新しいリスク指数が組織のクラウドセキュリティ混乱対策を支援

出典: Andriy Popov（Alamy Stock Photo経由）

組織は、全体的なセキュリティ体制を維持する一環として、多数のガイドラインに取り組んでいます。新しい指数は、組織がインフラストラクチャ・アズ・コード（IaC）環境に関連するセキュリティリスクを理解し、管理するのに役立つことを目的としています。

IaCは、企業にインフラの自動展開と維持の方法を提供します。セキュリティおよびITチームは、ツールを使用してクラウドやITリソースを管理し、システムの速度やパフォーマンスを向上させ、IT環境全体のセキュリティを強化できます。一方で、IaCの管理が不適切だと、設定ミスや意図しないデータ漏洩につながるリスクが生じます。攻撃者はこうしたミスを利用する可能性がありますし、実際に利用します。

クラウドインフラ自動化スタートアップのControlMonkeyは、企業が自社環境内のどの脆弱なリソースが未管理、ドリフト、またはガバナンス下にあるかを特定し、是正措置の判断に役立てるためのIaCリスク指数を発表しました。セキュリティダッシュボードとして提供され、セキュリティチームはリスクレベルを低から重大まで色分けされたベンチマークで確認できます。

「IaCカバレッジはセキュリティの指標」

この指数の主な目的は、クラウドリスクをその発生源、すなわちインフラが「どこで」「いつ」「どのように」作成されたかの観点から測定し、低減することだと、ControlMonkeyのCEO兼共同創業者であるAharon Twizer氏は説明します。IaCリスク指数は、インフラチームとセキュリティチームの橋渡しとなり、互いの言語を理解し合うだけでなく、協力して運用できるようにします。

Twizer氏は、IaCカバレッジをセキュリティの指標と見なしています。

「IaCパイプライン外で構築されたクラウドリソースは、企業が頼りにしているバリデーション、ポリシー、可視性といったあらゆる管理を回避してしまいます」とTwizer氏は述べます。「そこにリスクが潜んでいるのです。これまで誰もそれを測定していませんでした。」

この指数は2つの主要なデータポイントで構成されています。1つ目は、未管理のIaCリソースで、これはリスクや脆弱性の深刻度が2倍になります。2つ目として、多くの企業がIaCカバレッジを30～40%過大評価しているとTwizer氏は警告し、多くの最高情報セキュリティ責任者もセキュリティリスクを過小評価していると付け加えています。

「ほとんどのダッシュボードは、デプロイ後の検出に焦点を当てています」とTwizer氏は言います。「この指数は、インフラがどのように構築されるか、つまりガバナンスが始まる、あるいは失敗する場所に焦点を当てています。」

企業は複雑なクラウド課題に直面

この指数は、クラウドの複雑さを抱えるあらゆるチーム、つまり基本的にはすべての組織に適用できるとTwizer氏は述べます。異なるクラウド環境にまたがるリソース管理は困難で、多くの企業がハイブリッドなアプローチを取っています。IaCリスク指数は、企業がIaCカバレッジの死角や存在する脆弱性を把握するための実践的なフレームワークを提供することを目指しています。

「問題を修正するだけでなく、それをIaCガバナンスの下に置き、ソースコード自体を修正することが重要です」とTwizer氏は言います。「誰もが脆弱性を抱えていますが、それ自体が問題なのではありません。来年、脆弱性を増やしたいのか減らしたいのか？重要なのは先を見据え、積極的に安全なクラウドインフラ戦略を構築することです。」

重大な脅威を是正する

この種の指数は、まずビジネスにとって重要なインシデントに対する自動是正ワークフローを構築するための良い出発点となり得ると、Enterprise Strategy Groupのアプリケーションモダナイゼーション担当プリンシパルアナリストであるVolk Torsten氏は述べています。IaCリスク指数は、企業が最も重要な是正対象に優先順位を付けて集中するのに役立つ可能性があります。例えば、ネットワークセグメンテーションが不十分なパブリック向けアプリケーションは、内部のパイプライン自動化スクリプトよりも高いリスクをもたらすとTorsten氏は付け加えています。

「パブリックにアクセス可能なS3バケットに社員の休暇写真やマーケティング用パンフレットしか入っていないのか、それとも機密の財務スプレッドシートが入っているのかを把握することは、ますます複雑化・動的化するハイブリッドクラウド環境において非常に価値があります」と彼は述べています。