル刷新の必要性

※この投稿は米国時間 2022 年 8 月 20 日に、Google Cloud blog に投稿されたものの抄訳です。

クラウドに移行する際、多くのセキュリティ リーダーは通常、オンプレミス用に開発されたツール、慣行、スキル、そしてセキュリティ機能の仕組みに関するメンタルモデルをそのままクラウドに持ち込みます。この結果、コストと効率性の問題が発生しますが、これを解決するには、既存のメンタルモデルをクラウドのメンタルモデルにマッピングする必要があります。

オンプレミスのサイバーセキュリティに対するメンタルモデルと、クラウドのサイバーセキュリティに対するメンタルモデルとの違いを理解するにはまず、自分がブロックし、検出し、調査しようとしている脅威の種類から考えてみることです。

従来的なオンプレミスの脅威は、データベースやファイル ストレージ、または他の企業リソースからデータを盗み出すことに焦点が当てられていました。このようなリソースに対する最も一般的な保護措置は、ネットワーク、エンドポイント、あるいはアプリケーション セキュリティ コントロールの層に依存します。いわゆる「クラウン ジュエル」と呼ばれる重要な企業データについては、API を介した外部からのアクセスを設定せず、一般にアクセス可能なストレージ バケットには保管しないようにします。それ以外にも、オペレーションを妨害しようとする脅威や、データの直接的な窃盗から、データを「人質」に取った身代金要求まで、さまざまな意図を持つマルウェアのデプロイといった脅威があります。

脅威の中には、特にクラウドを標的とするものがあります。不正な行為者は常に、クラウドのユビキタスな性質を悪用しようとします。よく使われるクラウドを標的にした攻撃ベクトルの一つとして、オープンなストレージ バケットやインターネットに露出したコンピューティング リソースを求めた IP アドレスの継続的なスキャンがあります。

Gartner 社が指摘するように、クラウドのセキュリティを確保するには、オンプレミスのデータセンターを防御するために講じていたアプローチとは抜本的に戦略を変える必要があるのです。重要なクラウドのデプロイメントを保護するには、クラウドネイティブのアプローチを使用して、プロセス、ツール、アーキテクチャを設計する必要があります。さらに、クラウドの導入の初期段階では、クラウド サービス プロバイダと自社との間でのセキュリティに関する責任の区分に注意し、クラウド リソースを標的とした攻撃に対する脆弱性を軽減することが重要です。

クラウド セキュリティを適切に刷新することができれば、最高情報セキュリティ責任者（CISO）は現在、未来にわたって脅威への備えを強化できます。しかし、そのために必要となるのは設計図や一連のプロジェクトだけではありません。CISO やサイバーセキュリティ チームリーダーは、セキュリティについて考察するための新たなメンタルモデルを構築する必要があります。これには、セキュリティに関する現在の知識をクラウドの実態にマッピングします。 

議論の前提として、クラウド セキュリティの刷新について考えるために、まず「クラウドネイティブ」という用語の意味を適切に定義してみます。クラウドネイティブとは、パブリック クラウドの分散性、スケーラビリティ、柔軟性を十分に活かせるアーキテクチャを指します（言葉どおりに取れば、クラウドネイティブとなるには「クラウド生まれ」でなければなりませんが、ここでは出生にはこだわりません。「クラウドにフォーカスした」「クラウド方式のセキュリティ対策」程度の意味に捉えてもらえれば十分でしょう）。

用語の定義がどうあれ、クラウドの導入はセキュリティを含むクラウドネイティブの特性を有効活用することで、コードの作成、ビジネス価値の創出、顧客満足の向上に最大限集中するための手段です。今使用しているセキュリティ ツールや慣行を単純にリフト＆シフトして、そのままパブリック クラウド環境に移行すると、クラウドより数十年前の過去に作られた過ちをも確実に移行してしまいます。

クラウドネイティブになるということは、ネットワーク サーバー、セキュリティ アプライアンス、オペレーティング システムなど、インフラストラクチャの多くのレイヤを抽象化するということです。これには、クラウドを想定してクラウド内で構築された最新ツールを使用する必要があります。つまり、こうした基盤についてあまり気にすることなく、その上でコードを構築し、作業を迅速に進めることができるということです。これまでのようなセキュリティ ハードウェアの保守が不要になるのも、クラウドで得られるメリットの一つです。別の言い方をすれば、これまで SRE や DevOps に基づく改革によって変貌を遂げてきた IT の軌跡を、セキュリティが辿っていくようなものです。

この考えをクラウドネイティブのセキュリティにまで推し進めると、これまで慣れ親しんできたツールを、クラウド サービス プロバイダの提供するソリューションと組み合わせることで、クラウドネイティブ アーキテクチャを有効活用でき、クラウドで構築およびリリースされた資産をセキュリティ保護できます。オンプレミスを標的とした脅威とクラウド インフラストラクチャを標的とした脅威との違いについて上述しましたが、ここでは、クラウド セキュリティのメンタルモデルを再評価するうえで重要となる、他のいくつかの領域についても説明します。

ネットワークのセキュリティ

組織によっては、クラウドのネットワーク セキュリティを、レンタルのデータセンターであるかのような感覚で実践していることがあります。何十年もの間、オンプレミスでそれなりに機能してきた慣行や従来的なネットワーク アーキテクチャの多くは、クラウドには適用できないか、あるいはクラウド コンピューティングでは最適に機能しません。

ただし、非武装地帯（DMZ）のように、今日のクラウド環境にも適用可能な概念もあります。たとえば、DMZ のより現代的なアプローチとしてマイクロセグメンテーションを使用し、コンテキストに応じたアイデンティティごとにアクセスを管理できます。適切なコンテキスト内の適切なアイデンティティが、適切なリソースにアクセスできるように徹底することで、強力な管理が可能になります。仮に間違いを犯してしまっても、マイクロセグメンテーションにより、セキュリティ違反による被害の影響範囲を制限できます。

クラウドネイティブとなるには、企業ネットワークのセキュリティにも新たなアプローチを導入する必要が生じます。BeyondProd はその一例です。このような手法では、企業は従来的なネットワーク境界のセキュリティに対処する必要がなくなるため、アクセス リクエストがどこから発信されたのかではなく、誰が、または何がサービスにアクセスできるかに注意を集中できます。

クラウドの導入によって促進されるネットワーク セキュリティの変化は巨大であり、大きな転換をもたらすものですが、すべての領域が同様に変化するわけではありません。

エンドポイントのセキュリティ

クラウドでは、セキュリティ エンドポイントの概念も変わってきます。たとえば、仮想サーバーはサーバーの一種ですね。では、コンテナはどうでしょうか。マイクロサービスや SaaS はどうでしょう？SaaS（Software as a Service）クラウドモデルでは、実際のエンドポイントは存在しません。クラウド セキュリティ パス全体を通して、ユーザーが知らなければならないことは、何がどこで起きるかということだけです。

メンタルモデルの変換に役立つヒントを紹介しましょう。API は、一種のエンドポイントと考えることができます。エンドポイントに対して培われてきたセキュリティ思考の一部は、クラウド API に適用できるものもあります。アクセス、アクセス許可、特権アクセスの保護についての思考は、そのままクラウドにも引き継げます。一方、エンドポイント オペレーティング システムの保守に関する概念は適用できません。

クラウドの仮想マシン上でサービス エージェントを自動化する場合でも、安全でないエージェントはリスクを増大させる可能性があります。クラウドでは、エージェントによる処理は大規模になるためです。良い例が、大きな問題となった Microsoft Azure のテナント間の脆弱性です。これは、多くのユーザーが気付きもしなかった、新しい種類のリスクを浮き彫りにしました。

これを踏まえて考えると、エンドポイント セキュリティに対するさまざまなアプローチは、一部は消失し（SaaS と PaaS におけるオペレーティング システムへのパッチ適用など）、一部は残存し（特権アクセスのセキュリティ保護の必要性など）、それ以外は形を変えて使用されています。

検出と対応

クラウドへの移行に伴い、直面する脅威の種類も変わり、その脅威を検出し、対処する方法も変わってきます。つまり、オンプレミスの検出技術とアプローチは、今後の開発の基盤として十分に機能しなくなるということです。オンプレミスの検出ツールや、その脅威検出の内容をすべてコピーするだけでは、クラウド ファーストの意識が高い組織が必要とする形でのリスク軽減は実現できません。

クラウドに移行することで、クラウドのプロセスと技術によって創出された新たな機会を活かし、機密性保持、整合性、可用性、信頼性というセキュリティ目標をいかに達成するか、考え直すきっかけが生まれます。

クラウドは分散され、不変であることも多く、API 駆動型であり、自動スケーリングが可能です。また、アイデンティティ レイヤーを中心とし、多くの場合、特定のタスクのために作成された一時的なワークロードを含みます。このようなすべての要素が組み合わさり、クラウド環境で脅威検出を処理する方法に影響を与える結果、新たな検出の手法とメカニズムが必要となります。

クラウド内の脅威の検出に適した、6 つの重要な領域があります。すなわち、アイデンティティ、API、マネージド サービス、ネットワーク、コンピューティング、Kubernetes です。この 6 つによって、ネットワーク、アイデンティティ、コンピューティング、コンテナ インフラストラクチャに関連して必要となる範囲をカバーできます。また、API アクセスログやネットワーク トラフィックのキャプチャに対し、特定の検出メカニズムを提供します。

エンドポイント セキュリティに関しては、一部のアプローチは重要性が低下し（暗号化したリンク上のネットワーク IDS など）、他のアプローチは逆に重要性が増し（アクセス異常の検出など）、それ以外は形を変えて使用されています（プロバイダ バックプレーンからの脅威の検出など）。

データのセキュリティ

クラウドはデータ セキュリティを大きく変え、これに伴い、データ損失防止（DLP）、データ暗号化、データ ガバナンス、データアクセスの捉え方も変わってきました。

クラウドの導入は、Google で私たちが「自律型データ セキュリティ」と呼んでいるコンセプトに向けて進んでいくことを意味します。自律型データ セキュリティとは、データ ライフサイクル全体にセキュリティが統合され、時間が経つにつれ改良されていく仕組みです。自律型データ セキュリティでは、ユーザーにとっての処理もスムーズになり、誰が何をいつどのデータに対し実行できるのか、といった無数のルールを何度も定義し直す必要性から解放されます。進化し続けるサイバー脅威やビジネスの変化にも対応できるため、IT アセットをより確実にセキュリティ保護でき、ビジネス上の意思決定を迅速に行えます。

他のカテゴリと同様、データ セキュリティ アプローチもその一部は重要性が低下、あるいは消失し（クラウド規模での手動によるデータ分類など）、一部はオンプレミスからクラウドへ移行しても変わらない重要性を維持し、それ以外は形を変えて使用されています（効果的で安全な鍵管理による全方位型暗号化など）。

アイデンティティとアクセスの管理

クラウドにおける Identity and Access Management（IAM）のコンテキストは、オンプレミス データセンターとは当然異なります。クラウドでは、すべての人とサービスにそれぞれのアイデンティティがあり、アクセスを適切に管理する必要があります。

クラウド内で IAM は、クラウド リソースを一元管理するためのきめ細かいアクセス制御と可視性を実現します。管理者によって特定のリソースを操作できる人が認可され、完全な制御権と可視性が得られ、クラウド リソースの一元管理が可能になります。さらに、複雑な組織構造、数百規模のワークグループ、いくつものプロジェクトが存在する環境では、IAM により、組織全体のセキュリティ ポリシーの全体像を把握できます。

Identity and Access Management ツールを使用すると、プロジェクト レベルのアクセスよりはるかにきめ細かいレベルで、クラウド リソースに対するアクセスを許可できます。デバイスのセキュリティ ステータス、IP アドレス、リソースタイプ、日時などの属性を基に、リソースに対してさらに粒度の高いアクセス制御ポリシーを作成できます。これらのポリシーにより、クラウド リソースへのアクセスを許可する際に適切なセキュリティ管理を確実に適用できます。

ここでは、ゼロトラストの概念が強力に作用しています。これは、相互接続された複雑なシステムを構成するコンポーネントのうち、どれか一つでも盲目的に信頼すると、重大なセキュリティ リスクを招く可能性がある、という考え方です。そのため、複数の仕組みを介して信頼を確立し、それを継続的に検証する必要があります。クラウドネイティブ環境を保護する場合、ゼロトラストのセキュリティ フレームワークでは、セキュリティの構成や体制が適正かどうか、すべてのユーザーを認証、認可、検証してから、クラウドベースのアプリケーションおよびデータへのアクセス許可を付与または維持させる必要があります。

これはつまり、オンプレミス セキュリティの IAM メンタルモデルはそのほとんどが残存しますが、その基盤となる技術の多くは著しく変化し、セキュリティにおける IAM の重要性も大きく強まっていることを意味します。

運命の共有によるクラウド セキュリティでの信頼の強化

クラウドとは、当然ながら単なる「誰かのコンピュータ」ではありません。選択したクラウド サービス プロバイダとの関係性において、「信頼」が非常に重要な要素となる所以です。クラウド サービス プロバイダの多くは共同責任を認めています。つまり、サービス プロバイダは基盤となるインフラストラクチャを供給しますが、一見理解しがたいセキュリティ タスクの多くに対しては、責任をユーザーに預けています。

Google Cloud では運命共有型モデルを採用し、お客様と共同でのリスク管理を実現しています。Google では、お客様が Google のプラットフォームで安全にデプロイできるよう、責任の範囲を区別することなくパートナーとして積極的に関わることが Google の責任であると考えています。信頼できるクラウドに安全に移行して運用を開始するためのベスト プラクティスを実装できるよう、最初からお客様を支援します。

クラウドネイティブとなる準備

私たちは、お客様のクラウドへの移行準備を支援し、セキュリティに対する現在のアプローチがオンプレミス型の思考に根ざすものでないかどうか見直すための指針を示す、いくつもの有力なリソースを提供しています。

Google のポッドキャスト シリーズでは、Google Cloud のバイス プレジデント兼 CISO である Phil Venables、Google Cloud 金融サービス セキュリティおよびコンプライアンス担当ディレクターであり CISO オフィス メンバーでもある Nick Godfrey が、クラウドへの移行準備についてのディスカッションに参加します（Podcast 1、Podcast 2）。クラウドネイティブ関連スキルを高めるには、Google の Professional Cloud Security Engineer 認定資格を取得することをおすすめします。

- Google Cloud、CISO オフィス シニア スタッフ コンサルタント Anton Chuvakin
- Google Cloud、セキュリティ編集者 Seth Rosenblatt