Cloud環境での脆弱性管理

皆様こんにちは! この記事ではCloud環境の脆弱性管理について触れます。

ダイナミックに変化するCloud環境において脆弱性管理はますます複雑になり多くのお客様にとって頭の痛い問題の1つかもしれません。

Onpremiseのような固定された環境であれば脆弱性管理もそれほど複雑ではないかもしれませんが、Cloud環境には次々と新しいSoftwareがDeployされ多くのスタックがSoftwareで定義されています。

Software開発ではOSSのライブラリを利用することが当たり前で、それらの脆弱性をついた新たな攻撃も日々生み出されています。Cloud環境での脆弱性管理は永遠に続く途方も無いテーマです。

本年9月にOrca Securityのリサーチチームが公開した2022 State of Public Cloud Security Reportによると、Orca Securityが発見した攻撃経路の約78%は既知の脆弱性が起点となっていることが判明しました。

永遠に終わらない脆弱性管理であっても、既知の脆弱性に愚直に対応することで攻撃者から見た攻撃経路の多くを攻撃が起きる前に未然に遮断することができると言えます。

そもそも"脆弱性管理"とは何なのか?を改めて整理してみます。

脆弱性管理とはApplicationやInfrastructureに潜む穴を検出/分析することで、最終的な目的は組織に潜むリスクを最小化することです。

2022年9月時点でCVEのDatabaseで管理されている脆弱性は17,346もあり、プロアクティブかつ継続的な脆弱性管理は最重要施策の1つであることは言うまでもありません。

Cloud環境での脆弱性管理には4つのポイントがあるかと思います。先ず1つ目は範囲です。検出する対象の資産はVMやStorageだけのように限定されることなく、ContainerやServerless等も含めてCloud環境上の全ての資産に関する脆弱性を検出できることが大切です。

2つ目は継続です。CI/CDパイプラインに組み込んで、脆弱性を含むコードやイメージを継続的にスキャンして脆弱性が発見された際はCloud環境にDeployされる前に検出/ブロックできることが求められます。

3つ目は連携です。脆弱性を発見した際は可能な限り自動的に修復できることが理想です。ただし自動化には限界があるため、Patch適用等組織としての対策のポリシーを明確にしておく必要があります。

最後は報告です。最新の脆弱性のリストや関連する攻撃の傾向を含む分析内容を視認性の高いUIでいつでも閲覧できたたりPDFフォーマットのレポートを自動生成できることは多くのお客様に求めらていますね。

皆様のCloud環境をOrca SecurityでスキャンしてCloudのリスクを明らかにしませんか? 30日間無償でお手伝い致します。

https://orca.security/lp/cloud-security-risk-assessment/