お悩み解決

2022-12-22

潜在的なセキュリティリスクを排除してパブリッククラウドを便利に使える「VMware Aria Automation for Secure Clouds」

By 株式会社ネットワールド

これからクラウドへ取り組むセキュリティ強化セキュリティクラウド移行

サイバー攻撃が激化する昨今において、インシデントの原因となるのは技術的脅威だけではありません。さまざまな設定ミスやポリシー違反などが潜在的なセキュリティリスクをもたらしています。こうした設定に関連する脆弱性がある限り、パブリッククラウドといえども決して安全ではありません。この課題を解決するため VMwareが提供しているのが、「VMware Aria AutomationTM for Secure Clouds(旧CloudHealth Secure State)」です。IaaSやPaaSの利用における設定のリアルタイムのチェックや見直しの提案、さらには自動修復を行うことで、特定の部署や担当者に負荷をかけることなく、安全かつ利便性の高いクラウド利用をサポートします。

ユーザー側の設定ミスがパブリッククラウド利用のリスクに

パブリッククラウドを利用すれば必ずしも安全というわけではなく、実際に機密情報が流出するといったインシデントも発生しています。その原因の多くがユーザー側による脆弱なパブリッククラウドの設定にあり、パブリッククラウドにおける潜在的なリスクとなっています。サーバーからクラウドサービスへのデータ移行を行う際に、ストレージ設定を『公開』としていたために、長期間にわたり機密情報が公開されている状況にあった」といった事例は皆様も聞いたことがあるのではないでしょうか。

2022年10月に総務省からも「クラウドサービス利用・提供における適切な設定のためのガイドライン」が公表されましたが、この中にも「サーバーからクラウドサービスへのデータ移行を行う際に、ストレージ設定を『公開』としていたために、長期間にわたり機密情報が公開されている状況にあった」といった事例が記されています。

一般的にパブリッククラウドはクラウド事業社がセキュリティを担保してくれると言われていますが、インフラ部分で使用されているソフトウェアなどの脆弱性対策に関してはクラウド事業者側で行われますが、設定が原因でもたらされた脆弱性については利用者側の責任範囲となるので注意が必要です。

では、どうすれば設定に起因する脆弱性を防ぐことができるのでしょうか。2022年10月に総務省からも「クラウドサービス利用・提供における適切な設定のためのガイドライン」が公表されました。このガイドラインには、クラウドサービスの設定におけるリテラシーの向上や、動作環境設定における技術力の向上を図る人材育成、作業規則やマニュアルの整備などが記されていますが、こうした体制づくりは一朝一夕にできるものではありません。

ならばITシステム部門などが一括して設計をレビューすれば良いかというと、これも適切な方法とは言えません。担当者を設けたことで、パブリッククラウドならではの迅速性や柔軟性といった利点がどんどん損なわれてしまうおそれがあります。そこで現実的な解決策となるのが支援ツールの活用です。この総務省のガイドラインの中でもベストプラクティスとして「CSPM(Cloud Security Posture Management)」というクラウドセキュリティ対策のソリューションの利用が推奨されています。

パブリッククラウドを安全・便利に利用できる「VMware Aria Automation for Secure Clouds」

CSPMソリューションは、IaaSやPaaS利用における設定の監査や見直しの提案を行うことで、特定の部署や担当者に負荷をかけることなく、安全かつ利便性の高いクラウド利用をサポートします。今回紹介する「VMware Aria Automation for Secure Clouds」はVMwareが提供するマルチクラウド対応のCSPMソリューションになります。

VMware Aria Automation for Secure Cloudsは、AWS(Amazon Web Services)、GCP(Google Cloud Platform)、Microsoft Azureといったハイパースケーラーのクラウドサービスに対応しており、さまざまな環境やアカウント、リソースにおけるリスクの把握と一元管理を可能とします。具体的には、下記に示す大きく3つの特徴を備えています。

1つめは、パブリッククラウドへのスマートなセキュリティ対応。検知されたセキュリティ設定の違反や問題点を直感的に把握できるよう、ダッシュボード上に表示します。また、クラウドオブジェクトの相関と脅威レベルに基づき、検出した脆弱性の優先付けを行うことも可能です。

ダッシュボード画面の例

2つめは、リアルタイム検出と自動制御。イベントドリブンでリアルタイムに脆弱性を検出・通知することで、対策が後手に回るのを防止します。単に検出するだけでなく構成変更からセキュリティへの影響を判断し、特にリスクの度合いが大きい脆弱性に関しては、自動的に設定を修復することも可能です。

3つめは、企業全体にスケール可能なセキュリティプラクティス。部署単位でアカウントを移譲してクラウドの運用や管理を行っている場合でもセキュリティ対策を適切に実施できるよう、各種レポートやアラートを通じて利用者全体に脆弱性情報を共有するとともに、ワークフローに基づいた脅威への対策を行うことができます。さらにビルトインされた標準ポリシーと自動修復アクションを独自にカスタマイズし、組織横断で共有することも可能です。

自動修復機能の概念図

VMware Aria Automation for Secure Cloudsは、業界で標準的に利用されるCIS BenchmarkやNIST,PCI DSSなど多くのセキュリティポリシーの準拠を容易に確認することができます。これらのセキュリティポリシーの定義と実際の設定を比較することでコンプライアンス違反となるようなセキュリティ設定ミスがないかを継続してチェックすることで、脆弱性の検出や修復を行っています。VMware Aria Automation for Secure Cloudsではこうして各クラウドアカウントを安全に保護するガードレールを設けつつ、利用者のクラウド利用における利便性と安全性の両立を可能にするのです。

例えばCIS Microsoft Azure Foundation Benchmarkというセキュリティポリシーでは、「全ての特権ユーザーに対して多要素認証が有効化されていること」、「ストレージアカウントのアクセスキーが定期的に再生成されていること」といったチェック項目が記されており、VMware Aria Automation for Secure Cloudsはこれらに対する違反を定期的にチェックするだけでなくリアルタイムに検知しています。2022年12月現在20以上の外部のセキュリティポリシーへの準拠を標準で確認することが可能です。*

*参考:「Use compliance frameworks to track organizational responsibility in CloudHealth Secure State

トレーニングをバンドルし運用スキルの習得を支援

もっとも、CSPMのソリューションについては導入もさることながら、その後の適切な運用が非常に重要です。提供されているさまざまな機能を効果的に生かし、今後新たに提供されるサービスも迅速に取り入れながら積極的に活用することで、初めて費用対効果を最大化することができるのです。

これを踏まえて、VMware Aria Automation for Secure Clouds では、VMware による90日間のオンボードのトレーニングがバンドルされています。

トレーニングでは、アカウントの設定からプロジェクトの作成、ダッシュボードの確認と違反のレビュー、抑制の設定、高優先度の違反の対応とカスタムルールの作成、リアルタイム通知とレポートの作成、コンプライアンスフレームワークのレビュー、ルールの精査、自動修復などの拡張機能の設定にいたるプロセスを体系立てて学び、スキルを習得することが可能です。

製品サポートの内容

さらに、ネットワールドではVMware のトレーニングと連携し、特にアカウントの設定や抑制の設定、コンプライアンスフレームワークのレビュー、自動修復といった拡張機能の設定などについて、お客様の作業を代行する支援サービスも準備しています。早ければ2023年の年明けから提供できるよう準備を進めており、お客様のより安全なパブリッククラウド利用を支えていきます。

お問い合わせ先

株式会社ネットワールド

ソリューションマーケティング部SDソリューション課

お問い合わせはこちら »

この記事をシェアする

この企業に関連する記事

この企業に関連する資料