IaCセキュリティでは「予防は治療に勝る」と言われています。

facebookで共有
twitterで共有
linkedinで共有
emailで共有
printで共有
whatsappで共有

予防は治療に勝る」という言葉は、約500年前にオランダの哲学者デシデリウス・エラスムスが残したもので、現在では現代の医療を支える基本原則となっています。私たちは最近、予期せぬ出来事が甚大な被害をもたらし、その被害を最小限にとどめ、感染症を治癒するために、多大な費用をかけてあらゆる資源を使わなければならないことを経験しました。後になって、根本的な原因に焦点を当て、二度とこのようなことが起こらないようにすることができます。

クラウドセキュリティにも類似点が見られます。クラウドには多くのメリットがあるため、一斉に移行が行われてきましたが、前述の出来事の後、新しい労働条件や、遠隔地や自宅で仕事をする必要性が出てきたことで、その流れは加速しています。しかし、このような状況ではセキュリティが見落とされがちで、設定ミスや脆弱性が生じ、ますます巧妙化するセキュリティ脅威にさらされる可能性があります。セキュリティ侵害の平均コストは数百万ドルに上るため、多くの企業は、クラウド・インフラを保護し、被害を未然に防ぐための洞察力と可視性を提供するクラウド・セキュリティ・プラットフォームに注目しています。

しかし、今のクラウドセキュリティでは、一歩下がって、正確には左に曲がる必要があります。

IaC(Infrastructure as Code)は、クラウド上のインフラの管理とプロビジョニングを容易にし、導入プロセスを自動化するために、企業が最も広く採用している技術です。新しいテクノロジーであるIaCは急速に進化しており、それは企業がIaCを採用するペースに匹敵します。

IaCのインフラ整備は、その手軽さとスピード感が人気の理由の一つですが、それは諸刃の剣でもあります。その速さと手軽さは、ミスを犯す可能性を高めます。More haste, less speed(急がば回れ)」という言葉がありますが、クラウドは変化の激しい環境であり、IaCがもたらす絶え間ない変化に、セキュリティの専門家は対応に苦慮しています。

このような課題があるため、IaCには数多くのエラー、脆弱性、誤設定が含まれている可能性があり、今日の複雑なセキュリティ脅威が組織のクラウド環境を暴露する格好の材料となってしまいます。例えば、最近行われたIaCテンプレートの分析では、200,000個のファイルに安全でない設定オプションが含まれていたこと、43%のデータウェアハウスが暗号化されていなかったこと、65%のクラウドストレージサービスでログが有効になっていなかったことが判明しました。

現在、インフラの誤設定を IaC レベルで防ぐことが急務となっています。企業は、シフト・レフトのセキュリティを優先する必要があります。つまり、構築プロセスの最も早い段階でセキュリティとコンプライアンスの脆弱性を発見し、配備前にIaCテンプレートを安全に保つ必要があります。

その主な要件は、継続的なセキュリティ評価と監視の必要性であり、そもそも悪いインフラが実際に作られるのを防ぐことです。また、コーディングスタンダードの維持、コンプライアンスの評価と遵守などの分野も含まれます。

ちなみに、ほとんどの企業のセキュリティ管理者は、クラウドから発生する25,000件以上のセキュリティ・アラートの数に悩まされています。これらのアラートの中には、リスクとなるものもあれば、クラウド・コンプライアンスのベストプラクティスとなるものもあり、クラウド・アカウントの増加、マルチクラウド化など、企業がクラウドでの活動を拡大するにつれて、セキュリティ・アラートの数は増加していきます。リスクの優先順位をつけることで、リスクの高いアラートを特定することができますが、25,000件以上のオープンなアラートに毎日対応したいと思う人はいないでしょう。

この問題を解決するための最善かつ最も効果的な方法は、ライブのクラウド・インフラストラクチャに適用されるのと同じ一連のコントロールを、IaCテンプレートに適用することです。この一手間で、本番環境やライブのクラウド環境に届くセキュリティ・アラートの数を大幅に減らすことができます。

そのため、従来のセキュリティ・ツールやプロセスでは、IaC領域の複雑な課題に対応する能力が不足していると言えるでしょう。IaCのセキュリティを成功させるためには、セキュリティツールが情報を提供し、ガイドし、簡素化する必要があります。どのようなソリューションであっても、問題の原因を調査し、IaCの脆弱性を修復する方法を開発者に提案する一方で、開発者の作業を妨げることなく、すべてのセキュリティチームが必要とするガードレールの役割を果たす必要があります。

これらの原則に従った効果的なIaCセキュリティソリューションは、構築プロセスの初期段階でセキュリティやコンプライアンスに関する懸念を検出し、欠陥のあるインフラの構築を防ぐことができます。これにより、クラウド・インフラは導入時には十分な性能を発揮し、初期段階で健康を回復させる必要はありません。

関連記事

C3Mプレイブック

Playbookは、C3M Cloud Control PlatformにSecurity Orchestration Automation and Response (SOAR)の機能をもたらします。

Read More "