“セキュリティ・バイ・デザイン”を踏まえた運用フェーズにおける AWS セキュリティの考え方と実現方法

本記事は、トレンドマイクロでシニアフィールドセールスエンジニアを務める姜 貴日氏と、アマゾン ウェブ サービス ジャパン合同会社でパートナーソリューションアーキテクトを務める山田 磨耶による共著です。

テクノロジーが様々な分野で活用されるとともに、サイバー攻撃も発生頻度の増加や高度化が続く状況にあります。こうした中で公共の情報システムに対しても、サイバー攻撃の脅威は高まっていく事が予想されます。このような背景を踏まえ、公共の情報システムにおいても確実かつ効率的にセキュリティ対策を実施する必要が高まっています。この記事では、その一例として政府情報システムにおけるセキュリティ対策の実施について説明を行います。

政府情報システムに求められるクラウドセキュリティ

デジタル庁は、2022 年 6 月 30 日に「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」 (以下、SBD ガイドライン) を公開しました。

SBD ガイドラインはセキュリティ・バイ・デザインを政府情報システムへ適用するにあたり、各工程で実施すべき実施内容、要求事項と関係者の役割を示しています。また、「1 はじめに」で「セキュリティ・バイ・デザインへの理解を深める参考文書」と記載されているように、政府関係者に限らず多くの組織においてもセキュリティ対策のヒントとなる情報を提供しています。

ここからは、政府情報システムに関わる担当者や関係する AWS サービスパスのパートナーに向けて、SBD ガイドラインを踏まえ、特に運用段階における AWS のセキュリティを理解いただくための要点と、トレンドマイクロ社の Cloud One Conformity を運用段階で活用するための情報を整理します。

AWS でセキュリティ・バイ・デザインを実現するポイント

セキュリティ・バイ・デザインは「全てのシステムライフサイクルにおいて、一貫したセキュリティを確保する方策」と定義されています。一貫したセキュリティ対策を実現するためには、上流工程からセキュリティリスクへの対応方針を定める必要があります。

AWS は、サービスを運用している施設の物理統制や環境統制を AWS で運用・管理・制御し、AWS 利用者の負担を軽減するための責任共有モデルを提供しています。上流工程から効果的なセキュリティ対策を検討するためには、この責任共有モデルの理解が重要です。責任共有モデルでは AWS から AWS  利用者に継承する統制と、AWS 利用者が責任を負う統制が示されますが、使用するサービスやサービスを統合する IT 環境によって AWS 利用者の責任は異なります。どのサービスによってどこまでのセキュリティ対策を講じるかは、AWS 利用者による入念な検討が求められます。

その他の要件定義～設計・開発における実施内容については、「”セキュリティバイデザイン”を踏まえたAWSのセキュリティ要件の考え方ーNISC SBDマニュアルを参考にー」でヒントを提供していますので、ご参照ください。こちらの記事では、調達段階からの参照が推奨されている SBD マニュアルの内容をもとに、要件定義～設計・開発におけるセキュリティ対策の要点を解説しています。

運用工程の重要なセキュリティ対策として、SBD ガイドラインでは「インシデント (その兆候) の早期検知、速やかなインシデント対応やサービス復旧、またそれらを維持するための定期的な見直し」があげられています。これらのセキュリティ対策を実現するために、サードパーティー製品や AWS が提供する情報を活用いただけます。

サンプル PlayBook を活用したインシデント対応

インシデントやインシデントの火種となりうる原因 (設定不備) を早期検知するために、Amazon GuardDuty や AWS Security Hub といった AWS サービスの他、後ほど紹介する Cloud One Conformity のようなサードパーティー製品が利用いただけます。こういったサービスの導入も欠かせませんが、インシデントまたはその予兆を検知した場合の対応を事前に決定しておくことも重要です。

AWS は、インシデントレスポンス PlayBook のサンプルを公開しています。 Amazon Simple Storage Service (Amazon S3) がパブリック公開された場合にどう対応するか等、AWS サービス利用時のインシデントについて対応手順が示されているため、インシデント対応を策定する際の参考とすることができます。なお、これらのサンプルは AWS 利用者への情報提供を目的としています。インシデント対応の内容が十分であるかを判断する責任は、各 AWS 利用者にあることをご留意ください。

ここでは、PlayBook の構成や記載内容のガイドラインを提供するプレイブック開発ガイドの内容をもとに、PlayBook 作成時のポイントを示します。

PlayBook の項目

インシデント発生時の混乱を抑制するために、インシデントへの対処方法だけでなく、インシデントの検知方法やインシデント発生時の意思決定の関係者も明確になっていることが重要です。インシデントを一時的に封じ込めたのち、脅威を根絶し、システムを回復し、今後のインシデントに備えた事後対応を実施するプロセスまでを定めている点も特徴的です。

PlayBook の記載粒度

PlayBook は誰がいつ参照しても同じ対応を再現できることが重要です。そのためには、インシデント発生を判断する指標を定量的に定めることや、対処手順をステップバイステップで記載する、あるいは自動化したツールの利用方法を説明することが有効です。

PlayBook のメンテナンス

PlayBook を作成した後は、AWS サービスの変更やシステム構成の変更と合わせてアップデートすることも必要です。同時に PlayBook の内容を読み解くため、インシデントに対応するメンバーの知識やスキルのアップデートも求められます。 PlayBook メンテナンスの負担を抑えながら有効な「対処手順」を提供するものとして、後述するトレンドマイクロ社の Cloud One Conformity などのツールを活用いただけます。

Cloud One Conformity を活用したクラウドセキュリティの把握

トレンドマイクロの調査から、クラウド環境で発生した情報漏えいのうち「設定ミス」が原因となるものは全体の四分の一を占めることが明らかになっています。対策を考える上で重要なことは、何が原因でインシデントが発生したのかを知ることです。クラウドの利用が一般化された現代においても、「人」による運用は必要不可欠であり、「人」により脆弱な状態が生み出されることは多様にあります。そのような兆候を早期に検出し、「人」を支援していくことが、クラウドをセキュアに利活用していく上で非常に重要なポイントとなります。

この脆弱な状態の早期発見に活用できるものの 1 つとして CSPM があげられます。CSPM は日本語ではクラウドセキュリティ態勢管理と呼ばれています。セキュリティとコンプライアンスのベストプラクティス、および既知のリスクなどのルールが事前に定義されており、クラウドの設定状況を比較し「クラウドサービスの設定不備」を明らかにするツールとなります。

Cloud One Conformity とは？

図 1 – Cloud One Conformity の概要

トレンドマイクロが提供する Cloud One Conformity は、お客様のクラウドアカウント上にある「クラウドサービスの設定不備」を早期に発見する CSPM ツールです。前述したように、クラウドの利用における情報漏えいインシデントの四分の一は「クラウドサービスの設定不備」が原因となっており、その「早期発見・早期対処」がインシデント影響を最小限に留める重要な要素となります。

また、Cloud One Conformity はインシデントの予兆を早期に発見するだけでなく、「業務の標準化」を支援する事で「運用業務属人化の解消」につなげるといった側面もあります。

Cloud One Conformity のユースケース

下記に Cloud One Conformity の具体的なユースケース例を図で示します。セキュリティインシデントに繋がる事が想定される様々なリスクを監視し、検出、可視化できます。

図 2 – Cloud One Conformity のユースケース

Cloud One Conformity が価値を発揮する場面

人事異動に伴い、IT スキルを持った人材が不足し、今まで培ってきた運用ノウハウが継続されず、業務の属人化が発生する場合があります。特にメンバー間でのスキルレベルの違いがある場合は、スキルが高いメンバーに業務が集中してしまい、属人化につながるケースが見受けられます。属人化の解消にはメンバー同士のスキルレベルを一定水準にまで引き上げることが重要であり、クラウドのベストプラクティスが実装されている Cloud One Conformity を利用することで、個々のスキルレベルを向上することができます。

図 3 – Cloud One Conformity による属人化の解消

Cloud One Conformity には約 800 以上 (2023 年 7 月時点) のクラウドセキュリティに関するルールが実装されており、それぞれのルールには Risk Level (対応優先度) が設定されています。クラウドのセキュリティで何から始めていいのか分からない場合でも、Cloud One Conformity の表示結果を見ることで優先順位をつけて対応の検討を進めることができます。

また、Cloud One Conformity には「クラウドサービスの設定不備」をどのように解消するのか、詳しい修復ガイドも備わっているため、修復作業を継続的に行うことで、メンバー間のスキル差異を少なくし、全員の統一されたスキル水準によってクラウド環境をセキュアに保つ状態にする効果が見込めます。

このように Cloud One Conformity の利用によって、組織として「業務の標準化」と「運用業務属人化の解消」に近づけることができます。実際の検出結果の一例を図で示します。

図 4 – Cloud One Conformity の検出結果例

この検出内容は、Amazon S3 において Block Public Access が有効になっていない事を検出したものになります。このように定義された Risk Level によって、優先順位をつけて対応できる様子が確認できます。また、併せて検出に対する設定修復方法についても図で示します。

図 5 – Cloud One Conformity 設定修復方法の提示画面

図のように AWS マネジメントコンソールで修復する方法だけでなく、AWS コマンドラインインターフェース (AWS CLI) で修復する方法も提供されています。

AWS で Cloud One Conformity を利用するための流れ

Cloud One Conformity を開始する際には下記手順の実施が必要です。

1. クラウドアカウントの追加
2. リアルタイム監視を有効にする
3. Profile の作成
4. ルールの設定
5. 通信チャネルを設定して通知を設定
6. 定期レポートの設定

「1 . クラウドアカウントの追加」ではトレンドマイクロが提供する AWS CloudFormation テンプレートを利用することで、必要最小限の作業で連携が可能です。Cloud One Conformity 設定手順の詳細に関しては Conformity の使用開始を参照ください。

トレンドマイクロにおける ISMAP への取り組みに関して

トレンドマイクロは 2023 年 5 月に下記 ６ つのサービスにて ISMAP (政府情報システムのためのセキュリティ評価制度) を取得しており、今回紹介している Cloud One Conformity も ISMAP 登録対象となります。

• Trend Micro Cloud App Security
• Trend Micro Apex One SaaS
• Trend Micro Email Security
• Trend Micro Web Security as a Service
• Trend Vision One
• Trend Cloud One

政府が掲げる「クラウド・バイ・デフォルト原則」を推進していく上では、「調達時の監査コスト」や「政府統一のセキュリティ水準を迅速に満たす」という課題がありますが、ISMAP への登録により、トレンドマイクロの ６ つのサービスは上記課題を考慮せずに、提案の選択肢として検討していただくことが可能です。

参考 : トレンドマイクロのクラウドサービスが政府情報システムのためのセキュリティ評価制度 (ISMAP) に登録

まとめ

政府情報システムにセキュリティ・バイ・デザインを適用するための参考文書となる SBD ガイドラインと、SBD ガイドラインを踏まえて、運用工程に求められるセキュリティ対策を AWS 上で実現するためのポイントを紹介しました。

運用工程では「インシデントの早期検知」が重要であり、インシデントの火種となりうる原因 (設定不備) を早期検知する CSMP として、トレンドマイクロ社の Cloud One Conformity が活用できます。また、Cloud One Conformity は、現状のセキュリティを把握するためにも有用です。同じく、運用工程で重要な「速やかなインシデント対応」を策定するために、AWS が公開している PlayBook のサンプルを活用いただけます。

政府情報システムにおいて効果的なセキュリティ対策を維持するためには、担当者が対象システムのセキュリティリスク対応方針を理解し、現状のセキュリティを把握したうえで、セキュリティ対策を適切に見直せるようになることが必要です。その手助けとして、本記事で提供した情報や SBD ガイドラインをご活用ください。