マルチクラウド環境のアイデンティティセキュリティに求められる6つのポイント

2022年、クラウドセキュリティ市場は草創期にあり、クラウドへの移行やDX（デジタルトランスフォーメーション）が大きな話題を集めると同時に、クラウドセキュリティの保護が緊急の課題となっていました。

企業や組織ではデジタル化やリモート化が進む一方で、セキュリティ対策が追い付かず「セキュリティ負債（デジタル化とセキュリティ対策のギャップ）」が膨らんでいました。また、CSPM（クラウドセキュリティ体制管理）などが登場し、企業や組織のセキュリティリーダーは、セキュリティ対策としてどこから手をつけるべきか、頭を悩ませていました。

2023年になると、クラウドセキュリティの変革は進み、当時急増していたセキュリティ用語は、今では一般的となっています。

例えば、CSPMは今では重要なCNAPP（クラウドネイティブアプリケーション保護プラットフォーム）になりました。この分野では、クラウドアイデンティティ／権限管理（CIEM）により設定を行い、アイデンティティの設定ミスを修正し、パーミッションを調整します。

しかし、世界のトップ企業は共通の課題を抱えています。それは、脅威検知プラットフォームはクラウドの運用管理体制について質の高いインサイトを提供してくれるものの、検知されたアラートの問題解決は簡単ではないことです。事実、大半のセキュリティチームは、自社の環境に適切なリスク軽減策を講じることに苦労しています。

効果的なクラウドセキュリティは、設定やパーミッションの修正にとどまりません。基本的には、クラウド（コンソール、データ、インフラストラクチャ）へのアクセスをコントロールすることが求められます。

こうした検知と修復の溝を解消するためには、クラウド環境の重大な脅威を明確にする必要があります。そうすることで、スムーズな運用が保証されるとともに、潜在的な抜け穴や脆弱性が排除されて、堅牢なクラウド体験を実現できます。

CyberArkは製品開発プロセスの中でアイデンティティセキュリティのフレームワークとして「Insight to Actionフレームワーク」を生み出しました。このフレームワークでは、インサイトを得て、それをもとにアクションを起こし、リスクを軽減するというサイクルを回します。

• 

  「Insight to Actionフレームワーク」の概要

AWS（Amazon Web Services）、GCP（Google Cloud Platform）、Microsoft Azureなどの主要なクラウドプラットフォームを対象に、Insight to Actionフレームワークから得られる6つのインサイトに着目することで、企業や組織はプロアクティブで回復力の高いアイデンティティセキュリティ体制を実現できます。

以下、クラウドのリスク軽減策に役立つ6つのインサイトを紹介します。

インサイト（1）クラウドの非アクティブユーザー

アクセス特権を保持したままで使われていない非アクティブなアカウントは、重大なリスクを伴います。広大なクラウド環境の中で、このようなアカウントは見過ごされるケースが多く、攻撃者にとっては侵入経路の入り口となっています。このようなリスクを軽減する対策として次のような方法があります。

• 非アクティブな状態が一定期間続く場合、自動化機能を通じてアクセスの取り消しやアカウントの無効化を行う。非アクティブアカウントを削除することで、悪用のリスクが排除される。非アクティブなアカウントが減少することで、攻撃者の侵入口を減らせる。

• ユーザーのアクティビティを定期的に調査する。監視ツールを導入し、長期間非アクティブなアカウントを特定・報告する。

• 必要かつアクティブなアカウントのみが存在するよう、ユーザーのロール、パーミッション、アクティビティのアクセスを頻繁に検証する。必要かつアクティブなアカウントのみを維持することで、数多くの規制の枠組みを遵守し続けることが可能。

• 非アクティブアカウントのアクティビティにアラートを設定する。非アクティブアカウントによる思いがけないアクティビティはいかなる場合でも、疑わしいものとして取り扱う必要がある。

インサイト（2）設定ミス

クラウド環境の設定ミスとは、重要な資産やサービスが正しく保護されておらず、企業や組織にさまざまなリスクをもたらす可能性があることを意味します。

モダンなクラウドアーキテクチャは複雑であり、クラウド環境を構成するための設定方法は、数千種類にも及びます。それぞれの設定には、潜在的なシステムエラーの可能性が存在します。何千項目もの設定が存在する中、ほんのわずかな間違いは見過ごされてしまいます。

上記の脅威の対応策としては、以下があります。

• 業界のベストプラクティスに即した形で、クラウドの構成の検証・監査を頻繁に実施する。
• 定期的にアイデンティティ管理（IAM）ポリシーを検証し、最小特権の原則を徹底する。
• 全ユーザーに多要素認証（MFA）を適用する。
• ジャストインタイム（JIT）アクセスモデルを導入することで、ゼロスタンディング特権（ZSP）に対応させる。ゼロスタンディング特権とは、企業ネットワーク内のユーザーに対する永続的なアクセス権限を削除するセキュリティ対策。これはJITアクセスを実現するための手順の一つである。アクセスが一時的に許可されるまでユーザーはログインできないため、永続的なアクセスがもたらすクレデンシャル盗難のリスクを大幅に削減する。これにより、適切な人物に、適切なタイミングで過不足なくアクセス権を付与できるため、リスク領域は大幅に軽減できる。
• 自動化スキャナーを導入する。IAMの設定ミスをスキャンするための高度なツール群を採用・統合する。このプロアクティブなアプローチにより、クラウド（およびその設定）に存在するアイデンティティを総合的に判断し、潜在的な設定ミスを特定できる。

設定ミスが発生した場合、自動化スキャナーだけで問題を特定し、問題の修正に関する実用的な洞察を提供できるため、迅速かつ効果的な解決が可能です。

インサイト（3）クラウドへの永続的アクセス

永続的アクセスの場合、攻撃者がアカウントの不正アクセスに成功すると、検知されるまで無期限のアクセスが攻撃者に渡ります。この時間が長くなると、悪意のあるエンティティ（情報を使用する組織および人、情報を扱う設備、ソフトウェアおよび物理的媒体）は、より強力な足場を確立した後、偵察を実施し、ネットワークの他の部分に侵入できます。

上記の脅威への対策方法としては、以下があります。

• JITアクセスに移行することで、一定期間後またはタスクの完了後に、自動で取り消される一時的なアクセスを提供する。これにより、認証情報の悪用が可能な時間が短縮される。
• アクセス権の検証を頻繁に実施する。ユーザーには、自らのロールに必要なパーミッションのみが与えられ、過剰なパーミッションがあれば、速やかに取り消される。
• 特権昇格のユーザーなど、全ユーザーにMFAを適用する。これにより、セキュリティが強化され、認証情報が漏洩した場合も、攻撃者がアクセスを取得することが困難になる。
• ZSPモデルを採用する。これによりユーザーは永続的な特権アクセスを持たなくなり、厳密に最小限のアクセスの下で管理される。ZSPモデルの場合、ユーザーは必要な時だけ昇格を要求し、期間が終了次第、特権は取り消される。

特権昇格の悪用が想定される時間を制限できることから、ZSPのアプローチは注目を集めています。この結果、ユーザーは必要なアクセスのみを、必要な期間内のみ取得します。ZSPとJITを併用することで、リスクの露呈期間はさらに制限され、潜在的な脅威に対する有効な対策をとることができます。