IaaSの設定を監視して潜在的リスクを可視化/スコア化、コンプライアンス診断やストレージ保護も
マルチクラウド環境を“設定ミス”の脅威から救うパロアルト「Evident」
2018年10月30日 07時00分更新
パロアルトネットワークスが2018年9月から国内提供を開始した「Evident(エビデント)」。同社 クラウドセキュリティスペシャリストの泉篤彦氏は、これは「パブリッククラウド特有の脅威」に対応するセキュリティツールだと説明する。一体どんなツールなのか、泉氏の講演およびインタビューの言葉も交えながら紹介しよう。
「設定ミス」や「設定漏れ」が大きなリスクを引き起こすパブリッククラウド
SaaSとして提供されているEvidentは、パブリッククラウド(IaaS)の設定内容を常時監視し、管理者の設定ミスなどに伴う潜在的なセキュリティリスクをリアルタイムに検出/可視化/通知するツールだ。2018年3月に買収したEvident.io社のソリューションを、パロアルトの製品ポートフォリオに統合したものとなる。
泉氏は、Evidentのような新たなタイプのセキュリティツールが必要となる背景には「パブリッククラウド特有の脅威」があると語る。それは、クラウド環境に不慣れな管理者やエンジニアが引き起こす「設定ミス」や「設定漏れ」によって、セキュリティレベルが本来のそれよりも大きく低下してしまうような事態だ。
最もわかりやすい例が、Amazon S3などのクラウドストレージ(バケット)に対するアクセス権限の設定ミスだろう。個人情報や機密情報を保存しているにもかかわらず、URLさえわかれば誰でもアクセス可能な状態でWebに公開してしまうという事故は後を絶たない。泉氏は、1400万人の顧客情報を公開していたベライゾン、400万人の個人情報を公開していたダウ・ジョーンズ、180万人の有権者情報を公開していたシカゴ選挙管理委員会の例を挙げてそう説明する。
たとえばここで開発チームと運用チームが異なったり、社内の複数部門が個別にクラウドサービスを契約/運用していたりすると、上述したような事故はさらに起こりやすくなる。実際に、アプリケーションの開発段階では適切な設定がなされていたにもかかわらず、運用段階に入ってポリシーをよく理解していない管理者に代わり、誤った設定をしてしまうようなケースはよくあると泉氏は語る。
認証にまつわる不備もよくあるケースだ。たとえば認証キー情報を誤ってアプリケーションにハードコードしてしまい、さらにそれをGitHubで公開してしまって不正アクセスが発生する、といったケースもあるという。
「こうした失敗は、ファイアウォールなど従来型のセキュリティ製品では対応できない。しかし、パブリッククラウドが備えるすべての設定項目を理解し、設定するというのは至難の業。さらに多数の部門が個別に契約、運用しているような会社では、ポリシーの統一も難しい。そこでEvidentが必要になる」(泉氏)
IaaSの設定内容を監視、リスクを検出/スコア化するEvident
前述したとおり、EvidentはIaaSの設定内容を監視し、リスクのあるものを検出/可視化/通知してくれるツールだ。現在はAmazon Web Services(AWS)とMicrosoft Azureに、さらに今後(2019年)はGoogle Cloud Platform(GCP)に対応するマルチクラウド環境対応のツールであり、API経由で各IaaSの情報を収集する仕組みなので、IaaS側にエージェントをインストールする必要はない。
Evidentでは検出したセキュリティリスクを、クラウドサービスごと/リージョンごと/契約担当者ごとに分類し、さらには機械学習に基づいて高/中/低の「危険度レベル」別にも分類してダッシュボード表示する。さらに、個々のリスクを解消するにはどうすればよいか、その作業手順も具体的に示してくれるほか、外部ワークフローツールと連携し、リスク検知の通知をトリガーとして自動的に修復ワークフローをスタートさせることもできる。
加えて、GDPR、SOC2、NIST、PCIなどのセキュリティ基準(コンプライアンスポリシー)によるスコアリングや準拠状況レポートの作成機能も備えており、コンプライアンス対応にも役立つ。
泉氏は、Evidentがメリットをもたらすユースケースをいくつか挙げた。たとえば、パブリッククラウドの契約は社内各部門の裁量に任せつつ、IT部門やセキュリティ部門がきちんとガバナンスを効かせ、統一ポリシーを適用したい場合にEvidentは役立つ。またセキュリティ人材の確保が難しくなっているなかで、数少ない人材の業務負担軽減のために、設定やコンプライアンスの自動チェックができるEvidentを適用する、といったユースケースもある。
そのほか、DevOpsチームへの導入による開発/リリースの作業効率化や継続的なインフラセキュリティの実現、金融業界などにおける規制への対応といったことも、Evidentがサポートできる。
多部門でIaaS導入している場合のポリシー統一や管理負荷削減に
泉氏によれば、Evidentは日本でもすでにアーリーアダプター企業での導入が始まっているという。
「AWSを全社的に導入されている顧客は、Evidentの話をすると『たしかにそういうツールも必要だ』と興味を持っていただける。部門ごとに契約しているため全社で100、150の契約になっているような顧客もあり、部門担当者のスキルはばらばら、しかしIT管理者が設定を1つ1つチェックすることはできないのが実情だからだ。Evidentを導入すれば、統一した基準でスコアを見ることができる。もうひとつ、AWSとAzureを組み合わせて使っている顧客は、両者の異なるネイティブセキュリティ機能を“束ねる”にはどうすればいいか、という視点でEvidentに関心を持っていただける」(泉氏)
泉氏は、各パブリッククラウドはそれぞれ独自のセキュリティ機能(ネイティブセキュリティ)を備えており、Evidentが提供する機能とも一部では重なるが、むしろ「見る角度が違う」ツールであり、「ネイティブセキュリティもきちんと使ったうえで、Evidentがそれをカバーする」役割だと説明した。
また欧州におけるGDPR施行の影響から、金融機関や公共機関の顧客もEvidentに積極的な関心を向けているという。規制対応のテンプレートを用意しており、その準拠度合いを数字で測ることができるからだ。
* * *
なおパロアルトでは、Evidentのほかにもクラウド/仮想化環境対応のファイアウォール「VMシリーズ」、Linuxサーバーなどのエンドポイント防御製品「Traps」、そしてSaaS向けのセキュリティ監査ツール「Aperture」といったクラウドセキュリティ製品群をラインアップしている。泉氏は、今後の同社クラウドセキュリティ製品は、最低でもAWS、Azure、GCPの3つに対応するマルチクラウド戦略をとっていくと述べた。
さらに、こうした製品群はすべて“センサー”となり、その情報をクラウド上のロギングサービスに集約して、機械学習技術の適用によるアノマリ検知、さらにはサードパーティセキュリティ製品にもデータ提供を行っていく。これが、パロアルトが将来に向け掲げているApplication Frameworkビジョンだ。
「これまではオンプレミスの『PAシリーズ』で顧客環境を守ってきたが、クラウド移行が進むなかで、パロアルトもクラウドへのキャッチアップを進めている。『クラウドセキュリティと言えばパロアルト』と覚えていただければ」(泉氏)