概要
近年、クラウド技術の進化は企業の業務効率を向上させましたが、クラウドデータへのアクセスに関する課題も浮き彫りになっています。今回ご紹介する記事では、クラウドデータへのアクセスに関する課題とガバナンスの重要性に焦点を当てています。記事の中では、データのセキュリティ、アクセス権の管理、監査トレイルの確立などが取り上げられており、これらの課題に対するソリューションとしてのガバナンス手法が紹介されています。クラウドデータの保護と適切なアクセス制御を確保することは、企業の信頼性向上に繋がる重要な一歩と言えるでしょう。
出典元記事の翻訳
ブログ記事公開:08年16月2023日
もともとディグセキュリティによって公開されました。
ベニー・ロフマンによって書かれました。
機密データへのアクセスを制御することは、サイバーセキュリティ戦略の基本です。ただし、クラウドは、最小特権への道上で多くの複雑さを追加します。以下では、今日のマルチクラウドアーキテクチャにおけるデータアクセスガバナンスの現実、IAMでは不十分な理由、DSPMベースのソリューションが運用を合理化し、重要なデータの保護に集中できるようにする方法について詳しく説明します。
データ アクセス ガバナンスとは
データ アクセス ガバナンス (DAG) は、組織のデータへのアクセスを管理するためのポリシー、手順、および制御を実装するプロセスです。DAG を正しく実装すると、データ セキュリティとコンプライアンスの要件に従って、承認されたユーザーとシステムのみが機密情報にアクセス、操作、または共有できるようになります。
クラウド・アーキテクチャーは中央集権的アクセス・ガバナンス・モデルにどう挑戦するか
最小特権の原則は、いかなるプロセス、プログラム、ユーザーも、その正当な目的に必要なリソースと情報にのみアクセスできなければならない、というものです。データの文脈では、エンティ ティは記録を閲覧または修正するための最小限の権限を与えられなければなりません。たとえば、顧客の購買パターンを調査するアナリストは、匿名化されたユーザーIDに頼ることができれば、ユーザーの電子メール アドレスにアクセスする必要はありません。
企業がモノリシックなオンプレミスのデータウェアハウス・アーキテクチャーにデータを保存していた頃は、これを実現するのは容易でした。なぜなら、データ・プラットフォームは、システム管理者によって厳重に管理されていたからです。
不正アクセスを防ぐには、ネットワーク・セキュリティ・ソリューション(ファイアウォールとエンタープライズVPN)、データベース・レベルでの役割ベースのアクセス制御(RBAC)、エージェント・ベースのユーザー活動の監視と監査証跡の組み合わせに頼ることができました。
クラウドはデータシステムとITの間のハードな結合を取り除き、ビジネスチームの俊敏性を大幅に向上させました。ただし、データドリブンな意思決定を実現するには、より多くの個人やシステムがデータへアクセスする必要があることを意味します。また、最小特権の基本的なアプローチは変わっていませんが、何百人ものユーザーと何十ものロールが存在し、その全員があるリソースへのあるレベルのアクセスを正当に必要としている場合、それを実装するのは非常に難しくなります。
課題は次のとおりです。
- 分散化:クラウドインフラストラクチャは弾力性があり、プロビジョニングが容易です。異なる事業部門が独自のリソースを管理し、共通のガバナンス・レイヤーを共有することもあれば、共有しないこともあります。一貫性のあるアクセス制御ポリシーを適用することは困難です。
- 複数のアクセス経路と複雑な依存関係: クラウド・サービスは複数のインターフェースやAPIを介して公開され、しばしば複雑な依存関係の網を形成します。どのアクセス許可が正当に必要なのかを読み解くには、技術的に多大な労力を要します。
- 複数のベンダーにまたがるIAMの複雑さ: 組織は複数のクラウド・ベンダーに対応しており、それぞれが独自のユーザーID、認証メカニズム、アクセス・ポリシーを持っています。
- 断片化されたAPIベースのアーキテクチャ: 企業はデータレイクと「モダン・データ・スタック」に傾倒しており、これはデータの取り込み、統合、ストレージ、コンピューティングのためのAPI接続ツールのエコシステム全体を構築することを意味しています。これらのツールの多くは、潜在的に機密データにアクセスする可能性があり、権限管理のための要件が追加されます。
ソース: LakeFS:データエンジニアリングの現状2023
いくつかの例から、これらの課題が急速にセキュリティ上の大きな問題となることを理解しましょう。
データアクセスガバナンスに関連する3つの一般的なリスクシナリオ
- 説明責任の欠如: 適切な監視が行われていないと、承認されていないアクセスや過剰な特権アクセスが見過ごされる可能性があります。ユーザーアクティビティと付与された権限の明確な監査証跡がなければ、セキュリティインシデントのトリアージと調査がはるかに困難になります。
例:大企業は、顧客の詳細がダークウェブに漏洩していることを発見しました。複雑なクロスアカウント権限のため、セールスエンジニアのアカウントが侵害され、侵害の原因であると判断するのに数週間かかり、会社が他の侵害されたリソースを特定できなくなります。 - コンプライアンス違反:GDPR や PCI-DSS などの規制および業界のフレームワークでは、データ アクセスに関連する特定の制御が明示的に要求されています。誰がどのデータセットにアクセスできるかを明確に把握することも、監査前の証拠収集に参加できます。
例:金融サービス会社はPCI-DSSコンプライアンスの対象であり、支払いカード情報へのアクセスを厳密に制御する必要があります。権限の取り扱いが間違っているため、開発者はカード所有者データを非準拠のステージング環境にコピーします。違反は、定期的な監査中に発見されます。 - データ流出:制御されていない機密データへのアクセスは、データ損失、特に内部脅威や資格情報の侵害のリスクを大幅に高めます。これは、ランサムウェア攻撃や顧客データの流出など、極めて不愉快な事態につながる可能性があります。
例:ある請負業者は、顧客の詳細情報を含むデータベースに一時的にアクセスする必要がありましたが、プロジェクト終了後もそのアクセスが取り消されることはありませんでした。6ヵ月後に請負業者がデータベースからデータをダウンロードし、競合他社に売却するまでそのことには気づかれませんでした。
IAMとCIEMがクラウドデータアクセスの問題を解決できない理由
この時点であなたはこう考えるかもしれません:これはパーミッションの問題では?IAMツールで解決できるのでは?残念なことに、構成レベルで不正アクセスを防止しようとすると、多くの場合、モグラたたきゲームのようになってしまい、毎日何十ものアラートがセキュリティチームを悩ませ、インシデントに優先順位をつける現実的な方法もないことが多いのです。
ID およびアクセス管理 (IAM) ツールは、組織内のユーザー、アクセス許可、およびアクセス制御を管理するために使用されます。実用的なレベルでは、IAMは非常に複雑で管理が困難です。しかし、いずれにせよ、データアクセスの問題を解決するために構築されていません。IAMソリューションは、データストアを単なる別のクラウドリソースとして扱います。どのデータが格納されているか、サービス間でのデータ フロー、およびより詳細なアクセス許可レベル (データベース内の特定のデータセットなど) は認識されません。
クラウドインフラストラクチャエンタイトルメント管理(CIEM)は、クラウド環境のIAMを簡素化および統合し、権限の無秩序な増加を減らすために設計された最新のアプローチです。ただし、CIEMはデータ中心ではなく、機密データの理解と優先順位付けという基本的な課題に対処するようには設計されていません。
理解しておくべき重要な点は、データアクセスの課題は通常のアクセス許可の問題ではないということです。
- データストアには固有のアクセスパターンがあります。 通常、他のクラウド リソースよりも広範で流動的なアクセスが必要です。他のクラウドリソースよりもはるかに、データストアを使用すると、多くの人がアクセスを希望する正当な目的を持っていることがわかります。
- すべてのデータが同じように作成されるわけではありません。 データの漏洩は望ましくありませんが、機密データ(PII、PCIなど)に関連するリスクははるかに大きくなります。企業は、これらのデータ資産への不正アクセスの防止に重点を置いたターゲットを絞ったアプローチから最も多くのメリットを享受できます。
- 高いリスク。機密データは、現代のサイバー攻撃の最も一般的な標的であり、それが侵害された場合、財務上および風評上、悲惨な結果を招く可能性があります。
そのため、現代の企業はIAMにとどまらず、クラウドデータアクセスに対するデータ中心のアプローチに注目しています。
データアクセス・ガバナンスのためのDSPMソリューション
データアクセス・ガバナンス(DAG) に対するデータ中心のソリューションとはどのようなものでしょうか。その答えは、データセキュリティポスチャ管理(DSPM)から始まります。
DSPMは、クラウド環境に保存された機密データの発見、分類、優先順位付けに使用される一連のプラクティスとテクノロジーです。DSPMが提供する洞察に基づいて、企業は誰がどのクラウドデータストアにアクセスできるかを即座に可視化し、機密データをリスクにさらす問題の優先順位を決定することができます。
機密データの棚卸しから始める:効果的なデータアクセス・ガバナンスの優先順位付けと実装を行う前に、どのようなデータをどこに保有しているかを把握する必要があります。DSPMツールは、機密データの包括的なインベントリを提供し、より高いレベルの注意が必要な最も重要な資産を特定することを可能にします。
データ アクセスの視覚化とマッピング:DSPMツールは、組織内のデータアクセスのマッピングを視覚的に表示することができ、ユーザー、ロール、リソース、データストアの関係を理解するのに役立ちます。
リスクの高い問題に優先順位を付ける: 機密データ資産を明確に把握し、誰が何にアクセスできるかを簡単に理解できれば、早急な対応が必要な問題を特定して優先順位を付けることができます。たとえば、次の情報を確認できます。
- 機密データ資産へのクロスアカウントアクセス: 外部アカウントがクラウド リソース (Azure BLOB ストレージからデータを読み取る ETL ツールなど) にアクセスする必要がある場合があります。ただし、漏洩とコンプライアンスの問題の多くは、不要になったにもかかわらずアクティブなままになっているアクセス許可から始まります。DSPM は、クロスアカウントのアクセス許可を追跡し、特定のアクセス許可が必要かどうかを継続的に確認するのに役立ちます。
- 機密データへのアクセス権を持つ非 SSO ユーザー: シングルサインオン(SSO)で認証されていないユーザーは、アクセスの管理とセキュリティ保護が難しくなる可能性があるため、リスクが生じます。DSPM を使用すると、機密データにアクセスできるハードコードされた資格情報を持つユーザーを特定できます。その後、このアクセスが正当であり、監視されていることを確認できます。
- データセットへの複数のアクセス許可パス: 複雑なアクセス許可アーキテクチャでは、同じプリンシパルによるものを含め、1 つのデータセットへの複数のアクセス許可パスが発生する可能性があります。これにより、過剰な特権や不正アクセスの可能性が高まり、管理者は一方のアカウントを通じて付与された特権を、もう一方のアカウントを意識せずに削除する可能性があります。アクセス制御を特定して統合することで、リスクが軽減され、アクセス許可アーキテクチャが簡素化されます。
DAG は必要ですが、包括的なデータ セキュリティには十分ではありません
DAG にデータ中心のアプローチを採用することは、リアルタイム監視、マルウェア分析、クラウド DLP のためのデータ検出と対応も含む、より広範なクラウド データ セキュリティ戦略の一部である必要があります。
出典元
Cloud Data Access – From Chaos to Governance
Cloud Data Access – From Chaos to Governance | CSA (cloudsecurityalliance.org)
注意書き
本ブログでは、個人的な情報収集・学習を目的に元の記事を翻訳・要約して掲載していますが、記事内容の正確性について、当方は一切の責任を負いません。必ず出典元の情報をご確認の上、各自の責任にてご利用ください。
コメント