このページの本文へ

パロアルトネットワークスが考える「マルチクラウド時代に必要なセキュリティ対策」第3回

多数のクラウド契約、DevOps環境やコンプライアンス/監査対応などで役立つ機能

パロアルトネットワークス「RedLock」が活躍するさまざまなユースケース

2019年01月17日 08時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 パロアルトネットワークスが提供を開始した、マルチクラウド対応のセキュリティツール「RedLock」。前回記事ではRedLockの基本機能を紹介したが、今回はさらに一歩進んだユースケースやメリット、そこで役立つ高度な機能について紹介する。そして、このRedLockを含む多数のセキュリティポートフォリオの提供を通じて、パロアルトネットワークスがどのようなクラウドセキュリティを実現しようとしているのか、その戦略にも触れておきたい。

IT/セキュリティ管理者 クラウドの包括監視を実現

 現在の企業では徐々に「マルチクラウド化」が進行しつつあるが、それだけでなく、パブリッククラウドサービスの契約/管理主体がIT部門だけでなく、開発部門や業務部門にも拡大する動きがある。つまり、マルチクラウド化と同時に“マルチアカウント化”も進んでいるわけだ。大規模な企業になると、1社で数十~数百のクラウド契約を結んでいるようなケースもあるという。

 クラウドの管理者が各部門に分散すれば、それぞれの部門ニーズに応じて柔軟なクラウド利用ができるようになる。しかしその一方で、IT部門やセキュリティ管理者からそれぞれの利用状況が見えなくなるという問題も生じる。仮に全社的な「クラウド利用ルール」や「セキュリティポリシー」を定めても、それがきちんと守られる保証はなく、やがては全体のコントロールやガバナンスが効かなくなることは間違いない。

 こうした環境にRedLockを導入すれば、各部門に自由な利用や設定変更の権限を与えつつ、IT部門/セキュリティ管理者がその全体を監視し、ガバナンスを効かせられるマルチクラウド環境が実現する。社内で多数のクラウド契約がなされていても、IT部門やセキュリティ管理者はダッシュボードを見るだけで全体の使用状況を監視できる。

社内多部門でのパブリッククラウド利用にガバナンスを効かせる

 ちなみに、このダッシュボードでは「契約アカウントごと」の集計表示もできるようになっている。RedLockは機械学習に基づいて「不審なふるまい」を検出するので、不審なふるまいが多発しているアカウントは「乗っ取り攻撃に遭っている可能性がある」ものとして、即座に発見できるだろう。また、ポリシー違反の頻度が高い社内アカウントを見つけて、助言や指導を与えることもできる。

 なおRedLockは、クラウドベンダーが提供するAPI経由でセキュリティ関連データの取得を行う仕組みであり、監視対象とするクラウドサービスの登録は簡単だ。たとえばAWSであれば、AWSが提供するクロスアカウントアクセス機能を利用してRedLock用にロールを作成し、AWSのアカウントID、外部ID(External ID)、Role ARNの3項目をRedLockの管理画面で登録すればよい。エージェントをインストールしたり、クラウドの管理者アカウントを追加作成したりする必要はない。

DevOps環境でもメリット 複数管理者の差を埋める

 ビジネスのデジタルトランスフォーメーションに対応するべく、DevOpsの取り組みを進める企業も増えている。このDevOpsの基盤として、パブリッククラウドが採用されるケースは多い。そして、ここでもRedLock導入のメリットがある。

 DevOpsの場合、通常は開発環境を開発部門が、本番環境をIT部門が運用管理するといった役割分担がなされる。そうなると、クラウドスキルの異なる複数のクラウド管理者が関わることになり、セキュリティリスク発生の原因にもなる。

 たとえば、本番環境から個人情報を含むデータベースを開発/テスト用にコピーして渡すと、開発部門のクラウド管理者がうっかり「公開」設定にしてしまうかもしれない。その反対に、開発環境では適切に制限されていたアクセス権限を、本番環境でインターネット公開する際に設定ミスしてしまうかもしれない。属人的な仕組みでセキュリティ設定を行っている以上は、さまざまなリスクが避けられないとも言える。

 RedLockを導入すれば、開発環境から本番環境まで継続的にセキュリティ状況を監視し、一貫したセキュリティポリシーを適用することができる。クラウド設定の変更ログも一括検索できるので、短期間に変更が繰り返されるDevOps環境であっても、「誰が」「いつ」「どのような」設定変更や操作を行ったかという原因調査も簡単だ。

コンプライアンス/監査対応の テンプレートやレポート生成機能も

 SOCにおけるセキュリティ監視や、コンプライアンス遵守/監査対応においてもRedLockは活躍する。

 SOCにおいては、デフォルトで用意されている検知ルールだけでなく、自社独自のルールを作成して適用することができる。「リスク度」も変更できるので、自社のポリシーに照らして問題のないものについてはリスク度を下げ、無駄なアラートを抑えることが可能だ。

 またメールやSlack、ダッシュボードなどを通じてアラートを受け取るだけでなく、自社で導入しているワークフローツールと連携させ、問題修正のワークフローを自動的に登録/スタートさせることも可能だ。セキュリティリスクやインシデントが発生したあとの初動を早めることができるだろう。

 コンプライアンス要件への対応と準拠のチェック、監査対応にも役立つ。RedLockではNIST、PCI、HIPAAなど、主要なセキュリティ標準のテンプレートを備えており、これらのコンプライアンス要件は各クラウドの設定項目とひもづけられている。これにより「どのクラウドで」「どの設定項目を」修正すればよいのかが一目でわかる仕組みとなっており、問題修正のために実行すべきコマンドまで表示される。

 さらに、監査対応などに便利なコンプライアンスレポート機能も用意されている。自社のコンプライアンス対応状況をまとめたレポートがワンクリックでPDF出力できるので、管理者があらためて手作業でレポートをまとめたりする必要はない。

マルチクラウド時代に向けて パロアルトネットワークスが考えること

 本連載で取り上げたRedLock以外にも、パロアルトネットワークスではパブリッククラウドのセキュリティを高めるさまざまな製品/サービスをラインアップしている。最後にそれらを概観しつつ、同社が考える「マルチクラウド時代のセキュリティ」の方向性について確認しておこう。

クラウドインフラ(IaaS/PaaS)に対する包括的な保護手段を提供

 まずは、オンプレミス環境でも高い採用実績を持つファイアウォールの仮想アプライアンス版「VM-Series」だ。マルチクラウド環境(AWS、Azure、GCP)に対応するVM-Seriesは、クラウドのゲートウェイに配置することで、高度な入口/出口対策を行う。さらに、プライベートネットワーク内にも配置すれば、ホスト間トラフィック(East-Westトラフィック)を監視して内部侵入した脅威の“横展開”を防ぐ、マイクロセグメンテーションも実現する。

 次に、ホストベースのセキュリティソフトウェア「Traps」がある。Trapsでは、Linux/Windowsサーバー上で稼働する軽量なエージェントが、“ゼロデイ攻撃”を含むエクスプロイトやマルウェアの実行を阻止する製品だ。

 もうひとつ、SaaS向けセキュリティとして「Aperture」も提供している。「Office 365」「G Suite」「Box」などの各種SaaSや、AWS、Azure、GCPなどのIaaSに対応し、API経由でそこに保存されているコンテンツ(ファイル)の検査を行うセキュリティサービスだ。マルウェアの検出だけでなく、機密情報(個人情報やクレジットカード情報)を含むファイルを抽出し、アラートやデータ公開設定の自動修正を行う。

 このように、パロアルトネットワークスでは顧客企業が複数のクラウドサービス=マルチクラウド環境を活用することを前提として、それを保護する製品/サービスラインアップを今後も拡充していく。オンプレミス/プライベートクラウド環境も含め、すべての環境をシンプルに一元管理し、包括的な保護を提供していくことが最終的なゴールだ。

 その実現に向けて、パロアルトネットワークスでは「Palo Alto Networks Security Operating Platform」というクラウド提供型の統合プラットフォームをビジョンに掲げ、各製品をこのプラットフォームに統合していく動きを始めている。このプラットフォームはオンプレミス/プライベートクラウド/パブリッククラウドの各製品が収集した大量のデータをLogging Serviceに集約/蓄積し、その分析で得られる最新の脅威情報を、プラットフォーム上で稼働するさまざまなセキュリティアプリケーション(サードパーティ製品を含む)に提供する。最新データの共有とアプリケーション間の高度な連携を実現することで、次々に現れる新たな脅威への対抗力を高めていく狙いがある。

 クラウド活用から「マルチクラウドの活用」へと時代が一歩進んだことで、求められるセキュリティ機能も変化しつつある。本連載で見てきたとおり、パロアルトネットワークスではそうした変化を見据え、今後もマルチクラウド/ハイブリッドクラウド環境への対応を強化していく。それによりクラウドセキュリティが簡単、かつ安心できるものになることで、企業におけるクラウド活用はさらに高度な段階へと進むことになるだろう。

(提供:パロアルトネットワークス お問い合わせ:InfoJapan@paloaltonetworks.com )

カテゴリートップへ

この特集の記事
ピックアップ