CSPMとは
CSPM(Cloud Security Posture Management/クラウドセキュリティ態勢管理)とは、イベントの可視化、監査・監視、脅威検知、ポリシー違反是正の自動化など、クラウド環境全体の構成のミスやセキュリティリスクの特定と修正を自動化する仕組みのことです。
代表的な監視観点
| 発見的統制 | 予防的統制 | |
|---|---|---|
| 監視内容 | セキュリティイベントをいち早く検知 | セキュリティポリシー違反を監査 |
| 主要なデータソース | Cloud Trail | AWS Config |
AWSだけで実装する場合の問題点
AWSにもSecurityHubを使うことで発見的統制や予防的統制を管理することができますが、大量アラートが発生することも多いことが実情です。また、セキュリティイベントという性質上、かんたんに無視できず運用負荷になりがちです。
【問題点】
- アラートチューニングに適していない
ログ検索のプラットフォームとの連動に作り込みが必要で、日々のセキュリティイベントの件数の分析などが難しく、件数を減らすためのチューニングが困難です。 - 独自ルールの設定ができない
AWSのベストプラクティスに則ったルールが適用されますが、社内のルールなど独自ルールを導入しずらく、統制の観点で要求レベルを満たさない場合があります。 - アカウントを横断して管理しにくい
このような監査基盤はCCoEなど全社横断の組織が管理することが多く、マルチアカウントの管理が必要となります。
NewRelicで実装した例
このCSPMをAWSの設定とNewRelicを使って実装してみました。
※一部マスキングしています。
- 発見的統制
| No. | 内容 |
|---|---|
| 1 | セキュリティイベントの件数と内容を日次、週次、月次で表示 |
| 2 | イベントのログを表示 |
- 予防的統制
| No. | 内容 |
|---|---|
| 1 | セキュリティルールの順守と違反の件数を表示 |
| 2 | セキュリティルールの順守と違反の割合を表示 |
| 3 | セキュリティルールの改善状況を統計的に表示 |
| 4 | 違反ルールの内容を表示 |
ダッシュボードの考え方
-
発見的制
- 現状を把握する
- 件数と内容をリアルタイムに把握する
- 異変に気づく
- 日次、月次、週次を集計して表示して変化を把握する
- 前週との比較などで異変に気付く
- 現状を把握する
-
予防的統制
- ルールの順守状況を視覚的にわかりやすく
- 準拠は緑、違反は赤
- ルール準拠率を割合で示す
- 推移を見せることで徐々に改善している状況を可視化
- 改善のやる気アップへ
- ルールの順守状況を視覚的にわかりやすく
苦労したポイント
- AWS Organizationsの設定
予防的統制ではAWS Configの設定はAWS Organizationsでガバナンスの設定を行いますが、その部分のIaC化やデプロイで苦労しました。 - EventBridgeの連携設定
Configのルールの状態変化を検知するため、EventBrdgeを活用した仕組みを実装しましたが、イベントの特定などで骨が折れました。
さいごに
New Relic 使ってみた情報をシェアしよう! by New Relic Advent Calendar 2023
に賛同してこの記事を書きました。
具体的な監査ルールに関する考え方などの詳細は改めてCloud Arch お役立ちコラムに近日掲載しますのでお楽しみに!
それでは皆さん良いクリスマスを!