クラウド時代に実施すべき「脅威を見逃さない」クラウドセキュリティ対策とは? ~ネットワークモニタリングによる脅威検知編~ 製品・サービスの活用方法

2020年2月26日

はじめに

従来のオンプレミスよりも、より安価で、簡単に、かつスピーディに準備できるパブリッククラウド(AWS、Azure、GCPなど)の利用が急速に普及しています。
多くの企業がクラウドへの移行や、その検討を行う中でセキュリティ対策への懸念も聞こえてきます。

本コラムでは、クラウド環境における「脅威を見逃さない」セキュリティ対策についてご紹介します。
皆様が運用されているクラウドにおけるセキュリティレベル向上の一助となれば幸いです。

責任共有モデルとユーザに求められるクラウドセキュリティ

冒頭では費用や工数について触れましたが、セキュリティ対策についても、クラウド環境はオンプレミス環境とは異なります。
クラウドでは「責任共有モデル」と呼ばれる考え方があり、クラウド業者が負う責任と、ユーザ(クラウド利用者)が負う責任の範囲が分かれています。
当然、クラウドにおけるセキュリティに関しても、この「責任共有モデル」は重要な考え方となります。

<責任共有モデル(IaaS)>

クラウド環境(IaaS)とオンプレミス環境との違いは、インフラに対してクラウド業者が責任を負うか否かということです。
簡潔に述べるならば、クラウド業者が提供するインフラはクラウド業者、その上にユーザが構築したインスタンスはユーザの責任範囲に入ります。
クラウドの普及に伴い、「クラウド業者に在籍するセキュリティのプロが実施するセキュリティ対策は、一般企業ができるセキュリティ対策と比べて、よりセキュアである」といわれることがあります。
そのため、「クラウドは安全だ」という論調を目にすることがありますが、これはこのクラウド業者が責任を負う範囲が対象になっていることが一般的です。
また、クラウド業者が提供するセキュリティ設定やサービスもありますが、それらはユーザの責任で実施する必要があります。

ユーザがセキュリティ対策を実施する場合、有償の機能や製品に先立ち、まずはクラウドサービス業者が提供する無償のセキュリティ機能を利用するのではないでしょうか。
クラウド環境の一つであるAWSを例とした場合、以下のセキュリティ機能が存在します。

<クラウド(IaaS)利用時のセキュリティ対策イメージ>

① DDoS対策

クラウド業者のインフラに影響を与える可能性が高いため、クラウド業者で対策がとられている場合があります。
AWSでは利用開始時から有効化されているセキュリティ対策です。


②アクセス制御

ユーザのインスタンスを対象として設定することができます。
ただ、クラウド業者は機能を提供しているのみで、どのようなアクセス制御ルールにするかはユーザが設定しなくてはいけません。
事前に設定したルールに従って動作しますので、定義外の動作には脆弱となってしまいます。
また、不正にデータを持ち出そうとする内部犯が、アクセス制御の穴を理解していたり、変更権限を持っていれば自身でアクセス制御の穴を作り出したりすることが想定できます。

クラウドセキュリティの課題

クラウドサービス業者が提供するセキュリティ設定でも、インシデントの予防は可能ですが、設計やヒューマンエラー等に起因してセキュリティ設定に脆弱性を抱えてしまうことがあります。
これらの脆弱性を放置することで、最終的にインスタンスの乗っ取りや情報漏洩、機密情報の持ち出しにつながる可能性があります。
事実、大手組織においても、単純な設定ミスによって、情報漏えいが発生しているセキュリティインシデントが複数確認されています。

<クラウド関連で発生したセキュリティインシデント事例>
米陸軍の極秘情報がAWSで公開状態
米陸軍が監督する情報組織に関する機密情報をAWSに保存していたが、初歩的な設定ミスが原因で、URLさえ分かれば、誰でもアクセスできてしまう状態だった。
米大手通信社の加入者1400万人の個人情報に誰でもアクセス可能な状態
米大手通信社において、加入者の氏名、住所、アカウント情報、本人確認用の暗証番号等の情報をAWSに保存していたが、設定ミスが原因で、URLさえ分かれば誰でもアクセスしてデータをダウンロードできてしまう状態だった。

このような設定ミスは、ルールの厳格化や作業者への教育によって予防することはできますが、完全に無くすことは困難です。
そこで設定ミスは起こり得るという前提に立って、仮に設定ミスによるインシデントが発生しても、早期に発見する仕組みが必要となります。
この課題に対し、本コラムではクラウド環境におけるネットワーク通信のモニタリングによってインシデントを発見する方法をご紹介します。

クラウド環境で「脅威を見逃さない」セキュリティ対策とは?

クラウドにおける通信のモニタリングといっても、日々行われる膨大な通信をユーザが監視して、その中から異常通信を発見することは大変困難です。
そこで、クラウド環境を流れる膨大な通信を自動的に分析し、異常があればユーザに通知を行うモニタリングが必要だと考えており、当社ではその実現手段として「Darktrace(ダークトレース)」という製品を提供しています。
詳細は当社の製品紹介ページをご覧いただくとして、本コラムではDarktraceを用いた検知事例をご紹介します。

Darktrace(ダークトレース)


検知事例に先立ち、クラウド環境でのDarktarceのシステム構成を以下に記載します。
各種Sensorを用いることで自社のネットワークだけでなく、クラウド上のインスタンスへのネットワークモニタリングが可能となります。

<クラウド環境でのシステム構成イメージとセキュリティ対策>

<クラウド環境での構成一覧>
No製品概要導入環境例
1 Darktrace
マスターアプライアンス
物理アプライアンス
  • vSensorからの通信ログを機械学習で解析
  • アラート確認や調査をGUI画面で実施可能
  • 社内環境の通信ログを収集するセンサーとしても動作可能
社内環境に物理アプライアンス導入
2 Darktrace vSensor ソフトウェアアプライアンス
  • osSensorからの通信ログを中継して、マスターアプライアンスへ転送
  • 仮想ネットワークからのSPANを受信することも可能
クラウド上のインスタンスにソフトウェアを導入
3 Darktrace osSensor クライアントエージェントソフトウェア
  • 監視対象の通信ログを収集するセンサープログラム
クラウド上の監視対象インスタンスにソフトウェアを導入
Darktrace osSensor の代わりに Amazon VPC Traffic Mirroring を利用し、vSensorへパケットミラーリングすることでも実現可能です。

検知事例

これよりDarktraceが実際に検知したアラート(Breach)をご紹介します。


・マルウェア感染

マルウェアに感染したことによって、C&Cサーバへ通信を行っている可能性のある検知事例です。
検知名は「DGA Beacon」、つまり、機械的に生成されたと推測される外部のドメインに対する通信を繰り返し行っている通信を検知しています。

<アラート(Breach)画面>

<Connection表示画面>

当該インスタンスではセキュリティ対策を行っていたつもりでしたが、クラウド業者が提供する無償のセキュリティ機能のみを利用していました。
この場合、一見インスタンスは問題なく動作しているように見えるため、人目では気付くことは難しいと考えられます。
また、これらはアプリケーションのインストールだけでなく、cronやタスクスケジューラなどにてスクリプトが実行されている可能性もあります。


・インスタンス乗っ取り

インスタンスに侵入され、攻撃者が外部と通信を行った可能性のある検知事例です。
例えば、マルウェアのダウンロードや第三者への攻撃などを検知します。

検知名は「Outgoing from Server」、つまり、インスタンスが普段接続しない外部の宛先に対して不審な通信を検知しています。

<アラート(Breach)画面>

<通信量表示画面>

当該インスタンスにおいて、セキュリティ設定に加え死活監視を行っていました。
しかし、セキュリティ設定をすり抜けてインスタンスに侵入されてしまうと、特定リソース使用量の高騰などがない限り死活監視では判断できず、管理者が異常に気付くことができません。


・内部不正

インスタンスから外部サーバへ、データが流出した可能性のある通信の検知事例です。
検知名は「Data Sent to Rare Domain」つまり、普段接続しない稀な外部ドメインにデータ転送を行ったことを異常として検知しています。

<アラート(Breach)画面>

<通信量表示画面>

当該インスタンスのOutBound通信に対しては、特に通信制御を行っていなかったためデータの持ち出しが容易な状態になっていました。
この場合、データの持ち出しに限らずOutBound通信は設定上許可された通信であるため、クラウド業者の提供するセキュリティ機能では検知されません。
なお、Darktraceは社内の通信も監視できるため、社内からクラウドへデータを持ち出していた場合、持ち出したデータを判別できる可能性があります。

これらの事例の通信は、いずれも予防をすり抜けて発生したインシデントです。
見逃すことなく気付くことができたのは、ネットワーク通信そのものをモニタリングしていたからこそだと考えられます。

まとめ

本コラムでは、クラウド環境に対して、「脅威を見逃さない」セキュリティ対策として、ネットワーク型でのモニタリングを用いた脅威検知を紹介しました。
クラウド業者の提供するセキュリティ機能は予防として機能しますが、侵入される前提でシステムを構築する必要があるといわれている昨今では、クラウドにおいても予防をすり抜けた脅威に対して検知する方法を用意する必要があると考えます。
このような対策を実施することで、インシデントの予兆を早期に発見し被害の拡大を防ぐことが期待できます。

本コラムが、皆様が構築しているクラウド環境におけるセキュリティ対策の一助となれば幸いです。

京セラコミュニケーションシステム株式会社
セキュリティ事業部SecureOWL Center
Darktrace セキュリティ運用監視チーム

無償トライアルのご案内

netskope 無償 評価プログラム(PoV)

4週間・無償でご利用いただける評価プログラムをご用意しています。
Darktraceの効果を実際にお確かめください。

短期間で評価機を導入可能!
お申し込み後、評価機のご利用に必要な情報をお伺いするヒアリングシートに回答いただき、当社にて初期設定を行います。導入作業はタップもしくはミラーポートへの接続などを含め、約1~2時間で完了します。

事前にご準備いただく必要があります。

お客様環境のセキュリティリスクを週次レポート!
発見したセキュリティリスクをまとめたセキュリティレポートを毎週提供(合計3回)。
お客様環境におけるセキュリティリスク改善にご活用いただけます。

レポート作成には、Darktrace社へのリモート接続(22/tcp)が必要です。

トライアルお申し込み別ウィンドウで開きます

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ