パロアルトネットワークス クラウドセキュリティスペシャリスト 泉篤彦氏

最近、パブリッククラウド自体の安全性が不安視されることは減ってきたが、企業では複数のクラウドサービスを活用するケースも増えており、利用する上でのセキュリティの課題は増えてきている。

パロアルトネットワークスがこのほど開催した年次イベント「Palo Alto Networks Day 2018」では、同社のクラウドセキュリティスペシャリストを務める泉篤彦氏が「パロアルトネットワークスが考える『クラウドセキュリティ』」というタイトルの下、講演を行った。本稿では、同氏の講演から、クラウドサービスを利用する上でとるべきセキュリティ対策を整理してみたい。

パブリッククラウドベンダーは100%守ってくれるわけではない

パロアルトネットワークスと言えば、次世代ファイアウォールのベンダーというイメージを持っている人も多いだろう。しかし今年6月、米国法人のCEOにソフトバンクグループ元副社長のニケシュ・アローラ氏が就任した。泉氏はニケシュ氏が Googleの元シニア・バイス・プレジデント兼チーフ・ビジネス・オフィサー(CBO)だったことも踏まえ、「CEOが替わったことで、当社が本格的にビジネスをクラウドにシフトすることを実感した」と語った。

泉氏は、クラウドセキュリティとして考えるべきポイントの1つとして、パブリッククラウドのセキュリティを紹介した。

「パブリッククラウドはプロバイダーが守ってくれると考えている人が多いかもしれないが、パブリッククラウドのセキュリティは責任共有モデルに基づいており、これがオンプレミスのセキュリティと違うところ」と泉氏。

責任共有モデルは、クラウドプロバイダーによって、内容が異なる。例えば、Amazon Web Servicesでは、クラウド自体のセキュリティは提供しているプロバイダーが責任を持つが、クラウドの中のシステムのセキュリティはユーザーが責任を持つというルールがある。また、Microsoft Azureに関しては、IaaS、PaaS、SaaSで内容が異なる。

つまり、パブリッククラウドのプロバイダーは完全に安全性を提供してくれるわけではなく、ユーザーはプロバイダーが提供するセキュリティサービスを理解したうえで、それを補完するセキュリティ対策を講じる必要があるというわけだ。

  • Amazon Web Servicesの責任共有モデル

  • Microsoftのクラウドサービスの責任共有モデル

外部からの攻撃と内部セキュリティの監視で対抗

こうしたパブリッククラウドのプロバイダーのセキュリティに対する姿勢を踏まえ、パロアルトネットワークスでは、外部からの攻撃と内部セキュリティの監視を行うことで、パブリッククラウド環境を守っていくという。

外部からの攻撃の防御は仮想化次世代ファイアウォール「VM-Series」が、内部セキュリティの監視は「Evident」というサービスが担う。「Evident」はパブリック クラウド向けのセキュリティとコンプライアンスを確保するためのサービスだ。今年3月に買収を発表したEvident.ioのサービスをベースとしたもので、今年9月、提供を開始した。

加えて、同社の次世代ファイアウォール向け統合管理製品「Panorama」によって、仮想化環境、パブリッククラウド、既存の環境を一元的に監視・管理することができる。

そのほか、リモート拠点やモバイルユーザー向けの出口・入口対策を提供するクラウドベースのセキュリティサービス「GlobalProtect Cloud Service」も利用が可能だ。

Amazon S3の設定ミスから起きる情報漏洩への対策とは

続いて泉氏は、ベライゾンやダウジョーンズによる大規模な情報漏洩の原因となった「Amazon S3(クラウドストレージ)の設定ミス」について、Evidentによる対策を紹介した。ちなみに、Amazon S3のセキュリティ対策に問題があるのではなく、使い方の誤りによって、セキュリティ事故が発生してしまったのだ。

S3における情報漏洩が発生したシナリオとしては、「開発時はエンジニアが公開設定を社内のみに設定」「運用段階で管理権限をユーザーに付与」「ポリシーを理解していない管理者が公開設定を一般公開に変更」といった流れが考えられるという。つまり、攻撃者は一般公開されているS3を探し当てて、不正アクセスによって、情報を奪取したというわけだ。

泉氏は、こうしたパブリッククラウドに対する不正アクセスの対策として、以下を挙げた。

  • パブリッククラウドへのアクセス方法は複数あるため、それらすべてを正しく管理する
  • Webログイン、コマンドライン・インタフェース(SSH、RDP)、APIそれぞれを管理する

Evidentは利用しているAWSのすべてのサービスを監視することができ、リージョンやサービスごとに状況を把握することが可能となっている。具体的には、コンテナやバケット内のデータの検出と分類、ポリシーに基づいたリスクにさらされている場所の評価、公開されているデータの自動修復、マルウェアの隔離などが行える。

また昨今、GDPRをはじめ、企業が順守すべきコンプライアンスの要件が増えているが、EvidentはAWSの設定におけるコンプライアンスの適用率をレポートとして提供する。

  • 「Evident」の画面

泉氏は、AWSのネイティブのセキュリティとの関係について、「重複する部分は一部。われわれのソリューションはAWSのセキュリティを補完する」と述べた。

最後に、泉氏は、同社のクラウド戦略について「最終的には、脅威インテリジェンスクラウドにつなげることを考えている。われわれはポイントソリューションを提供するベンダーとは異なり、脅威インテリジェンスをプラットフォームとして、クラウドセキュリティのためのサービスを提供する」と語った。

  • パロアルトネットワークスのクラウド戦略