クラウドの構成ドリフトを防ぐには

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第26回目となる今回は、「クラウドの構成ドリフトを防ぐには」と題して、SaaSアプリケーションやIaaSプラットフォームを利用する組織が、Varonisを使用して、これらのプラットフォームとアプリケーションが正しく構成されていることを確認し、データセキュリティ態勢を改善する方法を紹介する、当社Nathan Coppingerのブログ記事をご紹介いたします。

組織は、利便性、柔軟性、費用対効果のために、SaaSアプリケーションやIaaSプラットフォームを利用しています。これらのプラットフォームでは、サービスプロバイダーが基盤となるインフラストラクチャーのホスティング、管理、安全確保に責任を負います。

しかし、責任共有モデルでは、これらのプラットフォームとアプリケーションが正しく構成されていることを確認する責任は、エンドユーザーに課せられています。

柔軟性を提供するこれらのプラットフォームは、安全な環境を構築することが困難で、適切に対処しなければ重大なセキュリティとコンプライアンスのリスクに繋がる可能性があります。

初期設定後も、継続的な警戒が重要です；文書化されていないか承認されていない設定変更が行われた場合や、プロバイダーがシステムを更新して誤ってシステム設定をした場合に、構成ドリフトが意図せず発生する可能性があります。

IBMのデータ侵害のコストに関する調査レポート（2023年版）によると、クラウドの構成不備は、脅威アクターが組織に侵入してデータを盗むために使用する攻撃方法の第3位です。

市場に出回っている態勢管理ツールのほとんどは、環境内の問題を表面化させるだけで、その問題を修正する方法を提供していません。これらのソリューションでは、見つかった個々の問題について、手作業による修正作業を依頼するワークフローを設定する必要があります。

Varonisの自動化されたデータセキュリティ態勢管理プラットフォームを使用すると、セキュリティチームは以下のことを行なえます：

•    重要なSaaSおよびIaaSのデータストアを継続的に監視し、構成不備を表面化。
•    一般的なフレームワークや規制に準拠していない構成ドリフトを特定。
•    重大な構成不備やデータの露出を即座に自動的に修正。

Varonisのセキュリティに関する専門知識を活用してデータセキュリティ態勢を改善。

Varonisは、Salesforce、Google Workspace、Oktaなどの重要なSaaSアプリケーションや、AWS、Azureなどのクラウドインフラストラクチャーを継続的に監視し、機密性の高いデータをリスクに晒し、コンプライアンス違反を引き起こしたりする可能性のある構成不備を、積極的に検出して警告します。

セキュリティ態勢ダッシュボードでは、一般的なセキュリティの構成不備を探すだけではなく、Varonis Threat Labsの精鋭サイバーセキュリティ研究者の調査結果が取り入れられており、研究者が発見した構成不備リスクに基づいて定期的に更新されます。

Varonisは、クラウド環境全体で発生する構成不備を特定します：

•    一般公開されているバケットやコンテナ
•    パスワードポリシーの欠如
•    多過ぎる管理者
•    MFAポリシーの欠如
•    等々

コンプライアンスを維持するために、構成のドリフトを特定、修正。

Varonisの態勢管理ダッシュボードには、Center of Internet Security、NIST、ISO、HIPAA、VaronisのThreat Labsチームからのベストプラクティスと要件が組み込まれています。ダッシュボードは、各フレームワークに対する全体的なセキュリティ態勢をベンチマークして、セキュリティ態勢がコンプライアンスに違反している箇所を特定します。

Varonisは、構成ドリフトの特定だけではなく、問題の修正も支援するため、データセキュリティ態勢を改善し、コンプライアンスの維持することができます。

Varonisは、業務への影響を与えない自動化された態勢管理機能を使用して、自動的かつ継続的に構成不備を修正できるようにします。

あるいは、構成に関する知見で、推奨事項や手作業での修正が望ましい場合の詳細な段階が示された手順を提供します。

全体的なセキュリティ態勢の監視、改善。

Varonisは、クラウド環境全体のデータセキュリティ態勢を一元的に把握できるようにすることにより、過剰なアクセス権、一般公開露出、構成不備、サードパーティアプリケーションにより機密性の高いデータがリスクに晒されている場所を、組織が迅速に特定できるように支援します。

Varonisは、自動化を活用して、組織が一枚のガラス窓から容易にセキュリティ態勢を改善できるようにします。

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/configuration-drift

・当コラム 第8回 「組織における責任共有モデルの理解と適用」
https://www.innovations-i.com/column/data-security/8.html

・IBM データ侵害のコストに関する調査レポート
https://www.ibm.com/jp-ja/reports/data-breach

・当コラム 第11回 「DSPM購入ガイド：DSPMソリューションの選び方」
https://www.innovations-i.com/column/data-security/11.html

・DSPMソリューション
https://www.varonis.com/ja/use-case/dspm

・Salesforceのデータセキュリティ
https://www.varonis.com/ja/integrations/salesforce

・Google Driveのデータセキュリティ
https://www.varonis.com/ja/integrations/google-drive

・Oktaのデータセキュリティ
https://www.varonis.com/ja/integrations/okta

・AWSのデータセキュリティ
https://www.varonis.com/ja/integrations/aws

ブログ記事著者の紹介

Nathan Coppinger

Nathanは、最先端のテクノロジーを学ぶことが好きでしたが、コーディングをするための忍耐力はありませんでした。そこで彼は、ソフトウェアコードの背後にいる才能ある人々を代弁するマイクとなるという自分の立ち位置を見つけました。

（翻訳：跡部 靖夫）