セキュリティ

Cisco Secure Cloud Insights でクラウド環境のセキュリティを俯瞰

遠藤直之
2021年12月8日

この記事は、Security Platform & Response の Senior Vice President & General Manager である Al Huger によるブログ「Cisco Secure Cloud Insights is your Eye in the Sky」（2021/11/15）の抄訳です。

情報が「王国の鍵」を握るサイバーセキュリティの世界には、大量のセキュリティツールによって生成されるデータが溢れています。しかしそれでも、情報が足りていないのは間違いありません。セキュリティの専門家はよく、情報を「実用的なインテリジェンス」あるいは「コンテキスト」と呼びます。サイバー戦争の第一線で戦っている人ならば、もう一捻りして「コンテキストはデータをインテリジェンスに変える触媒である」と言い表すでしょうか。「いつ」、「誰が」、「どこで」、「何を」、「どのように」といった重要な情報をコンテキストから読み取ることができるのはもちろん、「影響」を把握したり「対応」を考えたりするうえでもコンテキストは参考になるため、根本原因の特定と修復に役立ちます。コンテキストの概念を理解するのは簡単かもしれませんが、実際にコンテキストを把握するとなるとやはり困難が伴います。

こうした背景（つまりコンテキスト）から生まれたのが、JupiterOne 社とのパートナーシップによる Cisco Secure Cloud Insights です。このたびリリースされた Secure Cloud Insights は、SecureX ポートフォリオに新しい強力な機能を提供します。具体的には、包括的なパブリッククラウドインベントリとインサイト、クラウドベースのエンティティとアクセス権を参照できる関係マッピング、セキュリティコンプライアンスレポートなどです。Secure Cloud Insights が可能にするのは、従来のクラウドセキュリティポスチャ管理だけではありません。シスコのセキュリティ製品をお使いのお客様は、リスクを効果的に管理し、クラウドネイティブのプロセスとアプリケーションのアタックサーフェス(攻撃対象領域)を縮小できるようになります。

デジタルトランスフォーメーションの過程において、多くの組織で IT が無秩序に拡張されました。その結果、サイバー環境の可視化に苦労されている様子をシスコは目の当たりにしてきました。この非常に困難な問題に対処するため、Secure Cloud Insights はマルチクラウド環境とハイブリッド環境にまたがってデータを追跡し、分析しやすくします。Secure Cloud Insights では、構成、アクセスポリシー、設定、タグ、ルールなど、エンティティ間の関係を示す統合メタデータのナレッジグラフが提供されます。ここで言うエンティティとは、ユーザー、ロール、グループ、ポリシー、データベース、データストア、デバイス、コードリポジトリ、ストレージバケット（AWS S3 など）、クラウドコンピューティングインスタンス（AWS EC2 など）、コンテナ、関数などです。データは事前定義されている約 50 の統合機能（パブリッククラウド環境、脆弱性スキャナ、エンドポイント保護およびネットワークセキュリティツール、開発およびコードリポジトリ、アイデンティティプロバイダなどをカバー）から API によって取り込まれます。また、SDK とウェブフックを使用したカスタム統合もサポートされています。

図 1：グラフデータベースによる可視化

グラフデータベース（リレーションシップマッピング）は Secure Cloud Insights の重要な柱の 1 つです。そして、この豊富なデータを簡単に検索できることがもう 1 つの柱です。簡単で平易な言葉で検索できる 550 を超える事前作成クエリが用意されているほか、カスタムクエリを作成することもできます。クエリは単独で使うことも組み合わせて使うこともでき、アラートやサマリーダッシュボード、コンプライアンスレポートなど、あらゆる成果物の基となる情報が得られます。この包括的な関係グラフに対してクエリを実行すれば、膨大な情報とユースケースを確認できます。Secure Cloud Insights は、豊富なコンテキストを使用して、クラウド セキュリティ ポスチャ管理により、組織のセキュリティポスチャを判断します。また、コンプライアンスギャップをレポートしてリスクを軽減します。こうして、効果的なサイバーガバナンスとアタックサーフェスの管理を促進します。

今回、Secure Cloud Insights をご紹介するにあたり、組織のセキュリティ機能にこのサービスがどのように適合するかを見てみたいと思います。セキュリティ、開発、アプリケーションセキュリティ、クラウドアーキテクトであれ、アイデンティティ、データ保護プロセスであれ、さまざまなセキュリティ関係部門に総合的に役立つという成果が現れています。

図 2：さまざまなクラウドネイティブのセキュリティ機能間の関係図

セキュリティ部門は左側からスタートし、まずはセキュリティポスチャとアタックサーフェスの管理を行います。一方、開発部門は右端からスタートし、継続的インテグレーションと継続的デリバリ（CI/CD）パイプラインとアプリケーション/API のセキュリティを主に担当します。成熟した組織では、セキュリティ部門が右に移動して他の関係部門に影響を与えるようになると、開発部門が左に移動し、ランタイムセキュリティを実装して展開前チェックを行うようになります。運用がこのように進化してくると、組織内の購買担当者やユーザーが誰であろうと、エンドツーエンドでカバーできるツールが必要になります。その中での Secure Cloud Insights の位置付けは、コンテキストを備えた可視性を提供することで、組織全体を俯瞰してオブザーバビリティを強化するというものです。

Secure Cloud Insights をシスコのセキュリティプラットフォームである SecureX と統合した理由はそこにあります。他の多数のシスコのセキュリティサービスのコンテキストの取りまとめ役として、より大きな役割を担わせようというわけです。初期調査では、SecureX の Device Insights との連携、そして Cisco Secure Cloud Analytics（旧 Stealthwatch Cloud）の併用を通じて何倍もの効果が得られたことが確認されています。Secure Cloud Insights は点と点をつなぎます。一方、Secure Cloud Analytics は点と点の間を流れるトラフィックを分析して動作の基準を設定します。両者を統合すれば、関係ベースでも動作異常ベースでも、脅威ベクトルが明らかになります。Secure Cloud Insights と Secure Cloud Analytics の強力な機能と Portshift や Kenna など他の Cisco Secure 製品との連携は、早くも市場の注目を集めています。このパートナーシップにより、クラウドネイティブおよびハイブリッド IT セキュリティに対するお客様のニーズに応えるシスコの姿勢が強化されました。また、次の図に示すように、シスコの SecureX プラットフォームのクラウドコンポーネントも強化されています。

図 3：Cisco SecureX への Secure Cloud Insights の組み込み