サイバー攻撃からクラウドを守る、Prisma^® Cloudで実現する一歩進んだ監視対策

インターネットの世界では、多様な攻撃者が常に新たな手口を模索し、攻撃を試みています。最近では、ランサムウェアの「BlackSuit」やMicrosoft社を攻撃した「Midnight Blizzard」、JPCERTが注意喚起をしている「Volt Typhoon」^※などが記憶に新しいかと思います。

攻撃者は国家的組織からハッカー集団まで多岐にわたり、IPアドレスの取得が容易なことから、攻撃の検知と防御はいたちごっこの様相を呈しています。サイバー空間は最新の防御策を求める戦いが常に繰り広げられている、一瞬の油断が大きなリスクにつながる非常に厳しい競争の世界です。攻撃されるのは一瞬ですが、一度攻撃されてしまうと事態の収拾には気が遠くなるほどの工数が必要になります。

※ Operation Blotless攻撃キャンペーンに関する注意喚起｜JPCERT

サイバー攻撃に対して迅速かつ効果的に対応することが求められる中、どのような対策を講じるべきかが重要な課題です。

この記事では、多くの企業で採用されているマルチクラウドやハイブリッドクラウド環境における、クラウドリソースの設定上の脆弱性や不審な挙動を、業界標準の各種コンプライアンス基準や独自の基準に従い、継続的に監視・可視化する「Prisma^® Cloud」と、ラックのサービスを活用したサイバー攻撃への対応策について紹介します。

Prisma^® Cloudの活用と問題

クラウド環境の攻撃の検知や防御に備えて、CSPM（Cloud Security Posture Management）製品を導入している企業も多いのではないでしょうか。

Palo Alto Networks社が提供するPrisma^® Cloudは、近年最もユーザーの支持を受けているCSPM製品の1つです。Prisma^® Cloudを活用することで、重大な情報漏えいに繋がりかねない設定ミスや、フローログを基にした外部ネットワークからの不審な通信、機械学習を用いた異常検知など、マルチクラウド環境においても幅広い脅威を検知できるため、導入運用支援の依頼を多くいただいています。

しかし、実際に導入と運用の支援を進める中で、多くのお客様の環境で以下のような課題が浮かび上がってきます。

アラート対応の負担

Prisma^® Cloudはアラートに重要度を設定してくれますが、発生した数多くのアラートの中から早急に対応すべきものを見極め、適切かつ迅速に対応する必要があります。

また、Prisma^® Cloudは柔軟にアラートのルールを設定できることが利点ですが、通知が多すぎて放置されたり、対応が追い付かなかったりするケースも少なくありません。重要なアラートを見逃さず、「なぜアラートが検知」され「どのように対処」すればよいのかを調査するには、専門的な知識と一定の工数が必要です。

さらに、Prisma^® Cloudはグローバルで活用されている製品であるため、日本に特化したサイバー攻撃の監視にタイムラグが発生することもあります。

インターネット通信検知の限界

攻撃者はインターネット空間をクローリングし、脆弱な設定がなされているインスタンスをリストアップしています。そして、攻撃元となるシステムから同時多発的に様々なシステムを攻撃するため、同じIPアドレスから攻撃が行われるケースが一般的です。

Prisma^® Cloudは、集約された危険と思われるIPアドレスを基に、クラウドプロバイダー上の通信ログを監視する機能を備えています。しかし、攻撃者は攻撃元のシステムを頻繁に移動させ、異なるIPアドレスから攻撃を行うため、タイムリーな対応には限界があります。

実際に攻撃ログを調査すると、危険なIPアドレスと判断されていても、調査の時点では安全と判断されることはよくあります。逆もまた然りで、攻撃者は利用するアドレスを頻繁に変更するため、数日前の危険アドレス情報も陳腐化している可能性があります。こういった特性は、近年の情報処理技術者試験においても出題されており、私たちセキュリティの専門家が常に直面している問題です。

ラックの対応策

ラックは、クラウド環境へのサイバー攻撃が注目され始めた2020年に、Prisma^® Cloudを活用した「クラウドセキュリティ統制支援サービスby Prisma^® Cloud」の提供を始めました。

先に述べた課題は、クラウドセキュリティ統制支援サービスでCSPMの活用を始めたとしても、対処しなければならない課題です。ラックはこのような課題解決のため、新しいオプションサービスとして「アラート初期対応サービス」及び「JLST連携サービス」の提供を開始します。

セキュリティに絶対的な解決策はありませんが、これまで多くのお客様に監視サービスを提供してきた知見を活かし、Prisma^® Cloudによるクラウド環境の保護を一歩進めた品質向上に取り組みます。

アラート初期対応サービス

セキュリティ防御のスピード向上にはアラート初期対応サービスで対応します。ラック独自にポリシーを選定したアラートルールを作成し、検知されたアラートに対して分析と確認を行い迅速な対応を支援します。

これらの判断は、クラウドセキュリティ統制支援サービスの運用環境の傾向や、攻撃事例なども加味して総合的に行います。また、アラートの通知方法や管理方法は相談に応じて対応します。

JLIST連携サービス

セキュリティ防御の正確性を向上させるには、JLIST連携サービスで対応します。

外部からの攻撃には、クラウド環境上のファイアウォールやネットワークセキュリティグループで対策をしますが、Prisma^® Cloudは監視や不審な通信の検知・通知に優れています。そこに、ラックが提供する日本特化の独自ブロックリスト「JLIST」を統合し、より一層の防御力を発揮するサービスです。

JLISTは毎日膨大なデータを基にブロックすべきアドレスを更新しているため、最新のインターネット脅威や日本をターゲットにした攻撃キャンペーンを高精度で検知できます。

登録作業はPythonを用いて自動化しており、毎日決まった時刻に新規危険アドレスや削除されたアドレスが自動で更新されます。JLISTに含まれるIPアドレスからの通信が検知されると、Prisma^® Cloudが即座にアラートとして通知します。

最後に

クラウドセキュリティ統制支援サービスを通して、多くのお客様がクラウド保護のベストプラクティスを実践している現場に立ち会ってきました。その中で浮き彫りになった課題の解決のために、新しく2つのオプションを用意しました。本記事で取り上げた課題を感じている皆様には、一歩進んだセキュリティ対策としてぜひご検討ください。

グローバルな製品であるPrisma^® Cloudの利点と、ローカルなナレッジを持つラックの知見を統合することで、お客様のクラウド環境にさらなる安心を提供するお手伝いができれば幸いです。