「大いなる力には大いなる責任が伴う」という言葉を聞いたことがあるでしょう。「ピーター・パーカーの原則」とも呼ばれるこのフレーズは、主にスパイダーマンの漫画や映画が主人公であるため、大衆文化でよく知られるようになりました。このフレーズは今日非常によく知られているため、実際にはウィキペディアに独自の記事があります。フレーズの要点は、あなたがより良い方向に変化を起こす権限を与えられているなら、あなたにはそうする道徳的義務があるということです。
ただし、クラウドセキュリティー、特にIaaS(Infrastructure as a Service)のセキュリティーについてお客様と話しているときに気付いたのは、「ジョン・マクレーンの原則」と呼んでいる現象です。名前は無実の人々を保護するために変更されました。 🙂
ジョン・マクレーンの原則は、誰かが何かを修正する責任を与えられているが、同時に必要な変更を加える権限がない場合に発生します。一見、このシナリオはばかげているように聞こえるかもしれませんが、多くのセキュリティーチームがこの問題に共感できるに違いありません。会話は次のようになります。
CEO:クラウドの利用が安全であることを確認する必要がある。次の[XXX(最新のセキュリティーインシデント)]の被害者にならないようにしなければ。
セキュリティー担当者:はい、私はクラウドをどのように使用しているかを見てきましたが、問題の大部分はプロセスと知識の不足に起因しています。クラウドで独自のことをしているチームがたくさんありますが、私は彼らが何をしているのかを完全に把握することはできません。
CEO:そうか、では対応をお願いしたい。
セキュリティー担当者:問題は、これらのチームについて何も言えないことです。彼らはやりたいことが何でもできます。問題を解決するためには、彼らはクラウドの使用方法を変更することになります。私たちは彼らのマネージャーから賛同を得る必要がありますが、マネージャーは、業務が優先なので、何も変更することに興味がないのです。
CEO:きっと君はそれを解決できるだろう。幸運を祈る。頼んだよ。(侵害は起きないね。)
そのとき、「力がなければ、より多くの責任を伴う」状態が真実になります。
なぜかというと、その理由は、IaaSによってITの消費方法が根本的に変化し、それに伴ってセキュリティーの拡張方法も変化したためです。購入リクエストを送信したり、インフラストラクチャーリソースを起動するための長いプロセスに長時間を費やす必要はなくなりました。いまやクレジットカードを持っている人なら誰でも、世界中で数分以内にデータセンターに相当するものを起動できます。
もはや、その敏捷性により、拡張が行なわれ、セキュリティー担当者の意図しない変更が加えられる可能性もあり、クラウドセキュリティーをひとつのチームの単独の責任にすることはできなくなっています。むしろ、クラウドセキュリティーはプロセスに組み込まれている必要があり、開発、アーキテクト、および運用の間のコラボレーションに依存します。つまり、セキュリティー担当者のチームは現在、クラウドセキュリティーで果たすべきより重要な役割を担っており、多くの場合、セキュリティーを強化するために変更を実装できるのはセキュリティー担当者のチームだけです。ゲートキーパーではなくすべてのチームが同じ安全なペースで進んでいることを確認するプロセスの一員として機能しなければなりません。
ただし、ジョン・マクレーンが言うように、クラウドセキュリティーを管理するチームが増えるという事実は、必ずしもより良いソリューションがあることを意味するわけではありません。実際、優先順位の異なる複数のチーム間で調整する必要があると、セキュリティーがさらに複雑になり、速度が低下する可能性があります。したがって、開発者、アーキテクト、情報セキュリティー担当者間のコラボレーションを促進すると同時に、ガードレールを提供する合理化されたセキュリティーソリューションが必要となります。
このようなソリューションが求められるなか、クラウドへのアプリケーションの移行や開発を行なうお客様向けに特別に構築された新しいクラウドセキュリティーサービスを発表できることを嬉しく思います。これを「MVISION Cloud Native Application Protection Platform」、略してCNAPPと呼びます。
CNAPPは、クラウドセキュリティーポスチャマネジメント(CSPM)、クラウドワークロード保護プラットフォーム(CWPP)、データ損失防止(DLP)、およびアプリケーション保護のソリューションをひとつのソリューションに組み合わせた、発表したばかりの新しいセキュリティーサービスです。現在ベータ版で、2021年第1四半期のリリースを予定しており、セキュリティー担当チームにクラウドネイティブアプリケーションの幅広い可視性を提供します。私たちにとっての目標は、すべてが安全であることを確認するために、速度を落とすことではもちろんありません。セキュリティー担当チームがクラウドセキュリティーに必要な可視性とコンテキストを有効にし、開発チームが迅速に開発を進めるためにはどうすればよいのか、ということがターゲットでした。
CNAPPの機能について簡単に説明し、お客様のお気に入りの機能をいくつか挙げます。
CSPM
今日のIaaSの違反の大部分は、サービスの設定ミスが原因です。ガートナーが2016年に「クラウドセキュリティー障害の95%は顧客の責任である」と伝えたことは有名です。ちょうど昨年、ガートナーはその引用を更新して「クラウドセキュリティー障害の99%は顧客の責任である」と述べました。筆者はガートナーが「105%はお客様の責任です」と言う日を待っています。
なぜパーセンテージがそんなに高いのでしょうか。理由は複数ありますが、新しいサービスや機能が加わった際の管理についての知識が非常に不足しているとお客様から多く耳にしています。各クラウドプロバイダーは、採用を妨げるものがなく、目まぐるしいペースで新しいサービスと機能をリリースしています。残念ながら、担当者人材は、これらの新しいサービスと機能を構成するための最良の方法を知り、理解している労働力を持つペースが間に合っていません。CNAPPは、すべてのクラウドサービスを即座に監査し、CIS Foundations、PCI、HIPPA、NISTなどのベストセキュリティープラクティスおよび業界標準に対してそれらのサービスをベンチマークする機能をお客様に提供します。
その監査(セキュリティーインシデントと呼びます)内で、CNAPPは、セキュリティーを向上させるためにサービスを再構成する方法に関する詳細情報を提供しますが、サービスは、セキュリティーインシデントをSLAを持つ開発チームに割り当てる機能も提供するため、誰が何を所有しているかについて曖昧さはありません。そして何を変える必要があるか。これらのワークフローはすべて自動化できるため、複数のチームがほぼリアルタイムで問題を見つけて修正することができます。
さらに、CNAPPには、お客様が環境に固有の危険な構成ミスを特定するためのポリシーを作成できるカスタムポリシー機能と、セキュリティー基準を満たしていない展開に関するフィードバックを提供するJenkins、Bitbucket、GitHubなどの開発者ツールとの統合があります。
CWPP
IaaSプラットフォームは、Linux(OS)、Docker(コンテナー)、Kubernetes(オーケストレーション)などのオープンソースソフトウェア(OSS)の触媒になっています。これらのツールを使用する際の課題は、ソフトウェアライブラリーに見られるCommon Vulnerabilities and Exposures(CVE)の継承リスクと、新しいサービスの展開における設定ミスです。ガートナーによるもうひとつの有名な引用は、「コンテナに対する攻撃の70%は、修正された可能性のある既知の脆弱性と設定ミスによるものである」というものです。しかし、セキュリティーチームは、特に複数の開発者チームが頻繁なリリースをCI/CDパイプラインにプッシュしている一時的な環境で、これらの脆弱性と構成の誤りをどのようにすばやく見つけられるでしょうか。
昨年のNanoSecの買収に基づいて、CNAPPは、IaaSで実行されているすべてのコンピューティングインスタンス、コンテナー、およびコンテナーサービスを識別し、重要なCVE、リポジトリと本番コンテナーサービスの両方の構成ミスを識別し、いくつかの新しい保護機能を導入することにより、完全なワークロード保護を提供します。これらの機能には、アプリケーション許可リスト、OS強化、ファイル整合性監視が含まれ、ナノセグメンテーションとオンプレミスサポートを間もなく導入する予定です。
ユースケース
CNAPPをリリースするために、お客様と共同で試用を行ない素晴らしい結果を得ることができました。お客様にとって大きな影響を与える革新的なソリューションであることをお伝えできるいくつかのユースケースをお伝えしたいと思います。
テナント内DLPスキャン:お客様の多くは、公開されているクラウドストレージサービス(バケットと呼ばれることもあります)の正当なユースケースを持っていますが、同時に、それらのバケットに機密データがないことを確認する必要があります。これらのサービスにDLPを使用する際の課題は、市場で入手可能な多くのソリューションがデータをベンダー独自の環境にコピーすることです。これにより、出口料金で顧客のコストが増加し、データ転送にセキュリティー上の課題が発生します。CNAPPを使用すると、データがIaaS環境を離れることのないテナント内DLPスキャンを実行できるため、プロセスの安全性とコストが削減されます。
クラウド向けMITREATT&CKフレームワーク:セキュリティーオペレーションセンター(SOC)の言語はMITREですが、クラウドセキュリティーインシデントがこのフレームワークにどのように適合するかには多くのニュアンスがあります。CNAPPを使用して、すべてのCSPMおよびCWPPセキュリティーインシデントをMITREにマッピングするエンドツーエンドのプロセスを構築しました。セキュリティーチームと開発者チームは、MITREに対するすべてのクラウドインシデントを自動的に分類し、より迅速な対応とより良いコラボレーションを促進することで、より効果的に連携できるようになりました。
統合アプリケーションセキュリティー:CNAPPは、クラウドアクセスセキュリティーブローカー(CASB)のガートナーマジッククアドラントリーダーであるMVISIONクラウドサービスと同じプラットフォーム上に構築されています。お客様は、同じソリューションを使用してIaaSで構築しているアプリケーションとともに、SaaSアプリケーションの詳細な可視性とセキュリティー制御を取得できるようになりました。また、お客様は、すべてのチームにわたるアプリケーションリスクの全体像を提供するひとつのコンソール(消費者向けのSaaSとビルダー向けのIaaS)が利用できることを気に入ってくださっています。
強調したい機能は他にもたくさんありますが、皆さんご自身で解決策を確認することをお勧めしたいと思います。リリースの詳細についてはhttps://mcafee.com/CNAPPにアクセスするか、https://mcafee.com/demoでデモをリクエストしてください。フィードバックをお寄せいただき、MVISION CNAPPがクラウドでの権限と責任を高めるのにどのように役立つかをお聞かせください。
この投稿には、開発中の製品、サービス、および/またはプロセスに関する情報が含まれています。ここに記載されているすべての情報は、McAfeeの独自の裁量により予告なしに変更される場合があります。マカフィーの担当者に連絡して、最新の予測、スケジュール、仕様、およびロードマップを入手してください。
※本ページの内容は2020年10月29日(US時間)更新の以下のMcAfee Blogの内容です。
原文:With No Power Comes More Responsibility
著者:RichVorwaller
■関連サイト