[レポート]パブリッククラウドにおけるセキュリティ対策とは?現状とトレンドを徹底解説 #AWSSummit

多くの企業でパブリッククラウドの利用が進み、その一方でこれまでオンプレミスで当たり前のように導入されていたファイアウォールなどのセキュリティ対策 をパブリッククラウドではどのように考えたらいいのかをわかりやすく解説します。今日の大企業が抱えるセキュリティの重要なニーズに対応する包括的なクラ ウド製品を提供できる唯一のベンダーとして、 IaaS 、 PaaS 、 SaaS だけでなくハイブリッド、プライベートクラウドまでを包括する弊社セキュリティプラットフォーム戦略を是非この機会にご確認ください。
2018.06.01

こんにちは、坂巻です。

2018年5月30日(水)〜2018年6月1日(金)の3日間にわたり、 品川にて開催されておりますAWS Summit Tokyo 2018

こちらで講演されたセッション「パブリッククラウドにおけるセキュリティ対策とは?現状とトレンドを徹底解説」を聴講しましたのでレポートします。

概要

多くの企業でパブリッククラウドの利用が進み、その一方でこれまでオンプレミスで当たり前のように導入されていたファイアウォールなどのセキュリティ対策 をパブリッククラウドではどのように考えたらいいのかをわかりやすく解説します。今日の大企業が抱えるセキュリティの重要なニーズに対応する包括的なクラ ウド製品を提供できる唯一のベンダーとして、 IaaS 、 PaaS 、 SaaS だけでなくハイブリッド、プライベートクラウドまでを包括する弊社セキュリティプラットフォーム戦略を是非この機会にご確認ください。

スピーカー

  • 泉 篤彦
    • パロアルトネットワークス株式会社 クラウドセキュリティスペシャリスト

※敬称略

レポート

セキュリティトレンド

  • ダークウェブ、アンダーグラウンドインターネット
  • 企業化されたサイバーセキュリティ市場
  • 安価なハッキングツール(サポートまである)、アマチュア、学生ハッカー
  • Windows PCからパブリッククラウドにターゲットがシフト
  • 攻撃側もクラウド、マシンラーニングをフルに活用

個人が攻撃を行うのではなく組織的な攻撃の傾向があるため、攻撃者はマスを狙いパブリッククラウドが標的となっている。

次世代仮想化ファイアウォール VM-Series

これまではアプライアンス型の製品をオンプレミスで利用をしてもらうのがメインだったが、次世代仮想化ファイアウォールをEC2インスタンスにデプロイできるようにした。

次世代仮想化ファイアウォールは、これまでのIP・ポートベースの防御ではなくアプリケーション、ユーザ、コンテンツの3つを組み合わせることにより次世代のファイアウォールとして機能。

  • エンタープライズグレードの次世代ファイアウォール
    • 最大10倍のパフォーマンス強化
    • Front-to-back冷却
    • 高いポート密度、柔軟なI/O
    • 最大10倍の復号化パフォーマンス向上
    • 最大35倍のSSLセッション増加
  • 脅威分析クラウドによる未知の脅威に対応
    • 次世代FWから送信された未知のファイルをクラウド上にあるサンドボックス環境で実行&分析し、未知のマルウェアを発見・防御するためのクラウドサービス
    • お客様環境で発見されたマルウェアに対して、シグネチャを自動生成し、一斉配信
  • 特許であるシングルパスアーキテクトで、パフォーマンスが殆ど落ちない専用設計
  • エンタープライズグレードのファイアウォールをそのままクラウドへ
  • あらゆる規模に対応するVM-Seriesラインナップ
    • Extra small(200M) -ブランチオフィス、マルチテナント用小規模リソース
    • アプリ識別 200M、脅威防御 100MB、50Kセッション
    • Small、Medium(2-4G)
    • ハイブリッドクラウド、セグメンテーション、インターネットゲートウェイ
    • アプリ識別 2G、脅威防御 1G、250Kセッション
    • アプリ識別 4G、脅威防御 2G、800Kセッション
    • Large、Extra Large(8-16G)
    • NFVコンポーネント、仮想化された100%のデータセンターでワークロードを防御
    • アプリ識別 8G、脅威防御 4G、2Mセッション
    • アプリ識別 16G、脅威防御 8G、10Mセッション
    • 複数のパロアルトネットワークス次世代ファイアウォール(PA)の中央管理と可視化を実現する管理ツール
    • セキュリティポリシーの統一、運用負荷とコストの削減、ログレポートの一元化
    • マーケットプレイスから数ステップでVM-Seriesをデプロイ

パブリッククラウドの特有の脅威とは

クラウドセキュリティアライアンス(CSA:Cloud Security Aliance)はRSAカンファレンス2016において、組織が直面するクラウドコンピューティング関連の脅威上位12種をまとめた「the Treacherous 12(12の危険)」を発表。

  • データ流出
  • インターフェイスやAPIをのハッキング
  • 脆弱性の悪用
  • APT攻撃
  • クラウドサービスの悪用

クラウドの設定ミスが原因で、センシティブなデータが露呈する問題は過去にも見つかっている。
情報流出の70%〜99%は外部からの攻撃によるものではなく、社内の関係者によるITシステムの設定ミスに起因しているといわれている。

APIベースのセキュリティ、コンプライアンス Evident.io

APIベースのセキュリティ、コンプライアンスソリューションマーケットリーダー、Evident.ioを買収。

  • 継続的かつリアルタイム
  • マルチクラウド対応
  • ワンクリックでレポート作成
  • カスタマイゼーションによる柔軟な企業ポリシーへの対応
  • エージェント不要
  • コンプライアンス、DevOps、SecOps対応

1クリックでCIS AWS FOUNDATIONS BENCHMARKに沿った構成かチェックが可能。(Evident.ioをデモ頂きました。)脅威情報のデータベースをユーザーに使ってもらえるような、アプリケーションフレームワークを展開中で、(パロアルト様の)セキュリティ情報にAPIベースで利用可能にする予定。

さいごに

セキリュティの重要性を改めて感じることができたセッションでした。
CIS AWS Foundations Benchmarkを使ったチェックについては、
弊社のinsightwatchでも無料で実施することができるので、こちらもご利用ください!