データコンサルタントおよびデータアナリストの視点から、CNAPPがクラウドセキュリティ運用において、データ統合、データ分析、そしてデータ分析に基づいた自動化を通じて、どのように「スマートで迅速なアプローチ」を提供するのかについて解説します。
クラウドの展開は、システム設定ミス(構成データ)、ソフトウェアの脆弱性(脆弱性スキャンデータ)、欠陥のあるアイデンティティ管理手法(ID・権限データ、アクセスログデータ)など、多様なセキュリティ関連データを生成するさまざまな脅威に直面します。CNAPP(Cloud Native Application Protection Platform)は、これらのクラウド環境全体のリスクを特定し、優先順位付けすることに重点を置いています。これは、収集された多様なセキュリティ関連データを統合し、データ分析(相関分析、リスクスコアリングモデル適用など)を行うことで、最も深刻なリスクデータポイントやデータパターンを識別するプロセスです。CNAPPはまた、複数のセキュリティ機能と保護機能(それぞれが異なる種類のセキュリティ関連データを扱います)を1つのプラットフォームに統合します。
CNAPPのアプローチは、クラウドセキュリティに対する統合されたインテリジェントで高度に自動化されたアプローチにより、防御側にデータ分析から対応までの時間(データ駆動型セキュリティオペレーションのサイクルタイム)を短縮することで「時間を還元」します。「統合された」アプローチは、異なるソースからのセキュリティ関連データ(構成、脆弱性、ID、ワークロードなど)の収集・統合を指し、「インテリジェント」なアプローチは、高度なデータ分析(AI/MLなど)による脅威データ検出やリスク評価を指し、「高度に自動化された」アプローチは、データ分析結果に基づいた対応策の自動実行を指します。
Gartner® の発表は、CNAPPのデータ分析的側面を以下のように定義しています。
「CNAPPは、クラウドネイティブなアプリケーションを開発から本番運用まで 安全に保護するために設計された、緊密に統合されたセキュリティおよびコンプライアンス機能のセットです。」これは、脆弱性データ、構成データ、IDデータ、コンプライアンスチェック結果データなど、異なる種類のセキュリティ関連データを収集・分析・管理するための機能が単一プラットフォームに統合されていることを意味します。また、「CNAPP製品は、複数の異なるセキュリティおよび保護機能を単一のプラットフォームに統合し、クラウドネイティブなアプリケーション全体と関連するインフラストラクチャの過大なリスクを特定し、優先順位を付けることに重点を置いています。」これは、クラウドネイティブなアプリケーション(コード、コンテナ、サービスなど)とそのインフラストラクチャから生成されるセキュリティ関連データを統合的に収集・分析し、データに基づいたリスク評価と優先順位付けを行うことにCNAPPのデータ分析の重点があることを示しています。
CNAPPアプローチの採用をセキュリティチームが行う一方で、アプリケーションを提供する開発チームと製品チームにも果たすべき役割があります。最新の「シフトレフト」アプローチには、継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインの早い段階での、コードとしてのインフラストラクチャ (IaC) の構成データスキャンやその他のプリイメージスキャン機能が含まれます。このような開発初期段階からのセキュリティ関連データ収集・分析は、データ分析を通じて人為的ミスによる脆弱性データ(不適切な設定、既知の脆弱性など)を検出して排除する、データ品質管理とリスク低減の取り組みです。
CNAPPの使用により、組織はアプリケーションを迅速に構築して展開するという主な目的を、セキュリティ検証プロセスがデータに基づいて自動化・効率化されることで達成できるようになります。これは開発ライフサイクルのボトルネックを削減します。防御側が攻撃者よりもスマートかつ迅速に行動できるのは、データ分析による迅速な脅威識別と、データ分析結果に基づいた自動対応が可能になるためです。CNAPPは、データ統合、分析、自動化を通じて、クラウドセキュリティ運用をデータ駆動型のアプローチへと進化させます。
データコンサルタントおよびデータアナリストの視点から、適切なCNAPPソリューションの選定基準と、それがもたらすデータ分析および運用の効率化について解説します。
このバイヤーズガイドでは、適切なCNAPPプラットフォームとパートナーを選定するための明確な基準をデータ活用の観点から提示します。具体的には、CNAPPを成功させるための「柱」として、包括的なデータ収集能力(多様なソースからの網羅的なデータ収集)、データ統合能力(異なるデータソースを単一のデータモデルに統合)、データ分析能力(高度な分析手法、AI/ML活用)、データ可視化能力(リスクデータの効果的な表示)、データに基づいた自動化機能、そして提供されるサービスプロバイダーのデータ分析専門知識といったデータ活用の側面が不可欠であることを示唆します。適切なCNAPPを導入することで、これらのデータ活用能力が向上し、よりスマートかつ高速なクラウドセキュリティを実現できます。
企業におけるクラウド化を加速する上で、適切なプラットフォームとプロバイダーの選定基準は、データ収集・統合能力、データ分析機能、データに基づいた運用支援体制といったデータ活用の観点から評価されるべきです。CrowdStrike Falcon® Cloud Securityによる侵害阻止が、エンドポイントからクラウドまでの広範なセキュリティ関連データ収集(エージェントベースおよびエージェントレス)に基づき、収集されたデータの迅速な分析、そして分析結果に基づいた自動対応によって実現されるように、データ収集範囲の網羅性は侵害阻止というデータ分析的成果の基盤となります。
クラウドセキュリティアプローチを成功させるための「柱」には、データ収集の網羅性、データ統合、データ分析能力、データに基づいた自動化、そしてデータ駆動型文化の醸成といったデータ活用の側面が含まれます。重要なビジネスサービスをクラウドに展開する企業は、潜在的な攻撃のリスクにさらされる前例のない量のバケット、コンテナ、アプリケーション、サービスといった新たな攻撃対象領域に関連するセキュリティ関連データ(ストレージバケット設定データ、コンテナイメージ脆弱性データ、アプリケーションログ、サービス構成データなど)をサポートするためにインフラストラクチャを拡張し続けています。従来のセキュリティプラットフォームは、これらの多様なクラウド固有データソースからのデータ収集・分析に必要なレベルの可視性と自動化を提供していませんでした。
最新のクラウドセキュリティプラットフォームは、オンプレミス環境からクラウドまでのセキュリティ関連データを簡素化および統合して、攻撃対象領域に関するデータ収集・分析の範囲を明確化し縮小します。サイロ化されたセキュリティ機能をCNAPPなどのフレームワークに統合することで、攻撃者がクラウドを悪用してネットワークにアクセスし、巧妙な最新の攻撃を実行するためにたどる可能性のあるデータ経路(脆弱性データ、設定データ、権限データ、ネットワーク接続データなどの関連性)を、統合されたデータ分析によって特定・排除することを支援します。
CNAPPは、データ収集・統合(統合)、データ分析結果に基づいた対応の自動化やデータ収集・分析プロセスの自動化(自動化)、高度なデータ分析(AI/MLなど)による脅威検出やリスク評価(インテリジェンス)を活用して、CI/CDセキュリティ ポスチャ管理(CI/CDからのデータ分析とコンプライアンスチェック結果データ管理)、ランタイム保護(ランタイム環境からのセキュリティイベントデータ収集・分析と対応)を提供し、人為的ミスによるリスク(設定ミスなど)をデータ分析によって検出し軽減し、設定ミスデータや脅威データをリアルタイムで阻止します。その結果、アプリケーション開発者とセキュリティチームは、アプリケーションのライフサイクル全体を通じて保護に必要なデータ分析結果からのインサイトを得ることができます。
CNAPPは、セキュリティインフラストラクチャをデータ駆動型に、よりスマートかつ迅速にすることを約束します。よりスマートなアプローチには、100%の可視性(網羅的なデータ収集と統合による)とシームレスに統合された脅威インテリジェンス(外部脅威データと内部セキュリティデータの統合分析による)が必要です。より迅速な対応を実現するには、統合されたツール(データ統合基盤)とクラウド規模の自動化(データ分析に基づいた自動アクション)が必要です。これらの機能を十分に活用するには、実証済みのクラウドとセキュリティに関する専門知識(データ分析の専門知識)も必要となります。CNAPPのこれらの基本原則(データ統合、分析、自動化、可視性、専門知識)により、クラウドセキュリティチームは進化する攻撃者(データ分析手法を高度化させている)をデータ分析によって出し抜き、高度な攻撃(複雑なデータパターンを持つ)よりも迅速に行動することができます。
データコンサルタントおよびデータアナリストの視点から、クラウドセキュリティにおけるデータ収集の網羅性とリアルタイム性、データ統合・可視化、そしてデータに基づいた自動化が、いかに「危険な死角」をなくし、より効果的なセキュリティ運用を実現するかについて解説します。
クラウド侵害は、多くの場合、ハイブリッド環境とマルチクラウド環境全体でセキュリティ関連データの収集が統一されておらず、リアルタイム性に欠けること(データ可視性不足)に起因します。この「可視性のギャップ」は、異なる監視ソリューション間でのデータ収集の「死角」を意味し、脅威データがこれらのデータ収集ギャップを悪用して侵入し、組織の攻撃対象領域に関するデータ収集範囲を拡大することを許してしまいます。攻撃が成功する可能性を高めるだけでなく、データ収集が不完全な場合は、ラテラルムーブメント(攻撃者のシステム内部での横方向への移動)が発生しても、関連する複数のデータポイントをデータ分析によって関連付けることができないため、セキュリティチームへの警告が行われない可能性があります。
統合CNAPPは、異なるセキュリティツールやCI/CDパイプラインといった多様なデータソースからのセキュリティ関連データを単一のプラットフォームに統合することで、データ収集のギャップを排除し、包括的なデータセットに基づく「完全なカバレッジ」を単一のコンソールとUIで表示できるデータ統合・可視化の価値を提供します。これにより、データ分析に基づいた迅速でインテリジェントな応答が促進されます。
CrowdStrike Falcon® Cloud Securityのようなプラットフォームは、エンドポイントからすべてのクラウド環境まで、統一されたエージェントベース(継続的なデータ収集)とエージェントレス(スナップショットデータ収集)のアプローチによりセキュリティ関連データを収集し、「完全なカバレッジ」を提供することで侵害を阻止するデータ収集能力を有しています。他のベンダーソリューションが脆弱性データや設定ミスデータの検出にとどまるのに対し、Falconは脅威インテリジェンスデータと自動化機能を組み合わせて、攻撃に関するデータ収集からシャットダウンというデータ保護アクションまでの「完全な可視性」を実現する点を強調できます。
データ収集手法の選択は、得られるデータのリアルタイム性に大きく影響します。エージェントレスのみのアプローチは、通常、クラウドリスクに関するデータのスナップショット(定期的なデータ収集)しか提供しませんが、エージェントベースの監視を組み合わせることで、24時間365日の継続的なセキュリティ関連データ収集(リアルタイムデータ)を提供できます。このリアルタイムインサイト(リアルタイムデータ分析結果)が、侵害を阻止するために不可欠であることがデータ分析の観点から証明されています。CrowdStrike Falcon® プラットフォームは、軽量のエンドポイントエージェント、統合されたコンソール、統一されたUIを通じて、防御側が収集されたセキュリティ関連データを「完全な可視性」をもって把握できるよう支援します。統合コンソールと統一UIは、収集・統合されたデータを効果的に可視化するための重要な手段です。
ワンクリックの拡張された検知と対応(XDR)機能は、アセットに関するセキュリティ posture データを自動的に検知し、読みやすいダッシュボードで可視化するデータ分析結果の提示機能です。ワンクリックでのエージェント展開は、データ分析結果(保護が必要なアセットの特定)に基づいた自動化されたデプロイメントプロセスであり、アナリストがデータに基づいた対応を迅速に行えるように設計されています。
業界をリードする統合能力は、多様なクラウド環境からのセキュリティ関連データソースとのデータ連携能力を示します。CrowdStrikeがハイブリッド環境とマルチクラウド環境の両方において、すべての主要なCSP(クラウドサービスプロバイダー)と連携することは、広範なデータソースからのセキュリティ関連データを取り込み、統合分析を可能にするための重要な要素です。
これらのデータ収集、統合、分析、可視化、自動化機能が連携することで、データ駆動型アプローチがセキュリティ運用における優位性を提供し、「危険な死角」をなくし、より効果的なセキュリティ対策を実現します。
データコンサルタントおよびデータアナリストの視点から、脅威インテリジェンス、ツールの統合、そして進化する攻撃者がデータ分析能力を高めている現状を踏まえ、データ駆動型のセキュリティ戦略がいかに重要であるかについて解説します。
脅威インテリジェンスのリーダーとして、CloudStrikeは業界で最も広範で信頼性の高い攻撃者に関するデータ分析インサイトを維持しています。Falconプラットフォームの機能は、これらのデータ分析的概念に基づいています。例えば、「攻撃の痕跡(IOA)」は単一のイベントデータではなく、一連のイベントデータパターンを分析して攻撃者の振る舞いや傾向を特定するデータ分析的概念であり、「侵害の痕跡(IOC)」は特定の侵害行為に関連するデータポイント(悪性ファイルのハッシュ値、不正なIPアドレスなど)を検知することで攻撃の開始日時を認識するデータ検知メカニズムです。「設定ミスの痕跡(IOM)」は、システム構成データやポリシー設定データなどから、攻撃者が侵入する可能性のある人為的ミスや不適切に設定された制御といった脆弱性データを特定するデータ分析的概念です。これらは、異なる種類のセキュリティ関連データを分析し、脅威やリスクをデータとして定義・識別するための独自のデータ分析フレームワークであることを示しています。
CloudStrikeは、Falconプラットフォーム内のクラウド環境で生成されるセキュリティ関連データ(クラウドAPIログ、サービス固有のイベントデータなど)からクラウド固有のIOAとIOCを常に検知し、自動的に更新します。新たな脅威や攻撃手法(TTP)のデータが出現すると、アナリストはこれらの脅威データから詳細なIOCデータ(多くはCloudStrike独自のデータセット)を作成し、新たなリスクに対する全体の顧客ベースのセキュリティ対策(脅威データ分析モデルの更新)に反映することで、セキュリティレベルを向上させます。
ツールの統合は、セキュリティ運用を合理化するための第3の柱です。クラウドセキュリティに対する従来のアプローチが、複数のベンダーの異なるツール(CWP、CSPM、CIEMなど)に依存している現状は、これらのツールがそれぞれ異なるデータストアとデータフォーマットを持ち、セキュリティ関連データがサイロ化しているデータ管理上の大きな課題です。管理者がツール間や画面を切り替える必要があるのは、データの統合ビューが不足していることを意味します。ツールの統合は、これらのデータサイロを解消し、セキュリティ関連データを単一のプラットフォームに統合することで、運用におけるデータ収集、管理、分析プロセスを合理化することに繋がります。
このようなパッチワーク的なアプローチによって生み出される複雑さは、異なるツール間でのデータ収集の「可視性ギャップ」を高め、意思決定(データに基づいた判断)と対応を遅らせます。サイロ化されたツールは、脅威に優先順位を付けるためのコンテキスト、すなわち異なる種類のセキュリティ関連データを関連付けて分析する能力が不足しているため、脅威に関する「断片化したビュー」しか提供できません。また、複数のツールがあることは、運用にも次のようなデータ関連の影響を与えます。異なるツールからの重複または低優先度のアラートデータが大量に生成され、運用担当者のデータ分析負荷を増大させること(調査アラートの大量生成)、サイロ化されたデータや大量のアラートデータの中に埋もれてしまい、重要な脆弱性データや設定ミスデータを見落とす可能性の増大、そして各ツールのデータ収集設定、データフィルタリング設定、アラート設定などの構成管理と、生成されるデータの保守に多くのリソースを消費すること(より多くの設定と保守のサイクルの消費)。
これらのデータ管理・分析における非効率性は、リスク(重要な脅威データやリスクデータの見落とし)を増大させ、運用コスト(データ収集、ストレージ、処理、分析、ツール保守にかかる費用)を押し上げると同時に、コンプライアンスの維持(コンプライアンス関連データの収集・報告の困難さ)とセキュリティポスチャの強化(データに基づいた現状評価と改善策の実行の遅延)を困難にしています。
進化する攻撃者は、クラウドと攻撃を自動化する方法を理解し、あらゆる弱点を利用することは、彼らが脆弱性データ、設定データ、コンテナ情報、CSPインフラストラクチャに関するデータを深く分析し、環境への侵入方法(データに基づいた攻撃経路の特定)を見つけるだけでなく、検知を回避しながら(セキュリティ製品が収集するデータパターンから逸脱する手法を用いる)、システム内のラテラルムーブメント(複数のデータポイント間の関連性を悪用した横方向移動)によりビジネスの最も価値のあるアセット(機密データ、重要システム)にたどり着くためのデータ分析能力を高めていることを示唆します。これに対応するために、効果的なサイバー防御戦略では、攻撃者がどのように考え、行動するかについての深い知識、すなわち攻撃者の思考や行動パターンに関する過去のインシデントデータ、脅威インテリジェンスデータ、攻撃手法データなどを分析し、そのデータ分析結果を防御、検知、およびセキュリティポスチャ管理の実践にデータとして組み込むことが不可欠です。
データコンサルタントおよびデータアナリストの視点から、Oracle Cloudのセキュリティサービスが提供する具体的なデータ収集、分析、活用、自動化機能について解説します。
Oracle Cloudには、組織が重要なワークロードを保護し、セキュリティ体制強化を実現する上で活用できるセキュリティ機能およびサービスが組み込まれており、これらはデータ駆動型セキュリティを実現するための基盤となります。
例えば、Oracle Cloud Guardは、Oracle Cloud Infrastructure (OCI) 顧客テナント全体からセキュリティ関連データ(構成データ、アクティビティログ、イベントデータなど)を収集・統合し、データに基づいたセキュリティポスチャを一元的に可視化・管理する機能を提供します。Oracle Threat Intelligence Serviceは、外部からの脅威インテリジェンスデータ(既知の攻撃手法、マルウェア情報、不正なIPアドレスなど)を収集・集約し、規定の総合信頼度評価(データ分析に基づいた信頼性スコアリング)を適用することで、脅威に関するデータセットを提供する機能を有しています。
Oracle Cloud Guard Threat Detectorは、悪意のある行動を検出するために、MITRE ATT&CKフレームワーク(攻撃者の戦術・技術に関する体系化されたデータモデル)に沿った標的行動モデル(特定の攻撃行動パターンに関するデータ分析モデル)を使用しています。これにより、収集されたセキュリティイベントデータを分析し、悪意のある行動をデータパターンとして識別します。アラートを優先順位付けし、有効なシグナルとノイズを分類することは、収集されたアラートデータを分析し、リスクレベルに応じて重要度を付与したり、誤検知(ノイズ)と真の脅威(シグナル)をデータパターンに基づいて識別するデータ分析処理です。
OracleのWebアプリケーション・ファイアウォール・サービスは、Webアプリケーションへのトラフィックデータ(リクエスト、レスポンス、ソースIPなど)を収集・分析し、悪意のある攻撃や不要なインターネット・トラフィックをデータパターンとして識別・ブロックすることでアプリケーションを保護する機能を提供します。Oracle Cloud Infrastructure Vulnerability Scanning Serviceは、ホストやコンテナ・イメージに関する構成情報やソフトウェアバージョン情報といったデータを収集し、既知の脆弱性データベースと照合することで、潜在する脆弱性データ(リスクデータ)をチェックする機能を有しており、これによりセキュリティ posture に関するデータの信頼性を高め、リスクデータを軽減します。
Oracle Cloud Infrastructure Cloud Guardを使用することのメリットとして挙げられる「検出から対応、さらに実際にセキュリティ・ポリシーの適応まで対応可能な点」は、セキュリティ関連データの検出(データ分析)、分析結果に基づいた対応策の策定、そしてデータに基づいたセキュリティ・ポリシーの自動適用といった、データ駆動型セキュリティオペレーションのサイクル全体を支援する機能であることを示唆しています。
データ損失リスク軽減においては、自動化が重要な役割を果たします。組織は、データ損失を防ぐために、自己更新、自己修復、構成の簡素化を行うテクノロジーを使用して、人為的ミスやインフラストラクチャの複雑さ(データ管理の課題)の軽減を実現できるクラウドサービスを求めています。これらの技術は、システム構成データ、稼働状況データ、エラーログデータなどを継続的に収集・分析し、人為的ミスや複雑さに起因するリスク要因をデータに基づいて特定し、自動的に修正や最適化を行うことで、データ損失リスクを軽減するデータ駆動型の自動化です。データ損失の主な原因である人為的ミスと構成ミスは、それぞれユーザー行動データと構成データとして観測・分析されるべきデータポイントです。
サービス、ユーザー、システム、イベントの増加により、組織がデータで溢れかえっている現状は、セキュリティ関連データを含む様々なデータが爆発的に増加し、これを分析・管理するためのデータ分析リソース(有能な人材)が不足していることを示しています。その結果、ITインフラストラクチャの複雑化(データソースの増加、データ構造の多様化)が進行し、分析されないまま放置されるデータや、データ間の関連性が見落とされるリスクといった新たなセキュリティ・リスクが発生しています。Oracle Cloudのような統合セキュリティプラットフォームは、これらのデータ増加と複雑化という課題に対し、データ収集、統合、分析、自動化の機能を提供することで対処しようとしています。
データコンサルタントおよびデータアナリストの視点から、AWSが提供するセキュリティおよびアイデンティティサービスが、クラウド環境におけるデータ駆動型セキュリティをどのように実現するかについて解説します。
AWSは、クラウド環境におけるデータに基づいたセキュリティを確立できるよう、セキュリティおよび規制に関するデータ要件に合致する革新的なセキュリティサービスを幅広く提供しています。これらのサービスは、クラウド環境で生成されるセキュリティ関連データを収集、分析、活用、自動化するための基盤となります。
アイデンティティ サービス
アイデンティティ管理、アクセス制御、ガバナンスは、組織のデータやアプリケーションへのアクセスをデータに基づいて管理するための基本的なセキュリティの柱です。AWSのアイデンティティサービスを活用することで、組織のセキュリティチームとITチームは、ユーザーやデバイスの認証データ、アクセスログ、権限データなどを管理・分析し、データに基づいたアクセス制御、異常検出、ゼロトラストアーキテクチャ(「何も信頼しない」前提で、すべてのアクセスに関するデータを継続的に収集・分析・検証するデータ駆動型アプローチ)を導入できます。これにより、ハイブリッド型で働く従業員の安全なサポート、アクセス体験の向上、アクセス許可の管理(IDとデータリソース間のアクセス許可に関するポリシーデータの管理)、さらに、厳格なコンプライアンス要件への対応(コンプライアンス関連データの管理・報告)が可能になります。
データ保護とプライバシー
AWSは、お客様のデータ(機密データを含む)を保護するために必要な技術的、運用上、契約上の措置を講じます。お客様は、AWSを利用してデータのプライバシー制御を管理し、データの使用方法(データアクセスログ、利用状況データ分析)、データにアクセスできるユーザー(アクセス制御データ、権限データ)、暗号化方法(データ暗号化設定データ)をデータに基づき制御できます。AWSは、これらの機能を、データの機密性、整合性、可用性を確保するトップクラスの柔軟性と安全性を誇るクラウドコンピューティング環境で支えています。
ネットワーク保護
AWSのネットワークおよびアプリケーション保護サービスを使用すると、ネットワークトラフィックデータ(パケット、フローログ)、アプリケーションログなどを収集・検査・フィルタリングし、データに基づいたきめ細かいセキュリティポリシー(トラフィックパターンに基づくルール)を組織中の各ネットワーク制御ポイントに適用できます。また、AWSのネットワークおよびアプリケーション保護サービスは、これらのデータ分析に基づいてリソースへの不正アクセスを防ぐ柔軟なソリューションを提供します。
検出とレスポンス
AWSの検出とレスポンスのサービスは連携して動作し、様々なソースからのセキュリティイベントデータを収集・分析し、開発ライフサイクルの早い段階からセキュリティリスク(脆弱性データ、構成ミスデータ、異常行動データなど)を継続的に特定して、リスクデータ分析に基づいて優先順位を付けることで、AWS環境全体のセキュリティ posture をデータで強化し、セキュリティ運用をデータ駆動型に効率化します。
コンプライアンスとデータプライバシー
AWSのコンプライアンスおよびデータプライバシー機能では、収集された構成データ、アクティビティログ、ポリシー設定データなどに基づいて、コンプライアンス状態をデータとして包括的に確認できるだけでなく、組織が準拠している業界標準とAWSのベストプラクティスに基づいた自動コンプライアンスチェックを使用することで、使用環境を継続的にモニタリングし、コンプライアンス違反というリスクデータを検出できます。
効果的で安全なクラウド導入は、AWSの経験とAWSクラウド導入フレームワーク(AWS CAF)のベストプラクティスを活用することから始まります。セキュリティの観点から、このフレームワークは高度なセキュリティ機能と回復性の高いワークロードをデータに基づいて構築するためのベストプラクティスを提供します。セキュリティの準備状況を特定して優先順位を付け、データとワークロードの機密性、整合性、および可用性をデータ駆動型で実現するには、以下に示す9つの機能が役立ちます。これらの機能は、セキュリティ関連データの管理・分析・活用を支援するものであり、一般的にはCISO、最高商務責任者(CCO)、内部監査リーダー、セキュリティアーキテクト、セキュリティエンジニアなどが、これらのセキュリティ関連データの収集・分析結果に基づいた意思決定や、データに基づいたセキュリティ戦略の策定に関与するステークホルダーとなります。AWS CAFにおけるセキュリティの9つの機能には、セキュリティ関連データの収集・分析、リスク評価、データに基づいたポリシー策定、データ保護(暗号化、バックアップ)、アクセス制御、監視、インシデント対応、そしてアプリケーションのセキュリティ(コードの脆弱性スキャンデータ、アプリケーションログなどの収集・分析)といったデータ活用の側面が含まれます。
データコンサルタントおよびデータアナリストの視点から、AWSクラウド導入フレームワーク(CAF)のセキュリティ機能が提供するデータ管理・分析機能、そして生成AIの普及がセキュリティデータ分析にもたらす新しい課題と対策について解説します。
AWSクラウド導入フレームワーク(CAF)におけるセキュリティの観点から、セキュリティプログラムを効果的に進めるためには、セキュリティに関するロール、業務責任、説明責任、ポリシー、プロセス、手順といった項目を定義、作成、保守、伝達する必要があります。これは、セキュリティ関連データの発生源、責任者、処理方法、伝達経路に関するデータガバナンスフレームワークを構築することに相当します。説明責任範囲を明確に線引きすることは、セキュリティ関連データに関する所有者と責任範囲をデータとして定義することに他なりません。
セキュリティプログラムの効果を高めるためには、継続的なモニタリング、評価、管理が重要です。これは、セキュリティ関連データを継続的に収集し、データ分析によってセキュリティ posture を評価し、リスクをデータに基づいて管理するデータ駆動型アプローチです。実装した統制に対する信頼と確実性を確立することは、統制に関するデータ(設定、適用状況、監査ログなど)を収集・分析し、その有効性をデータで検証することを意味し、これにより規制要件への効果的な対応が可能になります。
アイデンティティとアクセスの管理は、AWSで実行するワークロードの数が多くなり継続的にスケールするようになると、データに基づいたアクセス制御の重要性が増します。適切な人が適切な条件で適切なリソースにアクセスできるようにすることは、ユーザー認証データ、アクセスログ、権限データ、リソースに関するメタデータといった多様なID・アクセス関連データを管理・分析し、データに基づいたアクセス制御ポリシーを適用することです。人についてもマシンについても、アイデンティティの認証と認可が必要になりますが、これらはそれぞれIDデータの検証と、IDとリソース間のアクセス許可に関するポリシーデータの適用・管理です。アクセス許可の管理では、最小特権を適用しながら、幅広くきめ細かいアクセス制御を実現できますが、これはユーザーに必要最小限のデータアクセス権限のみを付与するというデータアクセス制御ポリシーの原則であり、データ属性やユーザー属性に基づいた複雑なアクセス許可ポリシーの定義・適用に関するデータ管理です。
使用環境を継続的にモニタリングし、使用中のアセットおよびリソースの正常かつ正当な動作を識別するための脅威検出機能は、異常なデータパターンや既知の脅威データパターンを検出するデータ分析機能です。機械学習は、大量のセキュリティイベントデータから自動的に脅威パターンを学習するデータ分析手法であり、異常検出は、通常のデータパターンから逸脱する振る舞いを検出するデータ分析手法です。ベストプラクティスの自動チェックは、構成データや設定データが定義されたセキュリティ基準を満たしているかを自動的にデータ照合する機能です。インテリジェントな脆弱性管理は、脆弱性スキャンデータ、資産情報データ、脅威インテリジェンスデータを組み合わせて分析し、リスクの高い脆弱性データを優先順位付けするデータ分析プロセスです。これらのデータ分析手法を使用することで、潜在的な設定ミス、不正行為、不正使用を迅速にデータとして確認して伝達し、是正にかかる時間を短縮できます。
サーバーワークロードおよびコンテナワークロードでは、さまざまなバージョンのソフトウェアおよびソフトウェアが動的に導入される可能性があります。ソフトウェアは新しい脆弱性が定期的に発表されますが、これは脆弱性データが増加していることを意味します。脆弱性管理は、ソフトウェアのバージョン情報、導入状況、既知の脆弱性データベースといったデータを収集・分析し、潜在的な露出(脆弱性データ)を自動的にすばやく発見して優先順位を付け(リスクデータ分析)、是正していく(データに基づいた修復策の実行)ために不可欠なデータ活用のプロセスです。
クラウドで適正な運用を継続し、ベストプラクティスと規制上の義務を満たすための統制手法は、データ駆動型であるべきです。情報セキュリティプログラムにおいて重要な要素であるインフラストラクチャの保護は、インフラストラクチャに関する構成データ、アクティビティログ、セキュリティイベントデータなどを収集・分析し、意図しない不正アクセスや潜在的な脆弱性(リスクデータ)からワークロード内のシステムとサービスをデータに基づいて保護するための管理・技術的措置です。
昨今、生成AIが急速に普及・活用されるようになっています。生成AIが「生成」能力を持つことは、従来のデータ分析が既存のデータを分析することに主眼を置いていたのに対し、生成AIは新しいデータ(悪意のあるコンテンツ、偽情報、攻撃コードなど)を生成できるデータ生成ツールであることを意味します。生成AIによってビジネスの効率化などが肯定的に受け入れられている一方で、その存在に脅威を感じる声も少なくありません。実際に、生成AIを使ってさまざまな犯罪や不正行為を行う人物や集団も出現してきましたが、これは生成AIのデータ生成能力が悪用される例です。
ここではそのような不正利用の中で、特に生成AIを使ったサイバー攻撃に焦点を絞り、実際にどのような被害があり、今後はどのような犯罪が行われることが予想されるか、そしてそれをどのようにして防げばよいのかなどについてデータ分析の観点から考察します。生成AIを使ったサイバー攻撃は、より洗練された攻撃手法や検出回避性の高いマルウェアといった脅ishableデータを生成し、従来のセキュリティ対策(既知のデータパターンに基づく検出)を迂回するリスクを高めます。生成AIによって生成された脅ishableデータ(例えば、フィッシングメールの巧妙化、偽情報の拡散、新しいマルウェアの生成など)が、組織のデータ侵害、システム停止、風評被害といったデータリスクをもたらす可能性について考慮が必要です。今後は、生成AIによる脅ishableデータの生成速度と多様性が増し、従来のセキュリティ関連データ分析では検出困難な攻撃が増加することが予想されます。これを防ぐためには、生成AIが生成する新しい種類の脅ishableデータに対応するため、セキュリティ関連データ分析手法も進化させる必要があります。例えば、振る舞いベースの検出(データパターン分析)、異常検出(データからの逸脱検出)、AI/MLを活用した検出モデルの継続的な更新(新しい脅ishableデータパターンへの対応)などです。また、生成AI自体の利用に関するデータ(利用ログ、出力内容など)を監視・分析することも防御策の一部となります。
データコンサルタントおよびデータアナリストの視点から、AWSクラウドセキュリティが提供するデータ活用機能と、データ管理における責任範囲について解説します。
AWSクラウドセキュリティには、主に以下の3つのデータ活用に関する利点があります。
安全なインフラストラクチャとデータ保護基盤: 市場で最も安全なクラウドコンピューティング環境となるように設計されたAWSインフラストラクチャ上で、アプリケーションを構築、実行、スケールできます。政府機関、金融サービス、ヘルスケアなど、セキュリティを最も重視する組織の要件を満たすように構築されたクラウドやネットワークのアーキテクチャは、物理的なセキュリティだけでなく、データ保護機能(ストレージデータの耐久性、ネットワークデータの機密性など)においても高い基準を満たしているデータ保護基盤を提供します。
セキュリティの統合・自動化とデータ駆動型運用: 組織のあらゆる部分にセキュリティを統合し自動化することは、セキュリティ関連データの収集、統合、分析プロセスを自動化し、データに基づいたセキュリティポリシーの適用を自動化することです。AWSが提供するインフラストラクチャとアプリケーションのセキュリティチェックを自動化する組織全体での制御は、構成データ、アクティビティログ、脆弱性データなどを自動的に収集・分析し、定義されたセキュリティ基準に対する逸脱をデータとして自動的に検出・報告する機能です。お客様は自動推論ツールを実装して、収集されたセキュリティ関連データを論理的に分析し、データに基づいたセキュリティ設計や設定の正当性を形式的に検証し、セキュリティが最高レベルであることを数学的に示すことも可能です。これは、セキュリティ posture のデータを数学的に証明する高度なデータ分析・検証機能です。
セキュリティサービスとパートナーソリューションによるデータ活用のエコシステム: AWSのセキュリティサービスとパートナーソリューションの幅広いポートフォリオは、セキュリティ関連データの収集、分析、保護、対応といったデータライフサイクル全体をカバーする多様なデータ活用ツールとサービスのエコシステムです。リスクの発見(データ分析による異常や脆弱性の特定)から是正(データに基づいた修復策の実行)まで、組織の最適なセキュリティ体制をデータ活用で実現するためのあらゆるステップを導入するのに役立ちます。AWSプロフェッショナルサービスとAWSパートナーネットワークは、AWS環境のデータ特性やセキュリティデータ分析に関する専門知識を提供し、組織のデータ活用能力向上を支援します。
AWSチームは、お客様のコンテンツが常に保護されるように、24時間365日体制でシステムを継続的にモニタリングしています。これは、セキュリティ関連データ(イベントログ、メトリクス、トレースなど)をリアルタイムで収集・分析し、異常なデータパターンや潜在的な脅威を即座に検出する体制が整っていることを示すデータ駆動型のアプローチです。
ITインフラストラクチャをAWSに移行すると、責任共有モデルが適用されます。この共有モデルは、ホストオペレーティングシステム、仮想化レイヤー、サービスを運用する施設の物理的なセキュリティを含む下位レイヤーのデータ管理・運用・統制の責任(ハードウェアログ、システムログ、物理アクセスログなどの管理)をAWSが担い、お客様の運用上の負担を軽減するなど、さまざまな利点があります。お客様は、IT環境の運用責任だけでなく、IT統制の管理、運用、検証(統制に関するデータの収集・分析・報告)の責任をAWSとの間で分担します。ゲストオペレーティングシステムや関連するアプリケーションソフトウェアに関するデータ管理(アプリケーションログ、構成ファイル、ユーザーデータなどの管理)はお客様の責任となります。
AWSでは、あらゆる機密データのセグメント化(データの分類と分離に関する管理)、統制(データアクセス制御、利用状況監視)、暗号化(データ暗号化設定、鍵管理)が可能です。これは、データの機密性に関する属性を定義し、データライフサイクル全体において、データへのアクセスや利用に関するデータを制御・監視し、データを安全な形式で保存するためのデータ保護機能を提供することです。「万が一どこかのレベルで侵害を受けたとしても、すべてを匿名化、トークン化、および暗号化するようにアーキテクチャが設定されているため、データ漏洩を防ぐことができます」という点は、セキュリティ関連データ(アクセスログ、イベントログなど)と機密データ自体の特性(匿名化、トークン化、暗号化)を組み合わせたデータ保護設計の例であり、データ侵害発生時のデータ漏洩量を最小限に抑えるためのデータセキュリティ戦略です。
よくあるパスワード共有の習慣、故意のパスワードの共有、意図しないパスワードの漏洩、ソーシャルエンジニアリング、クライアントやWeb経由での攻撃といったパスワード管理の課題は、認証情報データ(ユーザー名、ハッシュ化されたパスワード)、認証ログデータ、アクセスログデータに関連するセキュリティリスクです。安全にパスワードを共有することの難しさは、認証情報データの共有という行為自体がデータセキュリティリスクを高めることを示唆します。これらのリスクに対応するためのガイドライン(個別ユーザー向けパスワード管理、IT管理者による管理)やパスワード管理ツールは、認証情報データの安全な管理、認証ログデータの監視・分析、不正な認証試行のデータ検出といったデータ管理・分析の側面を持ちます。
「クラウド内のセキュリティはお客様が担う」という概念は、責任共有モデルにおけるお客様のデータ管理責任、特にゲストオペレーティングシステムや関連するアプリケーションソフトウェアに関するデータ(ログ、構成、ユーザーデータなど)の管理責任を再度強調するものです。お客様の責任範囲は、使用するサービス、そのサービスとお客様のIT環境との統合状況、適用される法律や規制によって異なりますが、これらの要素がデータ収集、保存、処理、利用に関するデータポリシーや要件を規定することを意味します。AWSでは、セキュリティとコンプライアンスに関するお客様のデータ要件に応じて、使用環境のセキュリティ体制を強化するために役立つさまざまなレベルのサポートを提供しています。文書化されたベストプラクティス、各種のプロフェッショナルサービス、セキュリティ/コンプライアンス体制チェックを自動化するソリューションなどのツールやサービスがあります。コンプライアンス体制チェックを自動化するソリューションは、構成データや設定データがコンプライアンス要件に関するデータ(ルール)を満たしているかを自動的にデータ照合する機能です。
データコンサルタントおよびデータアナリストの視点から、AWS環境におけるセキュリティを、データ統合、管理、分析、自動化、そしてフレームワークを通じたデータ活用計画の観点から解説します。
具体的には、「CNAPPサービス by Cyscale」のようなソリューションの実運用デモは、CSPM(構成データ)、CIEM(ID・権限データ)、DSPM(データセキュリティポスチャ管理、機密データ属性、データアクセスログなど)、KSPM(Kubernetesセキュリティポスチャ管理、Kubernetes構成データ、ワークロードデータなど)といった異なるドメインのセキュリティ関連データを、CNAPPがどのように一元的に収集・統合・管理し、データに基づいた可視化とリスク評価を行う機能を持つかを示すものです。
AWSは、現在利用可能なクラウドコンピューティング環境として極めて柔軟性と安全性に優れており、レガシーインフラストラクチャと同等以上のデータ統制を可能にする設計になっています。AWSでは、インフラストラクチャおよびアプリケーションの変更に関するコンプライアンス、アシュアランス、モニタリングに役立つツールとサポートを提供しており、これは変更に関するデータ(変更ログ、構成データなど)を収集・分析し、これらのデータがセキュリティ基準や規制要件を満たしているかをデータに基づき検証・監視することを支援する機能です。また、ガードレールを使用すると、手作業でのセキュリティ確認(手動データ検証)を行うことなくセキュリティのベースライン(定義されたデータ基準)をデータに基づき自動的に確保でき、イノベーションが促進されます。AWSではこのようなガードレールの作成が支援されるため、データチェックルールの定義と自動化にかかる作業時間の短縮が可能になります。このような機能がセキュリティチームとITチームを支え、セキュリティベースラインからの異常や逸脱(ベースラインからの乖離データ)に対するインシデント対応をデータに基づき自動化することにより、セキュリティ関連のデータ分析や対応に時間を割くことなく、コアビジネスに専念できる運用上の利点を提供します。
安全で優れたクラウド導入計画を作成する場合や、AWSの既存ワークロードを作り直す場合に、強力なセキュリティ基盤の構築に役立つ、業界で認められた標準とフレームワークがいくつか存在します。これらのフレームワークは、セキュリティ関連データの収集、管理、分析、活用に関するベストプラクティスや構造を提供し、データに基づいた計画策定と実行を支援するガイダンスとなります。
AWSクラウド導入フレームワークは、ITガバナンスとセキュリティ管理のシステムを、データ駆動型で構築する場合に、クラウドへの安全な移行を計画して成功を収めるうえで役立ちます。AWS Well-Architected フレームワークは安全なインフラストラクチャをデータに基づいて構築することを支援し、AWSセキュリティベストプラクティスの自動チェックでは、構成データや設定データがセキュリティ基準を満たしているかを自動的にデータ照合し、セキュリティの観点からAWSアカウントを継続的に評価できます。
AWS Well-Architected フレームワークは、さまざまなアプリケーションやワークロードに対応し、安全性、パフォーマンス、回復力、効率性に優れたインフラストラクチャをデータに基づいて構築するための最適なフレームワークです。これに含まれるセキュリティの柱は、データに基づいたセキュリティ設計と運用を支援する5つのコンポーネントから構成されています。これらのコンポーネントは、以下のようなデータ管理・分析・活用に関連する側面に焦点を当てています。
検出: セキュリティ関連データを収集し、異常なデータパターンや脅威データ、脆弱性データなどをデータ分析によって特定するプロセスです。
アイデンティティとアクセス管理: ユーザー認証データ、アクセスログ、権限データなどの管理・分析に基づいたアクセス制御とデータアクセス管理を扱います。
データ保護: データの分類、暗号化、バックアップなど、データの機密性、整合性、可用性に関するデータ管理・保護を扱います。
インフラストラクチャ保護: 構成データ、アクティビティログなどの収集・分析に基づき、データに基づいてインフラストラクチャを保護する管理・技術的措置を扱います。
インシデント対応: セキュリティインシデント発生時の関連データ収集、分析、対応プロセスを扱います。