菅政権の目玉でデジタル庁の発足が注目されていますが、実はそれ以前から電子政府の実現に向けて、各府省縦割りの独自システムから、皆が共通して利用する政府共通プラットフォーム整備への取り組みが進んでいます。今年はじめに、その基盤として、AWS(Amazon Web Services)を採用することが決まったのが大きなニュースになったのは覚えているでしょうか?国のシステムを外国の一民間企業が提供するプラットフォーム上に構築してよいのか、という素朴な議論も多く見られました。その是非は論じませんが、現実には、多くの企業が既にオンプレミスの環境からクラウド環境へと移行しており、クラウド移行は今や必然的なトレンドです。なんと言っても、運用コストが圧倒的に安くなること、導入時の手間もコスト軽減できること、ハードウエア障害発生時にもクラウド事業者が対応してくれるので自社で割くリソースの軽減が図れることなど、様々なメリットがあります。また、今年のコロナ禍で多くの企業がリモートワークを採用し、システムの構築・運用業務も例外ではないため、今後、クラウド移行の傾向は一層加速すると思われます。
一方で、クラウドにはオンプレミスに比べてカスタマイズの自由度に制限がある、などのデメリットもあることは理解しなければなりませんが、やはり、最も正しく理解せねばならないのはセキュリティ面の課題です。当然、インフラ面のセキュリティは、しっかりとクラウドサービス提供事業者が対応することが期待できます。しかし、データやアクセスIDの管理はユーザー側の責任なのです。AWSのようなクラウド環境では、仮想マシンやコンテナなど、あらゆるリソースにマシン・アイデンティティというIDが振られています。例えば、仮想マシンがデータベースにアクセスするためには、そのIDがデータベースのアクセス権限ポリシーに紐付けられている必要があります。これらのポリシーを設定するために、IAM(Identity and Access Management) というツールがあります。ユーザもこのアイデンティティを持ちますが、統計的にマシン・アイデンティティはユーザのアイデンティティの20倍以上あるそうです。それだけ、クラウド環境では多くのコンポーネントが様々なポリシーの元に動作しているのです。また、その利便性から多くの開発者が同時に別の目的で利用することも多く、クラウド環境は常に変化しています。それぞれの開発者が個別にIAMで特権性の高いアイデンティティやポリシーを作成してしまうと、現実にセキュリティ・チームが全体を管理し、監査する、ということは不可能になってしまいます。そこで、必要最小限の特権だけを各ユーザに与えるLeast Privilege administrationと呼ばれるアイデンティティ管理が重要となってくるのです。
今回紹介するErmeticというスタートアップは、このクラウド環境でのアイデンティティ管理プラットフォームを提供する会社で、2019年に創設されたばかりです。ファウンダー兼CEOであるShai Morag氏(下写真)は、11月19日の記事『スタートアップ大国イスラエルを支えるタルピオットプログラムとは』で紹介したタルピオットプログラムを20年前に卒業した、エリート中のエリートエンジニアです。彼はプログラム卒業後、8200ユニットに従軍しました。その後、一貫してサイバーセキュリティの分野で活躍しています。Ermeticは創業したばかりであるにも関わらず、2020年7月時点ですでに投資家から$27.25M(約28億円)の資金調達をし、テルアビブだけではなく、米国のPalo AltoとBostonに拠点をもって活動しています。
ErmeticのプラットフォームはSaaS型のサービスとして提供されるため、ユーザーはErmeticにクラウドへのアクセスを提供すればよく、特に何かのソフトウエアをインストールする必要はありません。 Ermeticはユーザーからクラウドへのアクセス許可を得て、ユーザー環境に存在するすべてのアイデンティティ、リソース、ポリシーを可視化します(下写真)。
そして、ポリシーの解析から、どのパーミッションがどのアイデンティティに与えられるかを把握します。さらに、ログを解析することで、実際にどのパーミッションが使われているかを把握します。これらの解析を通して、例えば重要なデータの格納されているデータベースへのアクセスに必要以上のパーミッションが与えられていないか、などをチェックします。例えば、営業部門の社員には製品開発データへのアクセスは必要ないはずです。もし、関係ない部門にもデータへのアクセス権限が与えられているとすれば、それはまさにセキュリティリスクに他なりません。Least Privilege access(必要最小限のアクセス)とは、必要な人にだけ必要なアクセス権限を与えるというセキュリティ上の基本的なポリシーであり、Ermeticのプラットフォームは不要なアクセス権限を検知し、それを取り除くことができます。
さらに、Ermeticは独自の解析エンジンを持ち、疑わしいデータアクセスや権限のエスカレーションなど、怪しい動作をアクセスログの解析から検知してアラートを上げます。
これらの機能についてわかりやすい説明があるので、こちらのビデオも御覧ください。
使いやすく経済的なメリットも大きいために、クラウド環境はますます使われる傾向にあります。しかし、便利なだけにリスクとなる不要なアクセス権限も知らないうちに増えてゆく可能性があるため、Least Privilegeというポリシーを守る重要性を理解することが必要です。
コロナ禍の影響で、様々なサービスや業務のオンライン化が進んでおり、それに伴って、サイバー攻撃のリスクも増大しています。最近の国際会議、Cybertech Tokyoでは、チェックポイント社の創業者Gil Shwedはこの状況を“Cyber Pandemic”と表現し、今注意すべきはクラウド・セキュリティだ、と指摘しました。常に変化するクラウド環境をリアルタイムで解析し、怪しい動作を検知してアラートをあげるという独自のエンジンは、まさに創業者Shai Moragをはじめとする、ErmeticメンバーのIDF(Israel Defense Force)での業務経験のノウハウが詰まったツールではないかと思います。イスラエル発の優れたサイバーセキュリティ技術が日本で役に立つ場面はまだまだ多くありそうです。
Ermetic ウェブサイト
