Flexera社の2023年クラウド状況調査によると、企業の約90%が複数のパブリッククラウドプロバイダーを利用しています。企業のクラウドユーザーにとって、マルチクラウドワークロードの管理は、クラウドコストの管理に次ぐ2番目に大きな課題です。Microsoft Defender for Cloudは、この課題の解決を支援します。
企業はすでにMicrosoft Defender for Cloudを利用して、AWS、Google Cloud Platform、そしてAzureのセキュリティ設定を監視できます。2023年8月15日以降、企業はセキュリティリスクと攻撃経路を特定し、機密情報をスキャンし、Google Cloudに保存されている機密データを検出できるようになります。これらのクラウドセキュリティ態勢管理機能は、これまでAWSとAzureでのみ利用可能でしたが、今後は3つの主要クラウドすべてに適用されます。Microsoft Defender for Cloudは、AWS、Azure、そして新たにGCPの主要標準のベストプラクティスを自動的に適用することもできます。
ジャンプ先:
- Microsoft クラウド セキュリティ ベンチマークを使用してベースラインを取得する
- グラフデータベースで脆弱性を発見し、攻撃を予測する
- 新しいマルウェアスキャンでクラウドストレージを保護
- Microsoft Defender for Cloud の今後の展開
Microsoft クラウド セキュリティ ベンチマークを使用してベースラインを取得する
「当社のお客様の多くは単一のクラウドを利用していません。それは本当に稀なことです」と、MicrosoftのSIEMおよびXDR戦略担当バイスプレジデント、ラビブ・タミール氏はTechRepublicに語った。「ほとんどのお客様はリスク分散を目的としてマルチクラウドに移行しています。しかし、問題は(それらのクラウドに)一貫した方法でポリシーを適用することです。」
これを支援するため、マイクロソフトはAzureセキュリティベンチマークをクロスプラットフォームツール化し、名称を「Microsoftクラウドセキュリティベンチマーク」に変更しました。MCSBは、インターネットセキュリティセンター(Center for Internet Security)、米国国立標準技術研究所(NIST)、そしてPCIデータセキュリティ基準(PCI-DSS)からの関連推奨事項を統合したものだとタミール氏は説明しました。
「これは、これら3つの標準を整合させ、その技術的な側面をすべて考慮した上で、Azureと比較した場合、またAWSと比較した場合、どのように評価されるかを示すベースラインです。新しいGCPコネクタを使えば、GCPにも対応できるため、3つのハイパースケールクラウドを一度にすべて利用できるようになります。」
GCP ベンチマーク カバレッジはパブリック プレビュー中ですが、GCP 環境を Microsoft Defender for Cloud に追加して、ベスト プラクティスが自動的に有効になる無料のリソース監視を利用できます。
「私たちは一元的なベースライン管理を行っています。ポリシーは設定できますが、それを制御に反映させるのさえ複雑です。なぜなら、(各クラウドにとって)それが何を意味するのかが分からないからです。そこで、私たちはお客様の負担を軽減するために、ポリシーを一元管理しています。」
グラフデータベースで脆弱性を発見し、攻撃を予測する
マイクロソフトは長年、防御側は資産のリストという観点から考えるのに対し、攻撃側はシステムがどのように接続されているかをグラフで考え、最初の侵入からより価値の高いサービスへとジャンプできると主張してきた。
GCPコネクタを使用すると、Microsoft Defender for CloudはAWS、Azure、Google Cloudにわたるクラウド上のあらゆるデータのグラフデータベースを構築できます。そして、そのデータベースを探索することで、どのようなデータがあるのか、そしてどこから攻撃を受ける可能性があるのかを把握できます。タミールはこれを、機密データを特定して保護できる「データ認識型セキュリティ体制」と呼んでいます。
彼はさらにこう付け加えた。「GCPバケットから収集できるすべてのデータを取得し、グラフ内の資産に関連付けています。すべての資産、インベントリ、脆弱性、構成がグラフ内の資産に紐付けられ、接続されるようになりました。」
データはスキャンされ、データ漏洩で失われてほしくない機密データ(クレジットカード情報、社会保障番号、Microsoft Purview で定義したカスタム情報など)がないか確認されます。「DLP(データ損失防止)システムが提供するデータタグ付け機能を使用しているので、同じポリシーでタグ付けできます」と彼は説明します。「このデータを処理する際には、目に留まったものすべてをスキャンしてタグ付けします。これもまた、グラフに追加される重要なレイヤーです。」
クラウドサーバーとDefender Vulnerability Managementコンテナ(もしあれば)(図A)もスキャンされ、クラウドに保存すべきではないシークレット(SSH秘密鍵、アクセスキー、SQL接続文字列などの認証情報)や既知の脆弱性がないか確認されます。これらのワークロードのパフォーマンスには影響しません。「グラフを完全なものにするために、エージェントレススキャンも行っています。グラフを充実させるには、すべてのログとすべてのデータを分析する必要があるからです」とタミールは説明しました。
図A
彼はさらにこう付け加えた。「これらはすべてデータベースに保存され、そのデータベースに対してクエリを実行できます。私たちは、お客様がお持ちのあらゆる情報を相互に関連付けた、見やすいビューを提供しています。」
このように様々な情報を組み合わせることで、問題の深刻度を評価するのに役立ちます。Azure Key Vault のようなサービスにアクセスできる仮想マシンに脆弱性がある場合は、その修正を優先する必要があります。同様に、資格情報にはアクセスできないものの、機密データを含むシステムに脆弱性がある場合も、その脆弱性に注意を払う必要があります。
攻撃経路分析
防御側としてグラフを調査すると、攻撃者と同じようにすべてのリソースを確認できますが、誰もが何を探すべきかを知っているわけではないため、Microsoft はセキュリティ チームが修正が必要なものを優先順位付けするのに役立つツールを構築しています。その 1 つが攻撃パス分析です (図 B )。
図B
「プローブを一切行わず、グラフに蓄積されたすべてのデータに基づいて、考えられる攻撃のセットを提示します。そして、例えば鍵ストレージにアクセスできる脆弱なVMのセットがある場合、その攻撃がどのような影響をもたらすかを示します。潜在的な結果を予測できるため、より重要なことに集中できます」とタミールは指摘しました。「そして将来的には、これは攻撃が現在どこにあるのかだけでなく、どこに向かっているのかを予測するための基盤となるでしょう。」
新しいマルウェアスキャンでクラウドストレージを保護
攻撃者がクラウド ストレージに侵入するのを阻止するだけでなく、ストレージにマルウェアをこっそり侵入するのも阻止する必要があります。
従来、保存中のストレージはマルウェアスキャンの対象とされていません。これは、マルウェアがストレージバケット内に保存されている間は実行できないという前提があるためです。仮にマルウェアが実行可能なエンドポイントに到達したとしても、そこにある防御機能によって捕捉されるでしょう。Microsoft Defender for Cloudは幅広いデバイスを保護できますが、それだけではユーザーの安全を守るには不十分だとタミール氏は警告します。
ある顧客は、サポートエージェントが確認してサポートできるよう、ユーザーが情報をアップロードできるようにしています。タミール氏は次のように述べています。「その情報はエージェントがすぐに確認するため、バケットストレージに保存されてから実際に使用されるまでの時間は非常に短く、マルウェア作成者はこれをマルウェア配布の手段として利用します。今回のケースでは、ランサムウェアでした。」
他の組織では、データガバナンスに関してNISTやSWIFTなどのコンプライアンス規則があり、全データのスキャンが義務付けられていますが、リアルタイムで実行されていません。タミール氏は次のように述べています。「これらの組織はスキャンを怠っており、独自のインフラストラクチャを構築し、VMなどにデータをプルしてスキャンし、元に戻すという作業を強いられています。私たちはそれを実現します。より迅速に、パフォーマンスに影響を与えることなく、アップロード時に実行できます。」
Defender for Storage の新しいマルウェア スキャンは Azure Blob ストレージ専用で、9 月 1 日から Defender for Storage のオプションとして利用可能になり、スキャンされたデータ 1 GB あたり 0.15 ドルの費用がかかります。
タミール氏は、「ファイルスキャンだけでなく、ハッシュやIOC(侵害指標)だけではありません。ポリモーフィックスキャンも行っています」と述べました。マルウェアスキャンは自動化されており、管理が必要なインフラストラクチャではなくサービスとして提供されますが、マルウェア検出時の対応は選択可能です。さらに、「マルウェアが危険であることを通知するだけか、実際に対策を講じるか、あるいは別の場所で対策を講じるか、選択できます」と付け加えました。
Microsoft Defender for Cloud の今後の展開
ストレージのディフェンダー
Defender for Storageのマルウェアスキャンの次のステップは、ファイルのアップロード時だけでなく、それ以降に特定されたマルウェアを探すために、より頻繁にファイルをスキャンすることです。タミール氏は、「日々、マルウェアのポリモーフィックチェーンがより多く発見されています」と示唆しました。クラウドストレージの規模を考えると、これは難しい課題です。「これらは非常に巨大なバケットです。定期的にスキャンしても、決して最後までスキャンすることはできません。そのため、アクセス時やその他のトリガーでスキャンするなど、スマートな方法を見つける必要があります。」
AIと自動化がどのように役立つか
また、Defender for Cloud が顧客を保護するために構築するグラフの情報を使用する機会も大幅に増え、顧客を保護するセキュリティおよび構成設定の間違いを回避し、さらに多くのことが可能になります。
「一般的に、マイクロソフト製品ではポリシーを設定する場所が多数ありますが、それらの間の連携が不十分です」とタミール氏は指摘します。「DLPポリシーを設定する場合、一元的に一元管理したいのです。例えば、Microsoft Purviewなどです。そして、そのポリシーをすべての資産に適用し、すべての適用ポイントでポリシーが適用されるようにしたいのです。個別にポリシーを設定する必要はありません。」
同氏は、こうしたポリシーの適用にかかる作業量を大幅に削減したいだけでなく、適切なセキュリティベースラインを手動で確認して適用する代わりに、自動化と AI によって、そもそも適切なポリシーを設定する作業の多くを行うことができるようになると示唆した。
タミール氏はさらにこう付け加えた。「クラウドでは、侵害後に対処するのではなく、まず構成を正しく設定しようという正しい方法で始めました。ところが、その後、構成の問題も同じくらい大きいことがわかったのです。」
「皆が話題にしているシフトレフトという概念には、まだ多くの手作業、つまり人間が行うべき推論が残っています」とタミールは述べた。「革命は二つの部分から成り立つと考えています。一つ目は、人間が制御するものよりも自動化されたものを増やすことです。情報密度が不可能なため、自動化はここで非常に重要になります。」二つ目のステップは、自動化にAIを追加することです。タミールは「これは、生成AIのような、一見同じように見えて必ずしも同じではない複雑な事柄を推論する上で、非常に良い挑戦になると思います」と述べた。
タミールは次のように結論付けました。「『重複しているコンプライアンスセットを取り上げ、それらすべてに共通する基準は何か、そしてそれを実現するにはどうすればいいのか』と聞かれたら、それは生成AIのようなツールがまさにうってつけの問題だと思います。」
