SECURITY

マルチクラウド環境で脅威を防止および検出する

ビジネスでのクラウド利用が浸透し、多くの企業がクラウド戦略をマルチクラウドアプローチにシフトさせ始めている今日、ネットワーク境界とクラウド間の壁は薄れつつあります。クラウドへの移行は、パフォーマンスの最適化、信頼性の向上、全体的なコスト削減など多くのメリットをもたらす一方で、リスクや課題も生んでいます。最近のWebセミナー「Approaches for a More Secure Cloud Environment (クラウド環境のセキュリティ強化のためのアプローチ)」では、Splunkのセキュリティチームのメンバーが、設定ミスやその他のセキュリティの脅威を検出および防止するためには強力で統合されたマルチクラウドセキュリティ戦略を立てることがいかに効果的であるかを説明しています。

多くの企業では、複数のクラウド導入プロジェクトが同時進行し、それぞれが異なる段階にあります。そのため、クラウド戦略を立てるときは、すべての段階でセキュリティを考慮する必要があります。また、クラウドのセキュリティとクラウドへの移行は、境界内のセキュリティやリフト＆シフトモデルとは異なります。クラウドでは、お客様とプロバイダーが共同で責任を負う領域があります。

クラウドのセキュリティと境界内セキュリティは異なる
ベンダーの熾烈な競争とコネクテッド製品の広がりにより、マルチクラウドシステムはますます複雑になり、攻撃対象が拡大しています。さらに、クラウドサービスプロバイダーが提供する分析製品は独自技術に基づくものが多く、社内環境全体を包括的に可視化するには不向きです。環境の不透明化、エフェメラル(一時的)なワークロード、ナレッジギャップのかつてない広がりによって、単一クラウド環境とマルチクラウド環境のいずれでも、クラウドのセキュリティ対策には終わりがありません。

ここで少し「クラウド」を離れて本質を見てみましょう。見方によっては、クラウドは単にデータセンターの一種ともいえます。主導権を取り戻してセキュリティの可視化を最優先にすれば、AWS、Microsoft Azure、Google Cloudなどのクラウド環境でも、管理者、ユーザー、データをターゲットにした攻撃を徹底して防止できます。

クラウドセキュリティの共通基準

Splunkのセキュリティ調査チームは最近、統合クラウドインフラデータモデルを導入しました。このデータモデルを作成するにあたってまず行ったのは、クラウドセキュリティの共通基準を決めることでした。チームは、大手クラウドプロバイダーであるAWS、Microsoft Azure、Google Cloudに共通する6つの主要カテゴリを洗い出し、この3社を含むプロバイダーのマルチクラウド環境を統合的に分析してセキュリティ体制をできるだけ一本化するためのデータモデルを作成しました。こうして特定した共通基準は以下のとおりです。

コンピューティング：アーティファクト(仮想マシン、コンテナ、アプリケーション、マイクロサービスなど)
ストレージ：ストレージのタイプ(ブロック、オブジェクト、ファイル)
管理：管理アクセス、ログ設定、Kubernetes構成
ネットワーク：外部アクセス、VLAN/VWAN、VPN、ルーティング
データベース：SQL、NoSQL
セキュリティ：IAM、暗号化、ファイアウォール

マルチクラウド環境でイベントを統合的に可視化するメリット
この統合クラウドインフラデータモデルとSplunkのセキュリティソリューションを組み合わせれば、異なるクラウドサービスプロバイダーに保存された重要なデータを一元的に正規化および管理して、マルチクラウド環境全体のセキュリティ監視と可視性を向上させることができます。さらに、Splunk ES Content Updateを使って検出と調査を行い、Splunk Phantomを使って不審なアクティビティに対応することもできます。このデータモデルのオペレーターは、きめ細かいアクセス制御のもとで、組織の統合的なセキュリティ戦略に沿ってナレッジオブジェクトをカスタマイズおよび実装できます。

FINRA社をはじめとするSplunkのお客様は、Splunk App for AWSを利用してログを一元管理して相関付けたり、サードパーティの脅威インテリジェンス情報をセキュリティアラートに変換したり、コンプライアンス/ガバナンスダッシュボードを作成したりしています。FINRA社は今日、社内で使用している170種類以上のアプリケーションのログをSplunkに取り込んで、セキュリティチームと運用チームの連携に役立てています。こうして、コンピューティング環境のあらゆる側面を可視化するかつてない透明性を実現しています。

詳細情報

クラウドのセキュリティ戦略を構築する方法や、クラウド環境での脅威を防止および検出する方法については、こちらのWebセミナーをご覧ください。強力に統合されたクラウドセキュリティ戦略の構築とマルチクラウドサービスの保護について学ぶことができます。
クラウドインフラデータモデルの使い方について詳しくは、ブログ記事「Use Cloud Infrastructure Data Model to Detect Container Implantation (MITRE T1525) (クラウドインフラデータモデルを使用してコンテナ生成を検出する(MITRE T1525))」を参照してください。

導入について

クラウドインフラデータモデルを入手して導入すれば、マルチクラウド環境と単一クラウド環境のいずれでも、セキュリティのリスクや脅威を防止および検出してセキュリティを強化できます。

このブログはこちらの英語ブログの翻訳です。

November 12, 2020

Posted by

Jade Catalano

Jade Catalano is a Senior Product Marketing Manager at Splunk focused on Security. In this role, she is responsible for evangelism of the company's security use cases and cloud security portfolio, leading thought-leadership and strategic initiatives, customer engagements and content marketing strategies for Splunk's analytics-driven security solutions. She has been passionately working with Splunk customers for over 8 years to get the most value from Splunk and brings an expertise across analytics, security, ITops, cloud and applications.

マルチクラウド環境で脅威を防止および検出する

クラウドセキュリティの共通基準

詳細情報

導入について

Jade Catalano

Related Posts