セキュリティの
学び場

今回の解説ニュース

クラウドの重大なセキュリティの脅威を踏まえたセキュリティ対策を、DevSecOpsのサイクルに落とし込んで解説されています。DevSecOpsの概要や、クラウドの脅威について説明します。

DevSecOpsとは、Developmentの開発とOperationsの運用に、セキュリティを組み合わせた造語です。開発と運用が連携するDevOpsにセキュリティを融合させることで、セキュアな開発を目指すものです。

今回の資料は、DevSecOps実現のために、クラウドの重大セキュリティ脅威を起点としたユースケースを整理して、利用者がイメージしやすくすることを目的としています。具体的に挙げられているクラウドのセキュリティ脅威は「データ侵害」「設定ミスと不適切な変更管理」「クラウドセキュリティアーキテクチャと戦略の欠如」「ID・資格情報・アクセス・鍵の不十分な管理」「アカウントハイジャック」「内部者の脅威」「安全でないインターフェースと API」「弱い管理プレーン」「メタストラクチャとアプリストラクチャの障害」「クラウド利用の可視性の限界」「クラウドサービスの悪用・乱用・不正利用」の11で、問題点と対応策、DevSecOpsを踏まえた対処が紹介されています。

開発と運用にセキュリティを加える DevSecOps とは

DevSecOpsは一言でいうと開発手法の一つです。DevSecOpsの必要性について、できるだけわかりやすく説明します。

DevSecOpsを説明する前に、まずDevOpsについて理解する必要があります。DevOpsは、開発者と運用者が連携して協力することで、以前より迅速かつ頻繁にリリースを行う開発手法です。例えば、開発部門と運用部門や品質部門が分断された組織として開発を行っている場合、全体の開発期間が長くなってしまうことは、なんとなくイメージができるのではないでしょうか。DevOpsは、テストの自動化など技術的な内容以外に、組織の文化的なあり方についても触れられています。

開発工程がDevOpsなどでより短縮化されることで、開発におけるセキュリティの実装も寄り添っていくことが求められます。また、自動化などの技術的な要素だけではなく、組織としての責任も共有されていることが必要です。

最も気になるクラウドセキュリティ脅威は「設定ミス」

クラウドで最も気になるセキュリティの脅威は「設定ミス」です。1年以上前になりますが、クラウドセキュリティに関するセミナーで講演した内容を振り返りながら、設定ミスのセキュリティ脅威について説明します。

日本固有の習慣「PPAP」

AWS上に構築されたシステムのインシデントとして、Webアプリケーション経由でS3バケットに格納していた数万件以上の個人情報が漏洩した事例があります。原因は、S3バケットが公開設定になっていたことや、閲覧や書き込みが可能な状態になっていた事が挙げられます。また、RDSに保存されている全データが攻撃者によって暗号化され、身代金を要求されたインシデント事例があります。

メール送受信履歴から添付ファイルを漏えいさせない為に

原因は、RDSがグローバルネットワークからアクセス可能だったり、データベースのパスワードが推測され、アカウントが奪取された事が挙げられています。これらはすべて、クラウドの設定ミスにより発生したインシデントです。簡単に使い始められるクラウドであるが故に、発生しやすいインシデントでもあるとも言えます。対策としては、クラウドサービスごとのベストプラクティスを活用することや、自動化された仕組みとしてはCSPMの導入などが挙げられます。