先日、探し物をしていたときに、自分の棚に古い3.5インチのフロッピーディスクを偶然見つけました。USBフロッピードライブを最後に使ってからは、かなりの時間が経っていました。そのため、この偉大な考古学的発見をしたとき、いったい何のデータが入っていたのか、自分は書き込み禁止用のタブを使って、ディスクへの書き込みをできないようにしていたのかを考えなければなりませんでした。
若いころの私は、おそらくそれが最善のデータ保存方法であると考えたのでしょう。また、データは少なくとも2枚のディスクにコピーしておかなければと思っていたようです(これは今でも続いている私の癖であり、そのおかげで助かったことが何度もあります)。今やこれらのディスクは、「アクセスの仕方がわかりにくい」という奇妙なセキュリティ強化策が取られたシロモノになったと言って間違いないでしょう。
このようなメディア保護策は、インターネットの時代には実用的ではありません。一般的に私たちは、クラウドサービスにおける高い稼働率を利点としか考えていません。しかし、可用性が高いということは、設定ミスがあったり、セキュリティの脆弱なシステムが危険にさらされる時間も長いということを意味するのです。そのため、最初から時間をかけて、適用するセキュリティ強化策について考えることがさらに重要になります。
良いニュースは、クラウドの安定性の向上とともに、システムの保護に役立つ規格が常に改善されていることです。PCIやCISコントロールをはじめとするさまざまな規格において、セキュリティハードニングの分野はしっかりと文書化されています。従来のオンプレミス型のソリューションとクラウドホステッドソリューションの両方の設定を行う際には、ハードニングポリシーを遵守することが賢明な第一歩です。
例えば、今年の5月に、CISはAmazon Web Services Foundationsに関連するガイダンス(バージョン1.2.0)を発表しました。これらの推奨事項は、Amazon Web Servicesの安全確保における最適な出発点となるものです。各項目は、レベル1とレベル2の2つに分類されており、それらは抽象的な推奨事項ではなく、実際の使用を反映した実用的な方法で構成されています。レベル1の要件は、実用的で慎重なものであり、明確なセキュリティ上の利点を提供します。また、許容される手段以外のテクノロジーの利用を禁止していません。
レベル2はレベル1のプロファイルに基づいて構築されており、AWSをさらに強化することに焦点を当てているため、セキュリティがより重要になるような状況にとっては最適です(ただし、厳重なセキュリティ管理策を実施するために、AWSが提供する機能の一部を諦めなければならない場合があります)。
このCISガイドラインの推奨事項は、さらに「IDおよびアクセス管理」、「ロギング」、「モニタリング」、「ネットワーキング」のようにカテゴリー分けされています。これらのカテゴリー名を聞いたことがある気がしますか?それは、オンサイトのWindowsやLinuxサーバーに適用される従来型のサーバーアーキテクチャーベースのCISドメインのセクションに大変似ているからでしょう。
私のお客様のインフラストラクチャーのセキュリティを強化すべく評価を行う際に、「デフォルト設定そのままの」サーバーをCISコンプライアンスポリシーに照らした場合、スコアがあまりに低いことにお客様はいつも驚きます。また、クラウドプロバイダーのソリューションについても同じことが言えます。クラウドへのデプロイを迅速に行うためにデフォルト設定を使用して、セキュリティが後回しにされることがよくあります。しかし、そのようなときに、CISガイドラインが最大の味方となり、御社のインフラストラクチャーを「デフォルト状態」から「セキュリティ強化済み状態」に変貌させるためのしっかりしたTO DOリストを提供してくれるのです。
CISのポリシーセットのカテゴリーを選択すれば、実用的な設定変更のセットを作成して、すばやく実行できるようになります。ガイダンスには、ハードニングステップを実行することの論理的根拠に加え、ポリシーに沿うための修復メソッドについて、十分な詳細が盛り込まれています。修復プロセスと同様に重要なのは、監査プロセスの項でしょう。そこでは、あなたが行った変更によって、ベンチマークの目標が達成されたかをチェックする方法が説明されています。
このプロセスを手動で実行するには、多大な努力を要します。しかし、Tripwire Enterprise Cloud Management Assessorをはじめとする多くのツールでは、評価プロセスを自動化し、ギャップが生じている箇所を特定できます。自動化されたメソッドを手に入れることで、コンプライアンス戦略におけるもう1つの重要な利点を獲得できます。その利点とは、レポート作成機能です。ハードニングプロセスを追跡することで、御社のセキュリティチームに特定の目標達成までの個々の進捗をフィードバックしたり、他のチームには経時的な改善の状況を伝えたりすることが簡単にできるようになります。
実際には、実用的なアジェンダと追跡可能な目標を与えられたセキュリティチームの多くがセキュリティ上のビジョンを理解させることに成功しており、セキュリティの改善を非常に早く達成することができています。また、ひとたびレベル1を達成したら、特に慎重な扱いが必要なデバイスに対し、さらなるセキュリティ強化策を実施することは、もはや達成不可能とは思わないでしょう。
コンプライアンスは、私たちに課せられた面倒なタスクのように思えます。しかしそれは、御社のセキュリティプラクティスの向上のための測定可能な方法を提供する機会であると捉えるとよいでしょう。
私のフロッピーディスクは、おそらく安全にロックされています。しかし、御社のクラウドインフラストラクチャーが衰退の恩恵を受けることはできません。ですから、コンプライアンスを守ることで、御社のオンラインサーバーのセキュリティを確保するのが得策です。
