クラウド環境
クラウドネイティブ環境におけるゼロトラストの実現:攻撃事例による考察
クラウド環境は多くの利点がある一方でセキュリティ対策が不可欠です。クラウド環境への攻撃事例と照らし合わせて、ID管理、アクセス制御、継続監視、最小権限の原則などゼロトラストの重要性について解説します。
従来のセキュリティモデルは、重要資産を保護するために境界防御に依存していましたが、クラウドコンピューティングとIoT(モノのインターネット)デバイスの普及により、境界が変化し、アタックサーフェスが広がり、新たなセキュリティ課題が出現しました。このような状況の中で、企業や組織の情報セキュリティ体制を全体的に強化する重要なサイバーセキュリティ原則を統合したゼロトラストセキュリティモデルが、特にクラウドネイティブな環境での採用が進み、注目を集めています。
ゼロトラストセキュリティについて
ゼロトラストセキュリティとは、すべてのものや人を潜在的な脅威とみなすセキュリティ手法です。このアプローチでは、ネットワークはデフォルトでは何も信用せず、必要に応じてアクセスを許可します。ゼロトラストモデルは、「侵害が起こることを前提とする」という原則に基づき、侵害が発生する、またはすでに発生していると想定します。このモデルでは、認証と役割ベースのアクセス制御(RBAC)を使用し、ユーザやデバイスの身元とデータへのアクセスレベルを、場所や以前の検証の有無に関わらず確認して、潜在的な攻撃からデータを保護します。
クラウドには多くの攻撃経路が存在するため、クラウドサービスを利用する企業や組織にとっては、積極的かつ包括的なセキュリティ対策が必要不可欠です。
攻撃者は、マルチサービス環境における開発者やクラウドサービスプロバイダー(CSP)による、些細ながらも漏えいした機密情報や、重要機能の誤設定を悪用することがあります。過去1年間の調査から、トレンドマイクロでは、様々なクラウドセキュリティ問題を確認しました。これらの中には、タイポスクワッティング、正規のツールの悪用、Amazon Elastic Compute Cloud(EC2)のワークロード認証情報の窃取、認証情報の環境変数の利用、AWS認証情報の窃取のために設計されたハードコード化シェルスクリプトを含むバイナリの展開などが含まれます。これらの問題は、脆弱性としては分類されていないものの、サイバー犯罪者が標的へ侵入後の水平移動や内部活動に際して、利用する可能性があり、セキュリティ上の影響は決して軽視されるべきではないでしょう。
ゼロトラストセキュリティを実現する構成要素
ゼロトラストセキュリティは、身元確認、アクセス制御、継続的監視、最小権限の原則という4つの重要な原則に基づいています。
身元確認
身元の確認技術を導入している企業や組織は、ユーザ名とパスワードの保有だけでは、利用者やデバイスが自己申告による身元をそのまま信じるということはなく、通常はスマートカードや生体認証といった追加の確認手段が必要とされます。利用者やデバイスの身元をしっかりと確認することで、企業や組織は不正アクセスを防ぎ、データ漏えいのリスクを低減できます。
身元確認において重要な要素の1つは多要素認証(MFA)です。これはユーザに対して、アクセスを許可する前に2つ以上の認証形態を求める方法です。クラウド環境では、ウェブベースやモバイルアプリのようなクラウドネイティブアプリケーションへのアクセスに際して、MFAを用いてユーザの身元を確認することが可能です。複数の認証方式を用いることで、MFAはユーザの固定パスワードが侵害された場合でも不正アクセスを防ぐことができます。
これまでの分析によると、クラウドネイティブ環境における実際の攻撃の多くは、持続的なアクセスを確保するための認証情報の窃取に関連しています。攻撃者は、通常、ファイルや環境変数内にプレーンテキストで保存された機密情報を含むアプリケーションを悪用します。そして攻撃の開始に際しては、クラウドサービスプロバイダー(CSP)側からサービスAPIにクエリを送るか、統合開発環境(IDE)、フレームワーク、オーケストレーターなど、CSPと何らかの形でローカルに統合されている開発者の端末を介して実行されます。多要素認証(MFA)が設定されていない場合、攻撃者は、感染フローの一部を侵害するだけで攻撃を行使することが可能となります。
アクセス制御
ゼロトラストセキュリティの第二の原則として、アクセス制御を採用する企業や組織は、ユーザやデバイスがネットワーク内に存在するというだけの理由で特定のリソースへのアクセスを自動的に認めるようなことはありません。役割、責任、権限などの要因に基づいて、誰がどのリソースにアクセスできるかを厳格に制御します。このように、重要なリソースへのアクセスをコントロールすることで、サイバー攻撃やデータ漏えいのリスクを防ぎ、少なくともその範囲を最小限に抑えることが可能となります。
このセキュリティ原則に含まれるRBAC(ロールベースのアクセス制御)は、ユーザの役割、責任、職務機能に基づいて権限を割り当てるアクセス制御方法です。クラウドでは、RBACを利用して、クラウドネイティブアプリケーション、コンテナ、マイクロサービスへの最小権限アクセスを実施することができます。このような役割等に基づいた権限割り当てにより、RBACは、機密データや重要なリソースへのアクセスを承認されたユーザだけに限定する上で有効です。ただし、環境に関わらず、企業や組織は、役割の数を最小化する責任がある点にも注意が必要です。
継続監視
継続監視は、企業や組織において適切なコントロールを設定しているからといって、すべてが順調であると安易に仮定しないという前提に基づいています。つまり、企業や組織は定期的に全ネットワーク活動を監視する必要があります。継続監視には、ユーザの行動やネットワークトラフィックの監視も含まれ、異常や潜在的な脅威の検出、重大な侵害になる前のセキュリティインシデントへの対応も求められます。
クラウドネイティブ環境では、コンテナ、マイクロサービス、APIなど全コンポーネントへのリアルタイムな可視性を提供するため、継続監視は特に重要となります。実際のクラウドネイティブ環境に対する攻撃を調査した結果、従来の防御手段が適用困難であることが明らかになりました。特に、ユーザ自身がオペレーティングシステムを管理しないサーバレスサービスの場合、セキュリティソリューションのインストールやコンテナログの管理ができません。
例えば、企業がサーバレスインフラを使用してメールサービスを提供している場合、攻撃者がサービスに登録し、メールアカウントを作成してマルウェアを含むメールを送信することで、企業が危険にさらされる可能性があります。この場合、環境が100%サーバレスであるため、企業は従来のウイルス対策ソフトをインストールできず、サーバレスインフラ内のエンドポイントやサーバを維持したり、セキュリティを確保したりすることが困難となります。さらにクラウドネイティブ環境は、ダイナミックで分散しており、攻撃に際して通常よりも少ないもしくは異なる痕跡を残すため、各コンポーネントを追跡してセキュリティを確保することも困難となります。
クラウドネイティブ環境でのもう1つの攻撃事例として、攻撃者が企業や組織のオープンなコンテナAPIを利用して不正なコンテナを展開するケースが挙げられます。この場合、攻撃者は、クラウドサービスプロバイダ(CSP)の内部APIにアクセスし、企業や組織のアカウントに関するさらなる情報を窃取します。
これらのケースでは、従来のセキュリティ対策を実施することが難しくなります。環境内の全コンポーネントに対する継続的な監視と可視性を重視するゼロトラストアプローチが、これらの脅威への対処として有効となります。クラウドログ、ネットワーク、クラウド環境など多様な情報源からデータを統合するXDRは、こうした継続監視向けに理想的なソリューションといえます。
最小権限の原則
クラウドセキュリティにおいて、最も重要なセキュリティ対策の一つは「最小権限の原則」です。これは、ユーザやサービスが特定のタスクを実行するために本当に必要なリソースへのアクセスのみを許可すべきという原則です。最小限にアクセスを制限することで、企業や組織は攻撃や情報漏えいにつながる可能性のある不正アクセスのリスクを減らすことができます。
クラウド環境では、クラウドインフラの複雑さのため、最小権限の原則を実装することは困難になります。そのため、クラウドセキュリティ体制管理(CSPM)のソリューションの役割が重要になります。CSPMソリューションにより、セキュリティ問題につながる可能性のある脆弱性や設定ミスを特定することが可能になり、クラウドインフラのセキュリティガードと見なすことができます。
ゼロトラストのセキュリティアプローチを実装するために、企業や組織は最小権限の原則を採用する必要があります。これは、全てのユーザとシステムに対して、証明されるまでは潜在的な脅威として扱うことを意味します。このため、全てのアクセス要求は、許可される前に徹底的に審査され、認証される必要があります。そして適切な防御戦略の一環として、全てのアクセス要求は記録され、監査されることになり、不審な活動の特定に有効となります。
最小権限は、以下の2つの攻撃タイプの影響を最小限に抑える上で有用です。
クラウドネイティブサービスにおける特権昇格
攻撃者は、公開サービスを初期侵入の経路として利用し、次の攻撃ステップへの足がかりとする可能性があります。具体的には、ワークロードに侵入して環境変数内の認証情報を見つけ、これらを利用してユーザの管理サービスからさらに高い権限を与える認証情報を取得します。成功すれば、攻撃者は設定を変更したり、新しい不正サービスを開始したり、侵害されたサービス内の行動を監視する能力を削除または無効化することが可能となります。
情報漏えいのための水平移動・内部活動
攻撃者は、クラウドサービスプロバイダー(CSP)の内部APIシステムにより、サーバレスアプリケーションを侵害し、その権限を確認できます。サーバレスアプリケーションがクラウドストレージサービスへの読み書きの権限を持っている場合、この攻撃により、アプリケーションの権限確認だけでなく、クラウドストレージサービスのデータをダンプまたは変更する機能を持つコマンドラインインターフェース(CLI)ツールのアップロードも可能となります。
どちらのケースも、重要なのはトークンを発行したサービスとユーザによる他のサービスへの権限の範囲です。範囲が限定されていれば、他のサービスへのアクセスは困難になります。
クラウドネイティブ環境へのゼロトラストセキュリティ導入
上述のとおり、従来のセキュリティモデルはクラウドにおける動的で分散した特性に対応しきれない傾向があります。しかし、以下のような戦略を用いることで、企業や組織はクラウド環境にゼロトラストセキュリティを効果的に導入できます。
強固なアイデンティティ基盤から始める
ゼロトラストセキュリティを実装する第一歩として、身元認証に関する強固な基盤の構築が不可欠です。そのためには、企業や組織は、多要素認証のような堅牢な身元確認プロセスの確立が重要となります。そしてロールベースのアクセス制御(RBAC)を適切に利用し、ユーザの役割と責任に基づいて権限を割り当てることも考慮すべきでしょう。特定のプロジェクトにおいて、ページ、フォーム、APIを通じて異なるレベルのアクセスを提供する場合、これらのアクセスも安全で制限されるように設計する必要があります。さらに割り当てられた権限とアクセスレベルは定期的に見直し、更新することも不可欠です。
プロジェクトのライフサイクルの各段階で、このレベルの詳細な実装が必要です。そしてこの場合、CSP内の全てのチームメンバーに細かいアクセス権を提供することから始めるべきです。実際、2023年初め、トレンドマイクロでは、開発者を標的にサプライチェーン攻撃の事例を報告しました。
以前にも、不適切に保存された認証情報をサイバー犯罪者が狙う可能性について説明しました。機密情報が誤って漏えいした場合、身元認証規則の導入とその他のセキュリティ最良の慣行を組み合わせることで攻撃の影響範囲を限定できます。これにより、ユーザがリソースの一部にしかアクセスできなくなり、水平移動・内部活動を阻止することができます。
機密データの保護に暗号化を使用する
企業や組織にとって、機密データを保護するための暗号化の使用は重要であり、休止状態及び転送中の機密データが暗号化されていることを確実にする必要があります。データの機密度のレベルに適した暗号化アルゴリズムを用い、暗号化ポリシーは定期的に見直し、更新してその効果を保持すべきです。全てのタイプのデータは、それぞれの機密度レベルに応じて評価され、機密データは全て暗号化されるべきです。
ネットワークトラフィックとユーザ活動の監視
XDRのような技術は、ネットワークトラフィックやユーザ活動の監視において企業や組織を支援します。これらのツールはセキュリティチームが異常や潜在的な脅威を探し出し、疑わしい活動を迅速に調査するのを助けます。こうした作業は、クラウドネイティブなプロジェクトを扱う場合や、ログが容易にアクセスできないクラウドサービスを使用する場合に特に重要となります。プロジェクトの開発に着手する前に、企業や組織は全てのログ記録と監視作業を完璧に管理し、機密情報の漏えいを防ぐことが必要といえます。
ネットワークトラフィックに関しては、長期間に渡り発生し企業の財務に直接的な影響を与え得る攻撃に注目することが大切です。トレンドマイクロが発見し観察してきた数々の攻撃グループは、特にクラウドやクラウドネイティブ環境を狙っています。彼らは対象の一度弱点を見つけた場合、攻撃の巧妙さや目的にかかわらず、何も得ずに活動を諦めることはありません。
これらの攻撃の多くは、以下の手順に従って行われていることが確認されています:
- 公開されているサービスの特定
- 誤設定や脆弱性などの弱点の特定
- 特定された弱点の悪用
- システムによっては、暗号通貨マイニングのための悪意のあるプロセスやコンテナの開始
- さらなる探索や悪用
ネットワークを密接に監視することで、これらの不正活動を特定し、警告を生成することが可能です。特に、暗号資産マイニングにおいてマイナーたちが利用する通信規約や、共同でマイニングを行うためのネットワーク集団は広く知られています。現在のマイニングには大量のリソースが必要なため、大きな財務的損失を避けるためには迅速な対応が重要です。
また、企業や組織は業界全体で認められたベストプラクティスに従うべきです。これには、MITRE ATT&CKフレームワークへの登録が含まれます。これは、世界中の誰もがアクセスでき、セキュリティに関するガイドや情報を提供する包括的な知識のデータベースです。
クラウドネイティブ環境でのネットワークセグメンテーションの実装
クラウドネイティブ環境でネットワークセグメンテーションを実装するための効果的な方法は、以下のとおりとなります。
仮想プライベートクラウド(VPC)とサブネット
ほとんどのクラウドサービスプロバイダー(CSP)は、クラウド内で仮想ネットワークを作成できるVPCサービスを提供しています。VPC内で、組織はサブネットを作成し、ネットワークアクセス制御リスト(ACL)とセキュリティグループを使用してサブネット間のトラフィックを制御できます。例えば、企業や組織は1つのサブネットをWebアプリケーションサーバー用、別のサブネットをデータベースサーバー用に保持することが可能です。そして2つのサブネット間のトラフィックを必要最低限に制限することができます。
マイクロセグメンテーション
マイクロセグメンテーションは、個々のワークロードやアプリケーションレベルまでネットワークセグメンテーションを行う方法です。このセキュリティ技術は、企業や組織にネットワークトラフィックおよびアクセスを適切に制御する機能を提供します。例えば、マイクロセグメンテーションを使用して、異なる機密レベルを持つ2つの特定のワークロード間のトラフィックの停止などが可能です。
クラウドネイティブ環境でのネットワークセグメンテーションの実装には、困難が伴う場合がある点にも留意が必要です。企業や組織でサーバレス機能を使用するアプリケーションが保持されている場合、ネットワークセグメンテーションを実装に際して、サーバレスアプリケーションのパフォーマンスに悪影響を与えることなく行うのは困難といえます。残念ながら、攻撃者はサーバレス機能を侵入経路として使用してクラウドアカウントにアクセスし、ネットワークを横断して機密データにアクセスする可能性があります。このタイプの攻撃を防ぐために、企業や組織は、サーバレス機能を独自のVPCに配置し、VPCへの必要なトラフィックのみを許可することでネットワークセグメンテーションが実装できます。そしてVPC、Kubernetesネットワークポリシー、マイクロセグメンテーションなどの複数の技術を組み合わせて使用することが推奨されます。
結論とセキュリティ推奨事項
クラウド環境は、スケーラビリティ、柔軟性、コスト削減など多くの利点を提供します。しかし、これらはサイバー脅威から守るために特有のセキュリティ課題にも対応する必要があります。
クラウドネイティブのセキュリティ脅威に伴うリスクを軽減するため、クラウドセキュリティの全側面を取り入れた包括的な戦略を採用することが重要です。この戦略には、ゼロトラストセキュリティの導入、クラウドネイティブのセキュリティツールの利用、アクセスセキュリティの強化、ネットワークセグメントの実施が含まれるべきです。
さらに、脆弱性だけがクラウドネイティブ環境でのセキュリティ問題ではないことも認識すべきです。クラウド環境は、フィッシング、ソーシャルエンジニアリング、設定ミス、情報漏えいなど、他の種類の攻撃やリスクにも弱い傾向があります。従って、企業や組織は、あらゆるタイプの脅威や潜在的な弱点に対応するセキュリティ対策を整備することが極めて重要となります。
最終的に、クラウドセキュリティは「責任共有モデル」である点を理解することが不可欠です。クラウドサービスプロバイダー(CSP)は基盤インフラのセキュリティを担当し、顧客は自分たちのリソースとデータのセキュリティを確保する責任があります。企業や組織は、自分たちが責任を持つ運用タスクを安全に行うために必要な対策を深く理解することが大切です。
これらのベストプラクティスに従い、包括的なクラウドセキュリティ対策を採用することで、企業や組織はクラウドネイティブ環境の強化とサイバー脅威へのレジリエンスを高めることができます。
Trend Micro Apex One™ ソリューションは、単一のエージェント内で脅威の検出、対応、および調査を提供します。自動化された脅威検出と対応は、ファイルレスやランサムウェアを含む、常に増加する脅威からの保護を提供します。高度なエンドポイント検出と対応(EDR)ツールセット、強力なセキュリティ情報とイベント管理(SIEM)の統合、およびオープンなアプリケーションプログラミングインターフェース(API)セットは、実用的な洞察、拡張された調査機能、およびネットワーク全体での集中的な可視性を提供します。
Trend Micro Cloud One™ - Endpoint SecurityおよびWorkload Securityは、一元化された可視性、管理、およびロールベースのアクセス制御を通じて、エンドポイント、サーバ、およびクラウドワークロードを保護します。これらのサービスは、多様なエンドポイントおよびクラウド環境に最適化された専門的なセキュリティを提供し、複数のポイントソリューションのコストと複雑さを排除します。一方、Trend Micro Cloud One™ - Network Securityは、従来の侵入防止システム(IPS)の機能を超え、仮想パッチとポストコンプロマイズ検出と妨害を含む、強力なハイブリッドクラウドセキュリティプラットフォームの一部として提供されます。
参考記事:
Securing Cloud-Native Environments with Zero Trust: Real-World Attack Cases
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)