１．リアルタイムでの設定ミスの検知

Amazon AWSの設定変更に関して、従来は定期的にAPIを実行した結果から設定不備を検知していました。

現在はAmazon EventBridgeと連携し、Auditログを取り込むことにより、設定変更のトリガーを判断できるようになりました。

設定の変更は設定の確認画面から行います。（図1）

この機能を有効化することにより以下2点のメリットがあります。

• リアルタイムに変更を検知するため、変更した内容に設定不備が含まれていないかもほぼリアルタイムで検知可能
• 定期スキャンではなく、変更をトリガーとするため、変更時以外にAPIを実行する必要がなくなり、API実行数の低減

図1. Amazon EventBridgeの有効化

２．関連するリスクの可視化

従来通り、特定のリソースに対して、そのリソースの設定不備を表示しますが、更にフローログやRuntime Security機能（CWPP）等、複数の機能と組み合わせることにより、関連するリスクの可視化ができます。

ここで言う”リスク”とは、アプリケーションが攻撃・侵害される要素の有無を指します。

複数のリスクの組み合わせにより、より驚異のある状態のリソースが分かるようになり、より緊急での対応が必要であるリソースが何か、どのような修正を行うべきかが判断しやすくなりました。

例えば、接続元の制限なく公開されてしまっている状態のインスタンスA（CSPM機能で検出）と、外部には公開していないが、内部での通信に制限をかけていないインスタンスB（CSPM機能で検出）に外部からAを経由してBに通信が発生している（フローログ）といった事象や、更にBにLog4jの脆弱性のあるイメージが動作している（Runtime Securityの脆弱性検知機能）、実際に攻撃が行われてマルウェアを埋め込まれた（Runtime Securityのマルウェア検知機能、フォレンジック機能）といった内容を一元で見ることが可能です。（図2）

図2. 関連するリスクの可視化

３．機械学習ベースの脅威検出

設定不備やコンテナイメージの動作異常の他にも、フローログや監査ログから通常を学習し、通常発生しない動作から攻撃を検知することができます。（図3）

図3. 機械学習に無い不審な行動

たとえば上記の例ではネットワークインターフェイス削除のAPIが連続的に実行されていることがわかります。このような挙動は場合によっては外部から攻撃されている可能性も否定できません。 こういったアラートをトリガーにして、実際に削除対象となっているネットワークインターフェイスのIDをResource Configから特定できるため、より詳細な挙動の確認や調査によりスムーズにつなげていくことが可能です。

４．IaCセキュリティ

Application SecurityのIaCセキュリティにてテンプレートの設定不備を検知することができていましたが、更にテンプレートの修正概要履歴が確認できます。(図4)

図4. 修正の概要

IaCは環境の構築や問題発生時のロールバックなどの作業をコードベースで自動化する技術です。作業員のアサインや作業の工数、ヒューマンエラーの発生といった問題への対策として今日IaCは非常に注目されていて、グローバルでは多くの組織が活用を始めています。

一方で、コードベースですべての作業が完結する状況においては、そのコード自体がすべてのリソースや設定を定義するため、いつだれがどのような変更を行ったかのトレーサビリティは非常に重要な要素です。

また、せっかくIaCで自動化したとしても、運用の中でGUIからクラウドの構成を変更するような操作を行うと「ドリフト」(実際に動いている構成とIaCの定義にずれが生じている状態)が発生します。ドリフトが発生した状態を放置してしまうと、次回以降のデプロイにおいて本来は必要な設定が欠落してしまうことにより、大きなインシデントにつながる恐れもあります。Prisma Cloudはこういったドリフトを検知する機能も提供できるようになります。

５．まとめ

大型アップデート後のPrisma Cloudの機能の一部を触ってみましたが、本記事ですべてを網羅できているわけではありません。

また、近い将来にさらなる改善も計画されているため、次回以降の機会で紹介できればと思います。

今回触れた範囲でもアプリケーション本体の脆弱性、アプリケーションが動くインスタンスの設定不備、インスタンスを生成するためのテンプレートといったクラウド上でのアプリケーションを開発前から運用時まで包括的にセキュリティを提供しており、視覚的にも大きく改善されています。

特に「関連するリスクの可視化」で紹介した機能については冒頭でふれた「CSPMを入れたけどアラートが多すぎて運用がまわらない」の問題にダイレクトに対処する機能であり、優先順位の明確化もさることながら対応方針検討でのさまざまな判断や決定に必要となる情報が一つの画面からアクセスすることができるようになり、ユーザーに大きな価値を提供する「次世代CSPM」へと進化を遂げました。

今後のアップデートにもぜひご期待ください。

関連する無料オンデマンド動画も配信してますので、是非ご覧ください。

クラウド管理者必見！セキュリティインシデント事例から学ぶパブリッククラウドのセキュリティ対策とその重要性

ビジネスシーンでのパブリッククラウドの活用事例が増加する裏側でセキュリティインシデントの発生件数も確実に増加しています。それらのインシデントの中には、事業活動の存続に重大なインパクトを与えるものも存在します。この課題に対して様々なクラウドセキュリティソリューションが提供されていますが、その中でもPosture Managementの必要性とその効果を理解しておくことは精度の高いセキュリティ運用を実現するために重要です。

コンテナ環境をプラットフォームまること保護！今話題のCNPPとは？

コンテナのテクノロジーが普及し、昨今では多くのクラウドサービスプロバイダーによるコンテナのプラットフォームが提供され、管理や運用の容易性、豊富な連携サービスといった観点から、クラウド上のマネージドKubernetesを利用するのがコンテナを利用する企業の最初の選択肢になってきました。サービスの競争力を高めるために最新のテクノロジーを採用する動きが加速していく一方で、これらの環境をいかにセキュアに保っていくかは多くの企業が課題を感じています。本動画ではコンテナセキュリティのベストプラクティスにあわせ、それらをホストするクラウドのセキュリティを、ガートナー社が提唱する「CNAPP」の観点を用いてデモを交えて解説します。2022年8月に実施したWebinarアーカイブとなります。