クラウドセキュリティ評価を実施する方法

ブログ

ホームページホームページ / ブログ / クラウドセキュリティ評価を実施する方法

Jun 22, 2023

クラウドセキュリティ評価を実施する方法

Getty Images/iStockphoto クラウドは組織にセキュリティ上の課題をもたらします。 クラウドのセキュリティ評価を実施することで、組織は敵対者が発見する前に脆弱性を発見できます。 あ

ゲッティイメージズ/iStockphoto

クラウドは組織にセキュリティ上の課題をもたらします。 クラウドのセキュリティ評価を実施することで、組織は敵対者が発見する前に脆弱性を発見できます。

クラウド セキュリティ評価 (CSA) は、クラウド インフラストラクチャの脆弱性、構成の弱点、潜在的な脅威を評価します。 クラウド サービス プロバイダーのアカウントまたはサブスクリプションの構成を分析し、インターネットおよびクラウド インフラストラクチャ自体内から発生する可能性のある脅威をレビューします。 組織は、設計と制御の実装における潜在的なギャップ、および潜在的な攻撃対象領域とそのリスクを詳細に把握します。

組織は、進化する脅威に対して常に最新の状態を保つために、定期的に CSA を実施する必要があります。

クラウド セキュリティ評価では、次の点について組織のクラウド インフラストラクチャを評価します。

まず、組織のセキュリティ チームに、使用中のすべてのクラウド アカウントとサブスクリプションのインベントリを作成してもらいます。 多数のアカウントを持つ大規模な組織では、CSA を管理しやすくするために、いくつかのアカウントを選択的にサンプリングする場合があります。 機密データまたは高レベルの露出を含むアカウントまたはサブスクリプションを選択してください。

クラウド アカウントとサブスクリプションのインベントリが完了したら、セキュリティ チームはサービスと資産を評価する必要があります。 まず、クラウド アカウントの IAM ポリシーと、これらのポリシー内で許可されている権限とアクセス許可を確認します。 そこから、Amazon GuardDuty や Microsoft Defender などのセキュリティ ガードレール サービスを、その構成や実行状態も含めて確認します。 特にインターネットに公開されている場合、コンテナーと VM ワークロードのデプロイに使用されるイメージをスキャンして脆弱性を探します。 NIST、Cloud Security Alliance、Center for Internet Security のガイドラインなど、サイバーセキュリティの標準およびフレームワークに照らしてサービスとオブジェクトをレビューします。

内部構成標準が定められている場合は、それを CSA の一部として考慮してください。 実行中のワークロードとインターネットに公開されたストレージが文書化されていることを確認します。 ファイアウォール、ネットワーク セグメンテーション、および Web アプリケーション ファイアウォールの潜在的な構成ミスを評価します。

そこから、展開中のコードとしてのインフラストラクチャ (IaC) テンプレートのクラウド アカウントを分析します。 これらのテンプレートには、使用中の重要な構成項目やサービスが含まれることがよくあります。 IaC テンプレートをスキャンできるクラウド セキュリティ体制管理ツールを使用すると、このプロセスの効率を向上させることができます。

資産、エクスポージャ、および構成の姿勢を文書化したら、組織は脅威モデリング演習を実行して、既存の信頼境界と、クラウド資産およびサービスに対する潜在的な攻撃を評価する必要があります。 脅威モデリングのレビューでは、クラウド環境に対する潜在的な攻撃と脅威、暴露と感受性に基づく攻撃の容易さ、予防的および発見的制御の実施状況をテストする必要があります。 マルチクラウドを導入している組織は、それぞれのクラウド サービスに対して個別の脅威モデリング セッションを実施することを想定する必要があります。

オプションで、組織は追加のテストとレビューのために、クラウド アカウントとサブスクリプションに対して侵入テストとライブ スキャンを実行できます。

分析に基づいて、セキュリティ チームは概要レポートを作成する必要があります。 すべての監査の概要を説明し、リスクと管理における潜在的なギャップを文書化し、脆弱性と弱点に対する修復の推奨事項を提供します。