ひときわ暑い夏ですが、夏休みなどすこし時間がとれるときにチェックしておくとよいのがセキュリティ。特にクラウドのセキュリティについてはクラウドの導入期にはいろいろ不安の声がありましたが、クラウドの利用が浸透しつつある中でクラウド事業者の提供するシステムのセキュリティ管理に対する信頼が広まるとともに、やはり外部のシステムを利用するための注意事項があることが認識されるようになってきています。@IT, TechTarget, ZDnetなどのオンラインメディアにこの夏、掲載されたGoogleが提唱するBeyondCorpなどセキュリティに関する最新情報を紹介します。
※下記サイトからの転載。ビッグデータ・AIなどに関するトピックを毎週取り上げています。
TechCrowd: https://www.techcrowd.jp/related/
BeyondCorpなど、Google Cloudのセキュリティにおける進化
@ITのGoogle Cloud Next 2018のレポート記事のひとつで、セキュリティ関連の発表をまとめたレポート記事です。
Googleが、以前から提唱してきている新たなセキュリティモデル「BeyondCorp」についてとりあげている。BeyondCorpは、従来の「VPNを前提とした、ネットワーク境界保護を重視するセキュリティの常識」を再定義した、新たなセキュリティモデルです。
これまでのITセキュリティにおける基本的考え方は、「ネットワーク境界の保護」。一般的な実装として、企業内部に「信頼できるネットワークエリア」を設けること、「DMZ」(インターネット接続のための「緩衝地帯」)を設けること、「外部からの接続にはVPNを利用する」ことが基本的な考え方です。
しかし携帯端末の進化やクラウドの活用が進んでいる他、「多様な働き方への対応」のために全ての携帯端末にVPN接続機能を持たせることで対応を行うためには、増え続ける端末とその種類に対応するのはコストが大きい。
BeyondCorpは、そうした伝統的なVPN戦略から脱却し、ユーザーがより柔軟に、よりセキュアに社内の情報にアクセスできるようにすることを目指したセキュリティモデルで信頼できないネットワークから社内のサービスや情報にアクセスするためにはどこをどのように守るのが肝要かを示したものです。
「Context-Aware Access」は、Next ’18でアナウンスされた、BeyondCorp関連の発表の一つであり、クラウドインフラ上の各リソースに対するアクセス管理機能を、単一のクラウド機能を通して提供するものです。
コンテナ開発におけるセキュリティ関連プロダクトについてもアップデートがあったようです。「Container Registry Vulnerability Scanning」は、開発チームが作成したコンテナイメージをContainer Registryにデプロイすると、GCPがコンテナ自体の脆弱(ぜいじゃく)性について自動でスキャンを行いレポートしてくれる機能です。
Googleなどのパブリッククラウド事業者のサービスを利用することにより最先端のセキュリティ対策環境が利用できることを示す例ですね。
クラウドやサーバレスが浸透、IT運用チームが実践すべきセキュリティ対策は?
TechTargetのクラウド環境でデータとアプリケーションのセキュリティを確保する方法についてまとめた解説記事です。
ビルドプロセスに自動単体テストを組み込んでバグを検出している場合であれば、ビルド段階でセキュリティ脆弱性のテストもしていることが多いでしょう。バグや脆弱性の検出には、SnykやOpen Web Application Security Project(OWASP)をはじめとするさまざまなツールや組織が役立ちます。
AWSを使用する場合であれば、各サービスに厳格なIDアクセス許可があることが非常に重要です。もう1つ重要なのは、IDとアクセス管理(IAM)ユーザー全員に対して多要素認証(MFA)トークンの設定を求めることです。
一方で、厳格なポリシーを設定し、ITセキュリティの役割専門の担当者を配置しても、何らかの問題が発生することは避けられません。そのためクラウド環境での活動を監視することも重要です。AWSユーザーの場合、通常は同社の「Amazon CloudWatch」を通じて監視します。たとえばカスタムアラームを設定することも役立ちます。IAMアカウントが普通のパターンとは異なる操作を実行しているといった、異常な動きを発見するのに有効です。通常とは異なる動作はシステムへの不正アクセスを示す場合があります。
標的となる脆弱性の多くは、WordPressやPHPスクリプト言語で記述されたアプリケーションです。そのため運用チームは疑わしいURLに対する要求に目を光らせ、問題を引き起こすIPアドレスからのトラフィックを全てブロックできる手だてを整えておく必要があります。
ガートナーが説く「クラウドセキュリティにおけるユーザーの責任」
ZDnetの連載「松岡功の『今週の明言』」の中で、ガートナージャパンのイベント「ガートナー セキュリティ&リスク・マネジメントサミット2018」でのガートナーのクラウドセキュリティのエキスパートである米GartnerのNeil MacDonald氏の講演内容を紹介しています。
同氏は「クラウドセキュリティの問題は、クラウドが安全かどうかではなく、ユーザーがクラウドを安全に使用しているかどうかがポイントだ」と説いています。
では、ユーザーがクラウドを安全に使用するためにはどうすればよいのか。同氏はその重要な対策の1つとして、「クラウドに穴を開けてはならない」ことを挙げています。「まず、企業の内部データにおいてインターネット共有を許可しないこと。そして、IaaSやSaaSを利用する際は、データファイルのオープン共有を許可しないように設定することが肝要だ」としています。
同氏はさらに、企業のIT担当者にはクラウドセキュリティならではのスキルを身に付けることが求められると指摘。クラウドセキュリティならではのスキルについては、次のように説明しています。
「これまでのファイアウォールなどの物理的な対策ではなく、クラウドセキュリティは一層ソフトウェアデファインドのスキルが必要になる。つまり、セキュリティ担当者は必要に応じて自らプログラミングして対策を講じるスキルが求められるようになる」
クラウドセキュリティにおける責任の多くがユーザーにあることを説いていたのが印象的だったとのことです。
ZDNet読者が注目した2018年夏までのセキュリティニュース10選
ZDNet Japanの読者が注目したトップ10のニュースを振り返って解説している記事です。
トップ10のうちWindowsに関する記事が半分を占め、特に「Windows 10」にまつわる脆弱性やマルウェアといった話題への関心が高いようでてす。
2015年7月のリリースから約3年が経過したWindows 10は、PCのリプレースが進むのに合わせて着実に広がってきています。米NetApplicationsの調査によれば、2018年7月時点のデスクトップOSにおけるシェアは、Windows 7が41.23%で依然としてトップであるものの、Windows 10は36.58%に上り、その差は徐々に縮まっています。
企業にとって直前に迫りつつある大きなチャレンジが、2020年1月14日に延長サポートが終了(End of Support:EOS)するWindows 7からWindows 10への移行対応。EOSを迎えたOSでは、特別な有償サポート契約などの例外を除けば、セキュリティパッチが提供されません。
Windows 7のEOSまで残り1年4カ月ほど。EOS時点でかなりの数のWindows 7が残存する見込みでありさまざまな企業で危機感をもって対応がせまられているようです。