1. HOME
  2. イージスEW
  3. CLOUD(クラウドプラットフォーム診断)

イージスEW

AEGIS-EW

CLOUD(クラウドプラットフォーム診断)
ペネトレーションモードのみ有効

グリッドカラムアイテムリンク

CSPM 概要

グリッドカラムアイテムリンク

AWS Cloud Scan 機能概要

グリッドカラムアイテムリンク

Azure Cloud Scan 機能概要

CSPM 概要

 CSPM(Cloud Security Posture Management)とは?

CSPM(Cloud Security Posture Management)は、クラウド環境におけるセキュリティポスチャー(セキュリティの状態)を管理、監視、改善するためのプロセスを指します。これにより、クラウドインフラの設定や運用の中で発生するリスクや脆弱性を発見し、迅速に対処することができます。

CSPMは、AWSやAzure、Google Cloudなどのクラウドサービスにおける設定ミスや脆弱性を自動的に検出し、それらのリスクを最小化するために必要なアクションを提案します。これにより、企業はクラウドサービスの管理が複雑になりがちな中で、セキュリティのベストプラクティスに沿った運用を確保することができます。

 なぜCSPMが必要なのか?

クラウドの普及とともに、企業の多くのインフラがクラウドサービスに移行していますが、クラウドプラットフォームのセキュリティ管理は、オンプレミス環境とは異なる課題を伴います。特に、クラウドはスケーラブルで動的な環境であるため、設定ミスや不適切なアクセス制御が脆弱性として顕在化しやすいです。

例えば、AWSを使用する場合、デフォルトの設定ではセキュリティグループやIAMの設定ミス、不適切なS3バケットの公開設定、CloudTrailの未設定など、セキュリティリスクが潜んでいます。これらの設定ミスは、攻撃者による不正アクセスや情報漏洩を引き起こす可能性があり、企業のビジネス運営に重大な影響を与える可能性があります。

CSPMはこうしたリスクを予防するために、継続的なセキュリティ状態の監視とリスク評価を行い、組織のクラウドインフラがセキュリティのベストプラクティスに基づいて構成されているかを検証します。また、CSPMはセキュリティインシデントが発生した場合に、その原因を特定し、再発防止のための改善提案を行うため、企業のクラウド運用をより堅牢にするための重要なツールです。

 CSPMがクラウドにおいて必要な理由

AWSなどのクラウド環境は非常に便利でスケーラブルですが、その分、デフォルト設定が必ずしもセキュアでないことがあります。特に、AWSでは複数のサービス(EC2、S3、VPC、IAMなど)が相互に連携しており、個別に設定を見直していく必要があるため、設定ミスや見落としが大きなリスクにつながりやすいです。

イージスEW・ペネトレーションモードにおけるCloud Scanでは、「Amazon AWS」および「Microsoft Azure」をサポートしています。いずれの場合も、ペネトレーションテスト開始前に、AWSおよびAzureアカウントとイージスEWとの紐付け作業を行う必要があります。

AWS Cloud Scan 機能概要

 AWSでのCSPMの役割

セキュリティ設定の自動評価:デフォルト設定をはじめとするAWSのセキュリティ設定を自動でチェックし、リスクのある設定や脆弱性を特定します。

  • リアルタイム監視
    クラウド環境は頻繁に変更されるため、リアルタイムでセキュリティポスチャーを監視し、設定変更がセキュリティポリシーに沿っているかを常に確認します。
  • ベストプラクティスへの準拠
    AWSや業界標準のセキュリティベストプラクティスに従い、設定ミスや脆弱な設定を早期に発見・修正します。
  • セキュリティインシデントの早期発見
    クラウド環境内のアクセスログや異常なアクティビティを監視し、インシデントの兆候を早期に発見して対処することができます。

AWSでCSPMを実行する必要性

  • 設定ミスの検出
    AWSの初期設定ではセキュリティ設定が不十分であるため、CSPMによって迅速にリスクを発見し、修正することができます。
  • 法令遵守の支援
    CSPMは、クラウドセキュリティに関する規制や法的要件に準拠するためのツールとしても役立ちます。たとえば、GDPRやHIPAAなどの規制に基づいた設定の確認が可能です。
  • 自動化されたセキュリティ運用
    クラウド環境は非常にダイナミックで、セキュリティ設定の手動管理が煩雑になりがちですが、CSPMは設定を自動で評価し、効率的に運用できる環境を提供します。

 Amazon AWSプラットフォーム脆弱性診断の具体例

クラウド環境下におけるセキュリティインシデントの9割以上は「設定ミスに起因」しています。AWSのデフォルト設定は十分に安全とは言えず、特に非専門家にとってはリスクが伴います。設定ミスを素早く検出し、修正・対策を行う必要があります。『イージスEW』における『Amazon AWSセキュリティ診断機能』は、その課題を解決して企業におけるセキュリティ体制強化を支援します。

◆『Amazon AWSセキュリティ診断機能』とは?

下記、項目群の脆弱性診断が追加されています。

【ルートアカウントの設定】
 ルートアカウントに対するハードウェアMFA(Multi-Factor Authentication)の有効化を確認。

【CloudTrailの有効化】
 全リージョンにおけるCloudTrailの適切な設定を診断。

【VPCのセキュリティグループ設定】
 VPC(Virtual Private Cloud)におけるデフォルトセキュリティグループが不要な通信を制限しているかをチェックし、VPCフローのログ記録や複数リージョンでの設定も確認。

【S3の公開アクセスブロック】
 Amazon S3におけるパブリックアクセスのブロック設定を確認。

【CloudWatchイベントアラーム設定】
 重要なセキュリティイベントに対するアラーム設定(IAM:Identity and Access Management)ポリシー変更、ルートアカウントの使用、APIの不正利用など)を自動的にチェック。

◆ デフォルト状態でのAWSプラットフォーム診断事例

下図は弊社テストサーバにて、Amazon AWS上に初期状態アカウントのみ開設した状態(一切の設定情報を行っていない)でデプロイした際の脆弱性診断結果です。ペネトレーションモードでの実施となります。

結果としては、IAM(Identity and Access Management)のMF設定不備による「緊急(赤色)」が1件、VPCやCloudTrailの設定不足による「重大(オレンジ)」が35件発生しております。

上記の例が示すとおり、Amazon AWSデフォルト設定では「セキュリティ上の問題」があります。「AWSプラットフォーム診断」を行うことによって、「現在抱えているリスクの明示化」と「的確な修正箇所の指摘」が必要です。

Azure Cloud Scan 機能概要

 サービス概要

イージスEWによるAzure Cloud Scanは、Microsoft Azureクラウド環境に対する包括的なセキュリティ評価を自動化するサービスです。CSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)のベストプラクティスに基づき、Azureリソースの設定ミスや脆弱性を特定します。
この機能では、クラウドサービスのセキュリティの設定状況をチェックして、不適切な設定やコンプライアンス違反、脆弱性がないかを可視化します。

 主な機能

  • ID・アクセス管理設定の検証:Microsoft Entra IDの設定、多要素認証の実装状況、テナント作成権限などを評価します
  • ネットワークセキュリティの監視設定の検証:ネットワークセキュリティグループ、パブリックIPアドレス、ファイアウォールルール設定が適切であるかを評価します
  • ポリシー管理の確認:Azureポリシーの割り当てや変更に関するアラート設定を検証します
  • IoTセキュリティの強化:IoTデバイスの脆弱性に対するセキュリティ対策を評価

 包括的なレポート作成

イージスEWによるAzure Cloud Scanでは、検出された問題点を重要度別に分類します。グラフィカルな色分けはそのまま脆弱性の重要度を示しており、どの項目から着手していけばよいのかを示しています。特定されたリスクに対しては、その潜在的な影響を詳細に説明します。イージスEWによるAzure Cloud Scanでは、修正必要性への理解を手助けるだけでなく、具体的な改善推奨事項を手順付きで提供して解決まで導きます。

図1. Azure Cloud Scanの表示例。緊急度別に色分けされ、脆弱性を解消する重要度に応じて修正順序が判断でき、効率のよいハードニングを実施することができます。

 継続的なモニタリング

イージスEWによるAzure Cloud Scanでは、下記の項目についてモニタニングを行うことが可能です。

  • リソース変更の自動監視によるリアルタイムの脅威検知
  • セキュリティアラートの自動通知システム
  • サブスクリプション全体のセキュリティ状況の可視化

定期的なモニタリングを行うことにより、Azure Cloudの設定に変更があった場合でも検出が可能となり、Azure導入後の管理を視覚化します。

 イージスEWによるAzure Cloud Scan対応領域の一例

(1) Microsoft Entra ID(旧Azure Active Directory)のセキュリティ設定

Entra IDに対してのログイン時MFA(Multi Factor Authentication)実装状況、アプリケーション作成権限の安全性などを監査します。

図2. イージスEWによるEntra ID監査の一例。Entra IDに対して、MFAが設定されていないことが検出されています。また、修正方法が提示されており、どのように対策すればよいか一目でわかります。

(2)グループとアプリケーション管理のアクセス制御

デプロイ済みアプリケーションに対しての公開範囲が適切であるかを監査します。

図3. イージスEWによるアプリケーション公開範囲監査結果の例、カスタム開発されたアプリケーションの登録が、管理者以外にも許可されているリスクについて指摘している

(4) サブスクリプションレベルのモニタリングとアラート

サブスクリプションレベルでのポリシー割り当ての削除イベントを監視し、ポリシーの変更を検出します。これにより、ポリシーの変更を追跡することが可能になり、コンプライアンス違反の検出が容易になります。

図4. 図では、サブスクリプション単位でのポリシー検出設定がされていないことが指摘されている。
また、具体的な設定方法を手順に沿って説明することにより、修正を容易に行うことができる。

(5) Microsoft Defender for Cloudの設定

Microsoft Defender for Cloudにおけるセキュリティアラートが、サブスクリプション所有者に通知可能な状態かどうか調査します。れにより、リスクを適時に軽減するために、適切な担当者が侵害の可能性を認識できるようになります。


図5.  Microsoft Defender for Cloudの通知状態を監査した結果、「追加メールアドレス」フィールドにセキュリティ担当者のメールアドレスの追加が必要であることが判明している。図では、組織のセキュリティチームがこれらのアラートに含まれる設定が推奨している。


 イージスEW Azure Cloud Scan導入のメリット

  • Azure運用時のリスク軽減: クラウド環境における設定ミスや脆弱性を早期に発見し、セキュリティインシデントを未然に防止します。
  • コンプライアンス対応: 業界規制やベストプラクティスへの準拠状況を継続的に評価します。
  • 専門知識の補完: セキュリティ専門家による推奨事項で、組織のクラウドセキュリティ体制を強化します。
  • セキュリティ監査の効率化: 手動での監査作業を自動化し、セキュリティチームの負担を軽減します。

 イージスEW Azure Cloud Scanまとめ

クラウド環境におけるインシデントの多くは、「知識不足」から来ています。イージスEW Azure Cloud Scanを実施することにより、専門知識を補完してクラウド環境を安全に保ち、セキュリティリスクから組織を守ることが可能です。これからも未来研究所では、サイバーセキュリティ事業を通じて、「安心・安全なサイバー空間の実現」に尽力いたします。