サイバーセキュリティクラウドの CloudFastener を活用した包括的かつ効率的なセキュリティ対策

本記事は、株式会社サイバーセキュリティクラウドプロダクトマネージャー小川亮氏、プロダクトオーナー山田匡志氏と、アマゾンウェブサービスジャパン合同会社パートナーソリューションアーキテクト飯田祐基による共著です。

cscロゴ

システムの多様化や複雑化に伴い、サイバー攻撃の手法は巧妙化され、より多岐の範囲にわたるものになってきています。これらの攻撃からクラウド環境を守るためには、1 つの手段だけではなく、複数の防御策を講じ包括的なセキュリティ対策を行う事が重要となります。

この記事では、AWS においてセキュリティ対策を行う上で考えられる課題と、それを AWS のセキュリティサービスや AWS パートナーソリューションでどのように解決できるかについて解説します。

AWS におけるセキュリティ対策の考え方

まず実際の対策方法を考える前に AWS でのセキュリティについて知っておくべき事があります。それは、責任共有モデルの考え方です。この考え方では AWS Lambda のようにマネージドサービスであれば、インフラストラクチャレイヤー、オペレーティングシステム、およびプラットフォームを運用する責任を AWS が負うため、例えば OS のパッチ適用といった作業をお客様が行う必要はありません。一方で、Amazon EC2 を利用している場合は OS のパッチ適用もお客様自身で行なっていただく必要があります。

このように、AWS におけるセキュリティ対策を考えるには、初めにお客様自身で保護する必要がある範囲を特定し、その上で各保護対象に対し、適切な対策を講じる必要があります。しかし、対策を行う際には様々な課題が考えられます。実際にどのような課題が考えられるでしょうか。

包括的なセキュリティ対策を行う上での課題

まずは対策したい内容に合わせた適切なソリューションを選定することの難しさがあります。仮に保護する範囲を特定し、どのような対策を行えば良いかが特定できたとしても、その対策を行うための最適なツールを選び出すためにはコストがかかります。例えば、このソリューションには脅威検知の機能はあるが、防御することができない。またこちらのソリューションはアプリケーションの保護はできるが、ネットワークの保護ができないなどが考えられます。

次にセキュリティ人材の不足が考えられます。セキュリティ対策は継続的に行う必要があるものです。さらに多岐の範囲にわたって対策を行うとなると、それに伴う人材が必要となります。しかし、セキュリティの専門的な知識を持つエンジニアの数には限りがあるため、効率的に全体に対して対策を行えなければ運用が疎かになってしまい、結果的にセキュリティインシデントが発生してしまうといったリスクが考えられます。

ここからは、AWS サービスや AWS パートナーソリューションを活用して、どのようにこれらの課題を解決する事ができるのを説明していきます。

AWS サービスを活用したセキュリティ対策

AWS では様々なセキュリティ課題に対し、効率的に対策が行えるように用途に沿った様々なサービスを提供しています。これらのサービスは内容ごとに、AWS のセキュリティ、アイデンティティ、コンプライアンスとして、大きく分けて 5 つのカテゴリに分類されています。

ID およびアクセス管理: AWS Identity and Access Management (IAM)、Amazon Cognito、AWS Organizations など
検出と対応: Amazon GuardDuty、Amazon Inspector、AWS Config など
ネットワークとアプリケーションの保護: AWS Network Firewall、AWS Web Application Firewall (AWS WAF)、AWS Shield など
データ保護: AWS Key Management Service (AWS KMS)、AWS CloudHSM、AWS Secrets Manager など
コンプライアンス: AWS Artifact、AWS Audit Manager

この記事では全ての対象 AWS サービスには触れませんが、例えば Amazon GuardDuty であればセキュリティ脅威の検出ができ、AWS Network Firewall であれば Amazon Virtual Private Cloud (Amazon VPC) におけるネットワークトラフィックの決め細かい制御できるなど、課題に合わせた最適なサービスを選択し組み合わせる事で、様々なセキュリティリスクに対し効率的に対策できます。

また、Amazon GuardDuty、Amazon Inspector、AWS Config 他 AWS の各セキュリティサービスは、AWS Security Hub と連携してアラートを集約し、一元管理する事を可能にします。このように AWS の各セキュリティサービスは簡単に連携する事ができるようになっています。

セキュリティ対策の効率化を可能にする AWS サービスの例

ここでは効率的なセキュリティ対策に活用できるサービスの一例として、Amazon Security Lake を紹介をします。

Amazon Security Lake はフルマネージドのセキュリティデータレイクサービスです。Amazon Security Lake を利用すると、AWS サービスのログのみに限らず、クラウド、オンプレスミスおよびサードパーティソリューションなど、様々なセキュリティデータを集約し、一元管理する事が可能になります。

また、Amazon Security Lake はオープンスタンダードである Open Cybersecurity Schema Framework (OCSF) を採用しており、OCSF に準拠した形でログを正規化するため、集めたデータを他の AWS サービスや、セキュリティベンダーのソリューションと連携する事を容易にします。例えば AWS サービスであれば次のような活用例が具体的に挙げられます。

Amazon Athena との連携による簡易な分析
SIEM on Amazon OpenSearch Service を利用したセキュリティログの可視化、分析

さらに Amazon Security Lake はセキュリティベンダーのソリューションと連携を行う事で、より効率的なセキュリティ運用を実現できます。

今回はその一例として、株式会社サイバーセキュリティクラウドが提供する CloudFastener (クラウドファスナー) を利用する事で、どのようにより効率的なセキュリティ運用が可能になるのかをご紹介します。

CloudFastener を活用した包括的かつ効率的なセキリティ対策

CloudFastener はお客様の AWS 環境の各種セキュリティサービス (Amazon Security Lake、Amazon GuardDuty、AWS CloudTrail など) を活用し、AWS 環境全体を包括的に管理、運用するフルマネージドセキュリティサービスです。

AWS 内のクラウド資産の洗い出し、セキュリティリスクの可視化ができるほか、OSやソフトウェアの脆弱性、設定ミス、脅威の収集分析をします。また、24 時間 365 日 AWS 環境を常時保護、モニタリングし、対処すべきリスクを優先度付けし、セキュリティアラートの適切な対処のサポートを行います。

AWS サービス活用によりスムーズな導入が可能

CloudFastener ではお客様の AWS 環境において様々な AWS サービスを活用し、CloudFastener に統合することで、外部サービス利用といった手間をかけずに導入が可能なだけでなく、高いコストパフォーマンスを実現しています。また、CloudFastener 自体も AWS 上で構築されています。

実際にお客様の AWS 環境と連携する際のアーキテクチャの例を示します。

cloudfastener アーキテクチャ例

図 1 お客様環境と CloudFastener の連携アーキテクチャの例

例えば、図 1 の様に CloudFastener は Amazon SecurityLake のサブスクライバーとして動作し、Amazon Security Lake を通じて、AWS Security Hub、Amazon Inspector、Amazon GuardDuty、AWS CloudTrail のデータを取得し、分析を行います。そのため、この機能においてお客様自身で行う必要があるのは各サービスのログを Amazon Security Lake に集約し、CloudFastener と連携する事だけです。

さらに連携はクロスアカウントの IAM ロールで安全に行われるだけでなく、IAM ロール作成用の CloudFormation テンプレートの提供も行っています。他の機能についても同様に AWS のサービスや機能を上手く組み合わせる事で、連携に必要な手間を大きく減らす事ができます。

また、CloudFastener では、導入にあたりセキュリティエンジニアによるアセスメントを行い、セキュリティ対策における現状を整理し、顕在課題の把握や潜在課題の調査を行います。さらに、アセスメントに基づき、必要なサービスのみを柔軟に選択し組み合わせる事が可能で、セキュリティサービスの有効化支援やセキュリティアラートの是正支援なども受ける事ができます。

加えて、セキュリティ対策をどの程度実現できているか、定量的に測るモデルである AWS セキュリティ成熟度モデル (AWS Security Maturity Model) に対応することで、組織がセキュリティのベストプラクティスを迅速に適用できるようにサポートします。

このように、CloudFastener は AWS サービスと上手く連携するだけでなく、セキュリティ対策を行う上での各種サポートを提供するので、お客様がセキュリティ対策を始める際に必要な手間を大きく軽減し、ベストプラクティスに沿った対応を可能にします。

セキュリティエンジニアと AI の組み合わせによる、オールインワンで継続的なセキュリティ対策の実現

さらに、CloudFastener にはAI が組み込まれているため、今までのマネージドセキュリティサービスでは一般的にカバーされない、特定、防御も含めたセキュリティ対策を一括で行う事ができます。

cloudfastenerのカバー範囲

図 2 CloudFastener のカバー領域

例えば Amazon EC2 やコンテナサービス向けの専用エージェントを用意することで、Amazon EC2 で発生するファイル改ざんや不正アクセスといった異常の検知や通知ができます。また、コンテナ上で発生するシステムコールの監視を行い、ルールに反する挙動を異常しとして検知し通知するだけでなく、システムコールの自動ブロックによるコンテナランタイムの監視と防御を行う事ができます。さらに、これらのイベントを 24 時間、365 日モニタリングし、本当に対処が必要なものだけをお客様に連絡し、処理、対処を行います。

また、これらの監視対象は、標準機能として提供される Resource Inventory で一元的に可視化されるだけでなく、管理されていないリソースの洗い出しも行えるため、シャドー IT 対策としても有効です。

その他にも、脆弱性検知機能では AWS WAF と AWS Network Firewall を併用することで、脆弱性スキャン結果をベースにしたカスタムシグネチャの作成を行うといった、運用する上で手間がかかる作業も任せる事ができます。

このように、運用負荷が大きく専門知識が必要な AWS のセキュリティ情報の収集や運用を CloudFastener に任せる事で、セキュリティ対策を包括的に効率良く行う事が可能となります。

まとめ

AWS 環境をセキュリティ脅威から保護するためには、包括的なセキュリティ対策を行う必要があります。しかし、やるべき事が広範囲に渡るため何をして良いかわからないといった悩みや、対策、運用に必要なセキュリティ人材が十分に確保できないなどの課題があります。これらの課題に対し、AWS のセキュリティサービスおよび CloudFastener を組み合わせる事で、AWS 全体を効率的に保護する事が可能となります。

サイバーセキュリティクラウド – AWS パートナースポットライト

サイバーセキュリティクラウドは AWS 環境全体を包括的に管理、運用するフルマネージドセキュリティサービス CloudFastener や、クラウド WAF の自動運用サービス WafCharm を提供する AWS ソフトウェアパートナー企業です。

サイバーセキュリティクラウド問い合わせ先 | パートナー概要

AWS JAPAN APN ブログ