ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security がカバーする CIEM

AWS OrcaSecurity CIEM

フォージビジョン Orca Security のサービスサイト がオープンしました。

ForgeVision - Orca Security サービスサイト

こんにちは、Orca Security 担当の尾谷です。

今日は、Orca Security が提供する CIEM (Cloud Infrastructure Entitlement Management) について掘り下げて解説をしたいと思います。

CIEM (キームと読みます)

まずは用語の説明から。CIEM (キーム) は、クラウド間のセキュアなアイデンティティとクラウド権限を管理する機能です。
組織が誤まって設定をしたアイデンティティを検出し、最小特権コンプライアンスを確保し、アイデンティティの衛生指標を監視するのに役立ちます。

アイデンティ設定はクラウド構成要素の中心的存在

クラウド・アイデンティティは、あらゆる環境とクラウド・ネイティブ・アプリケーションの中心的な構成要素です。 アイディティの設定ミスが情報漏洩や侵入を引き起こします。

クラウド・アイデンティは、組織にとってのリスクとなります。

一般提供されている CIEM ツールが抱える課題

特に近年、単一のクラウドアカウントではなく、複数のアカウント、異なるクラウドプロバイダーを跨いでサービスを展開するケースが増えています。

マルチクラウド環境下における ID とパーミッションの効果的な管理と監査を監視するには、包括的な可視性と自動化が必要ですが、世の中一般の CIEM ツールは断片的な情報しか取得できていないケースが多い状況です。 例えば、SSHキー、パスワード、アカウントロールなど、管理されていないアイデンティティを可視化できず、セキュリティ・チームは、包括的なクラウド・セキュリティを大規模に実現するのに苦労している状況が散見されます。

アイデンティティをコントロールするために Orca Security にて提供されている CIEM

Orca Security は、サイロ化されたソリューションで IAM マネジメントを提供する代わりに、アイデンティティ・リスクとその他のリスク・データ(脆弱性、設定ミス、マルウェア、機密データの場所、横方向の移動リスク)を組み合わせ、総合的な方法で環境内のリスクに優先順位を付けることができます。

Orca は、クラウドのワークロード、データ、制御、API レイヤーのセキュリティリスクも検出が可能です。クラウドのアイデンティティ、ロール、ポリシー、エンタイトルメントを継続的に監査し、潜在的なリスクがクラウド環境とアプリケーションにどのような影響を与えるかについて、深いコンテキストを提供します。

クラウドの幅広いアイデンティティとエンタイトルメント・リスクのハイレベルなクエリー

Orca Security は、1,300 を超える組み込みのアラートテンプレートや、直感的なクエリビルダーで作成したカスタムクエリを使用して、エンタイトルメントとアイデンティティデータに対して高度なクエリを実行できます。

カスタマイズされたアラートを設定し、クラウド開発者が最小特権原則やその他のセキュリティポリシーに違反した場合に通知を行うこともできます。
100 以上の規制フレームワークと CIS ベンチマークに準拠した継続的なコンプライアンスクエリテンプレートをサポートします。
既存のワークフローや発券システムとクエリやアラートを統合できます。

安全に保管されていない鍵を攻撃者より先に発見

ポイント・ソリューションの CIEM 製品とは異なり Orca Security はクラウド全体で管理されていない ID やその他のテレメトリをスキャンし、パブリックに公開されている鍵やシェル履歴のパスワードなど、攻撃者が環境内で横方向に移動するための情報を追跡します。
エージェントをインストールすることなく、OS 上の脅威を検知できるのは特許技術である SideScanning のおかげです。

Orca Security は、各マシンのファイルシステムを SideScanning の技術でスキャンして秘密鍵を探し出し、発見したすべての鍵のハッシュを作成します。
そのハッシュが一致する認証済みの公開鍵設定を探します。また、安全に保管されていない鍵へのパス、公開された鍵でアクセスできるワークロード、保管されているユーザアカウントと権限など、鍵に関連する情報を表示します。さらに、クラウドサービスプロバイダの鍵や SSH 鍵など、攻撃者がさらに機密性の高いリソースにアクセスできる可能性のあるリモートアクセス鍵を検出します。

クラウド攻撃を検知して処置する

Orca Security は、クラウドフィード、ワークロードコンフィグレーション、アイデンティティからのインテリジェンスを単一のプラットフォームで継続的に収集・分析することにより、クラウド攻撃を迅速に特定し、対応することを可能にします。

検知、侵害されたアカウントや盗まれたアクセスキーなど、悪意のあるユーザー活動が発生した場合にアラートを受信します。
フラグが付けられたアクティビティを調査し悪意のあるイベントかどうか、組織の重要な資産が危険にさらされていないかどうかを迅速に把握します。 
20 以上のサードパーティ技術統合(SOAR、通知、発券システムなど)を駆使して、修復ステップを活用し、問題を自動的に割り当てることで、クラウド攻撃を阻止します。

フォージビジョンでは、Orca Security の導入をご支援しています。無償の PoC もご提供しておりますので、お気軽にご相談いただきますようお願いします。