7分間で読める記事

クラウドネイティブセキュリティ:エンタープライズのリスクを低減

エンタープライズシステムやデータへのセキュリティ脅威が、かつてないほど高まっています。従来のアプローチは(パブリッククラウドプロバイダで採用されているアプローチを含めて)、原因を回避するのではなく、攻撃の兆候があってから対処するといった、相変わらずの後手の戦術です。クラウドネイティブアプリケーションの人気の高まりは、あらゆる点で、従来の知恵に難題をもたらしてきました。インフラストラクチャからアプリケーション開発までといったスタックの至るところで、従来の手法と新しいクラウドネイティブアプローチとの間には明確な違いがあります。成功しそうなパターンやプラクティスとして、DevOpsの文化、継続的デリバリ、およびマイクロサービスアーキテクチャの効果を、ほとんどの人が認めています。クラウドネイティブ時代に向けてセキュリティを再考しない理由は何か?画期的なアイデアとはどこにあるのか?それは、クラウドネイティブセキュリティに関するイノベーションです。これこそ、エンタープライズ内のリスクを低減するための革新的な方法です。


クラウドネイティブなエンタープライズセキュリティとは?

効果的なエンタープライズセキュリティこそが、クラウドネイティブセキュリティです。クラウドネイティブセキュリティには、次の3つの原則があります。

修理

脆弱性があるソフトウェアを、アップデートが利用可能になるとすぐに修理します。

再舗装

既知の良好な状態からサーバーやアプリケーションを再舗装します。これは頻繁に行われます。

ローテート

ユーザーの認証情報を頻繁に変更させて、短期間しか使用できないようにします。

これらは、修理(repair)、再舗装(repave)、ローテート(rotate)ということで、セキュリティの3つのRとして知られています。





このセキュリティに対する新しいアプローチは、今、非常に必要とされています。なぜ現状において従来型のセキュリティが破たんしているのかを理解するため、「Symantec 2016 Internet Threat Report」で示されていた少々恐ろしい現実に目を向けてみましょう。2015年の気になる統計をいくつかご紹介します。

毎週、新たなゼロデイ脆弱性が発見されている

5億件もの個人情報が盗まれた、または喪失した

ウェブサイトの4分の3に脆弱性が見つかった

従業員を狙うスピアフィッシング攻撃が55パーセント増えた

ランサムウェアが35パーセント増えた

脅威の数が飛躍的に増大し、攻撃の動きがますます速くなっていますが、データセンターに大打撃を与えるようなタイプの脅威は、次のように比較的シンプルなものです。

マルウェア

これは、ウイルス、トロイの木馬、ワーム、スパイウェア、その他悪意のあるプログラムすべてに当てはまる用語です。

持続的標的型攻撃(APT)

APTとは、ネットワークへのアクセスに成功した攻撃者が、長期にわたって検出されずに留まるタイプの侵害です。脅威が検出されずに留まればそれだけ、データのリスクが高まります。

認証情報の漏洩

認証情報は、情報またはその他のリソースへのアクセスを制御します。重要なシステムに対する従業員の認証情報を組織がいかに厳しく閉じ込めようとしても、相変わらず外に漏れてしまうようです。


クラウドネイティブエンタープライズセキュリティが重要である理由

データセンターのセキュリティが破たんしている

今日、企業における従来型のセキュリティはスピードを落とすことを強く求めています。リクエストを提出しても、その回答はほぼ常に「ノー」で、変更はあらゆるレベルで拒否されます。なぜなら変化は潜在的な脅威のサインだからです。このアプローチは、アプリケーションの開発や運用に対するアプローチに逆行するものです。開発チームと運用チームは現在、新しいコードをより迅速に提供するための新しい手法(DevOpsとして広く知られる)に協力して取り組んでいます。高度化と進化を続ける絶え間ない脅威により、セキュリティチームは、クラウドネイティブ時代の中で、自らのアプローチを再考することが求められています。

かつてないほど高速に進化する脅威

マルウェアと高度な持続型脅威が蔓延しています。悪意のあるプログラムをただ同然で作成し、デプロイすることが可能になっています。日々、何百もの新たな脅威が企業のシステムへの侵入を試みています。従来のセキュリティ手法は、このようなすばやい進化はできません。クラウドネイティブアプローチは、システムの外部との境界線と内部の両方への保護を提供します。

認証情報の漏洩防止が可能に

認証情報は常に漏れるものであるということが事実であっても、システム管理者はそれを黙って見過ごしているわけにはいきません。これまで数週間または数か月だった認証情報の有効期限は、ハッカーたちに脆弱性を見つける時間を多く与えていましたが、これを数時間、またはたった15分に短縮することができます。クラウドネイティブセキュリティのアプローチでは、認証情報が漏れても、情報自体の価値がすぐに無くなるようになっています。


企業は、自らが直面しているセキュリティ課題を現実的に評価し、なぜ現在のセキュリティ手法が不十分なのかを理解する必要があります。

意図的にパッチを行わないことが原因で、システムがリスクにさらされているのではないか?

ベンダーは、素晴らしいことに、継続的にパッチをリリースしています。しかしながら、一般的な企業は数年にわたって何千ものサーバーを購入し、それぞれに異なるソフトウェアパッケージをロードしているのが現実です。それらのシステムに定期的に(しかも迅速に)パッチを適用する労力は、気が遠くなるほどです。そこで何が起きるかというと、システム管理者は現実主義的になり、物事に優先順位をつけます。つまり、意図的にシステムへパッチを適用しないことを選択するのです。これぞプロセスの破たんです。

組織、プロセス、ツールは、脅威を防止するよりも、後から脅威に対応するよう設計されているのではないか?

攻撃を検出する頃には、時すでに遅しです。また、侵害を見つけることは始まりにすぎず、その後、元の常態に戻す仕事が待っています。

セキュリティベンダーからわずかな改善策しか提供されていないのではないか?

クラウドネイティブ時代の大手ベンダーは、確かに10年前に支配的だったプロバイダとは視点が違います。しかしセキュリティ分野における革新的ベンダーはどこにいるのでしょうか。企業の購買担当者とセキュリティベンダーは、今だドットコム時代と同じ製品についての、同じ内容の会話をしています。今や、製品は「サービスとして」デリバリされるか、オンプレミスのプライベートクラウドに追加されるか、またはパブリッククラウド内の仮想アプライアンスとして提供されます。これらは、サービスとしてのインフラストラクチャ、アジャイル開発、またはマイクロサービスと比較すると、エンタープライズITの進化としてはさほど驚くべきものではありません。

実稼働システムの頻繁なアップデートができていないのではないか?

新しいソフトウェアを実稼働させるには、数か月かかります。苦労が多く、困難な道のりであり、いったん新ソフトウェアがオンラインになると、変更を施すことを望む人は誰もいません。なぜでしょう。変更によって壊れるかもしれないからです。壊れることは望ましくないことですが、もっと悪いことがあります。それは静的な環境が、攻撃の格好の的になることです。今日のようなシステムの管理方法ほど、攻撃者を喜ばせるものはありません。そして残念なことに、サイバー犯罪者もそれを知っています。

このような、「ゆっくり行く方がリスクが減る」という考え方はすべて、より大きな問題の兆候でもあります。実際は、逆こそが正しいのです。システムの変更が早いほど、侵入が難しくなります。これが、クラウドネイティブセキュリティの核となる考え方です。



大きな違い:クラウドネイティブセキュリティと従来のエンタープライズアプリケーションセキュリティとの比較
クラウドネイティブセキュリティ
従来のエンタープライズセキュリティ
自動化。 システムが迅速にアップデートできれば、脅威は抑制される。不変なインフラストラクチャの自動化と調整は、特有の(だからこそ問題な)セキュリティ構成を有するシステムの排除に役立つ。 監視され、機器化されている。 組織は、システムの変化がマルウェアの兆候と確信しているので、データセンターの変化を検出するための多大な設備投資を行っている。
プロアクティブ。 マルウェアは、脆弱なソフトウェアや静的で変更されないシステムでこそ蔓延する。優先すべきは、システムの状態を積極的に変更して、マルウェアが生き残るために必要な条件を排除することである。 後手の対応。 脅威の迅速な検出が優先されている。脆弱性が特定されてから、脅威を抑制する手順が実行される。
一からの再デプロイを通じたパッチ適用。 パッチは、利用可能となったらすぐに適用される。最新のソフトウェアから成る新しい「ゴールデン」イメージは、自動化および不変のインフラストラクチャの概念を用いて、データセンター全体に適用される。 パッチを少しずつ適用。 パッチは、内部チームによる承認が出てから、少しずつシステムに適用されるオペレーティングシステムやミドルウェア用パッチは優先順位付けされてから、適用される
変更の推進。 組織は、システムの変更が早いほど、それだけマルウェアの侵入が難しくなると確信している。 変化への抵抗。 組織は、変更の頻度が低ければ、それだけ会社が安全になると信じている。



脅威に対応する際の考慮事項

より速いペースの変更により、会社の安全がより高まるという考え方は新しいものですが、実証されています。銀行から小売り、電気通信業者、自動車メーカーまで、世界最大の企業のいくつかは、クラウドネイティブ開発やオペレーションから借りてきたいくつかの概念を含め、クラウドネイティブセキュリティを頼りにしています。

次の3つのタイプの脅威とその原因を検討する際に役立つ3つのRアプローチをご紹介します。



脅威
原因(root cause)
Cloud-Native Mitigation Approach
マルウェア 構成ミスされた、またはパッチ未適用のソフトウェア上のフィード。オペレーティングシステムやアプリケーションスタックへパッチをデプロイするのは、仮想化された環境であっても、数か月かかる場合がよくある。企業にとって、サーバーを6か月以上にわたって脆弱なままにすることは珍しいことではない。 脆弱性があるソフトウェアを、アップデートが利用可能になるとすぐに修理する。
持続的標的型攻撃(APT) ネットワーク内部で猛威を振るうまでには時間がかかる。APTは、少しずつ変更される環境で猛威を振るう。システムが前回の既知の良好な状態にまで修復されることはめったにない。 既知の良好な状態からサーバーやアプリケーションを再舗装して、攻撃が発生しそうな時間を減らす。
認証情報の漏洩 認証情報のローテートはめったに行われない。よって、攻撃者が何か情報を見つけた場合、それらの情報は長期にわたって有効、有用であり続ける。 認証情報を頻繁にローテートさせて、短期間しか使用できないようにする。



クラウドネイティブセキュリティとPivotal

Pivotalは組織が3Rモデルを採用できるよう、次のとおりお手伝いします。

Pivotal Operations Managerを使用すれば、企業はデータセンター内のすべての仮想マシン(VM)を、アプリケーションのダウンタイムなしに、既知の良好な状態から数時間ごとに再舗装できます。Concourseといった継続的インテグレーションツールからアプリケーションをデプロイできます。アプリケーションコンテナもまた、数時間ごとに再舗装できます。
組織は、一貫してパッチが利用可能となってから数時間以内に、脆弱なオペレーティングシステム(OS)やアプリケーションスタックを修理できます。これは、ゴールデンイメージの従来の使用法にひねりを加えたものです。Pivotalはこれを「stemcell(幹細胞)」と呼び、Pivotal Cloud Foundry顧客に向け、最新のOSパッチでstemcellを更新します。その後、管理者は新しいイメージを自らの環境にロールアウトできます。アプリケーションスタックに対して、Pivotalはビルドパックを使用して、最新のランタイムやフレームワークの使用を保証します。
企業は数分または数時間ごとにシステムの認証情報を簡単にローテートできる必要がありますが、現在のシステムは何十もの個別の認証情報が含まれている場合があるため、今日の企業にとっては骨の折れる仕事となっています。当社は自動化された認証管理に取り組んでいます。現在、Pivotalの顧客はマルチファクター認証機能を搭載した識別管理システムを使用してシステムを保護できます。

さらに、Pivotalは業界標準やセキュリティ要件を確実に順守できるよう支援します。

PCIコンプライアンスは、Pivotal Cloud Foundryを使用することで改善できます。特に、オプションのIPsecアドオンモジュールを使用することで、IPsecのstrongSwan実装により、OSIモデルのネットワーク層にセキュリティを追加できます。IPsecアドオンは、各BOSHデプロイ済VMに対して、strongSwanジョブを提供します。IPsecは、ホスト間、セキュリティゲートウェイ間、およびセキュリティゲートウェイとホスト間のIPデータフローを暗号化します。IPsecアドオンは、Cloud Foundryデプロイメント内のネットワークトラフィックをセキュリティ保護し、悪意のある攻撃者がファイアウォールを侵害してきた場合に内部システムを保護します。また、PCI規制に準拠しています。
シングルサインオン(SSO)は、Pivotal Cloud Foundry上のアプリケーションやAPIへのアクセスをセキュリティ保護する、オールインワンのソリューションです。SSOサービスは、ネイティブ認証、フェデレーション型SSO、および権限付与へのサポートを提供します。運用担当者はネイティブ認証とフェデレーション型SSO(たとえばSAMLなど)を構成して、アプリケーションユーザーの識別情報を検証します。認証後、SSOサービスはOAuth 2.0を使用して、リソースまたはAPIを保護します。
Pivotal Cloud Foundryは、ロールベースのアクセス制御(RBAC)システムを使用して、組織またはスペース内におけるユーザーのロールに応じて、適切なランタイムユーザー権限を弾力的に付与します。


Pivotalがもたらす転機
ある大手投資銀行は、Pivotalから定期的に提供されるstemcell(幹細胞)アップデートを用いて、銀行の環境からCVEを頻繁に排除しています。
すべてのPivotal Web Services顧客は、Pivotalによってパッチ適用され、厳格にテストされたランタイムビルドパックを使用して、アプリケーションをローンチします。2つの最新バージョンが利用可能となることで、古い(そしてより脆弱な)バージョンの使用を防止できます。
ある自動車メーカーは、Pivotal Cloud Foundryのロールおよび権限付与機能を使用して、何十ものチームや何百ものマイクロサービス全体で、アクセスを区分しています。



Pivotal Cloud Foundry
完全に自動化されたセルフサービスデプロイを可能に


Pivotal Web Services
Pivotal Web Servicesの無料トライアルを使用して、今すぐマイクロサービスをデプロイする


IPsec Add-On for PCF
VM間のネットワーク通信を保護するためのIP層での認証と暗号化


クラウドネイティブセキュリティ関連の資料をお探しですか?

全ての資料を表示

Get started with Cloud-Native Security
クラウドネイティブプラットフォームはコンプライアンスとセキュリティにどう役立つか

続きを読む

Pivotal Cloud Foundryアプリケーションのための、エンタープライズ級のシングルサインオン

続きを読む

Learn how to deliver software like Pivotal and Google

Find your city

Read Next
マイクロサービス