クラウド環境に対するセキュリティ評価を実施するPentera Cloudのご紹介

IaaS環境に置かれた外部公開資産へのセキュリティ評価を実施する、PENTERA社の新製品Pentera Cloudについて解説します。

■IaaS環境へのセキュリティ評価の現状

多くの企業／組織が主要なサービスをクラウド環境に移行していますが、IaaS環境では利用者が設定・カスタマイズ出来る範囲が広く、IaaSの設定不備、考慮漏れといった、従来のサービスには無かった新たなセキュリティ上のリスクが発生しています。

ここ1～2年、CSPM（Cloud Security Posture Management）と呼ばれる、新たなソリューションも登場していますが、検査できる範囲はセキュリティリスクとなりうる設定・状態を検出する事であり、それらを悪用されると、具体的に公開している資産、サービスにどの様な被害が起こる可能性があるのかまでは把握する事が出来ません。

■IaaS環境で求められるセキュリティ評価の手法

IaaS環境では以下のようなセキュリティ上考慮すべき点が広範囲に及んでいます。

IaaSプラットフォーム
OS
ミドルウェア
アプリケーション

CSPM、ASM、脆弱性診断、Web診断といった従来のセキュリティ評価ソリューションではこれらの一部分しかカバーしておらず、また日々変化するクラウド環境に対応していく事も重要となります。

従って、IaaS環境におけるセキュリティ評価では、以下のような機能が求められます。

IaaSプラットフォームからアプリケーションまで、全てのレイヤーを考慮した上で評価を実施できる
発見された設定上の不備、脆弱性が悪用された場合にどの様な被害が起こるのか想定できる。
継続的に診断を実施できる。

■Pentera Cloud概要

「自動セキュリティ検証分野」におけるマーケットリーダーであるPENTERA社は従来のPentera Core、Pentera Surfaceに加えて、新たにIaaS環境に対応した自動セキュリティ検証製品「Pentera Cloud」をリリースしました。

Pentera Cloudはクライドネイティブの攻撃ライフサイクルに対応した、新世代のIaaSセキュリティ検証プラットフォームです。

従来のPentera Core, Surfaceと同様に、攻撃者が実際の攻撃で使用する手法再現した検査を実施しますが、その課程においてIaaSプラットフォーム上のセキュリティリスクも考慮した検査が可能です。

Pentera Cloudは攻撃者が実際にクラウド環境で使用する攻撃手法を再現します。

クラウドネイティブの攻撃ライフサイクルに対応する事により、ワークロード、アカウント、データといったIaaS環境特有のセキュリティリスクを検出可能です。

クラウドネイティブな診断が可能です。

■Pentera Cloudの対応IaaSプラットフォーム

Pentera CloudはAWS, Azureの環境に対応しています。

Pentera CloudはAWSとAzureに対応。

■Pentera Cloudの検査

Pentera Cloudは実際の攻撃者と同様の振る舞いを行います。
これは単に設定上の不備を発見したり、脆弱性のスキャンを行うだけではありません。
様々な手法を用いて検査対象への侵入に必要な情報の収集を行い、疑似攻撃を仕掛けます。
この事により、実際に攻撃を受けた際にどの様は被害が発生するのか、導入されているセキュリティ製品は有効に働くのかといった事を評価可能です。

検査にあたっては一般的なBAS（Breach Attack Simulation）とは異なり、検査対象側に事前にエージェントソフトウェアを導入するといった準備も不用のため、比較的容易に導入する事が可能です。

検査結果はアタックフローとしてわかりやすく表示され、どの様な問題がどの様に利用され、結果としてどの様な被害が発生したのかを容易に把握できるようになっています。

Pentera Cloudのアタックフロー図からは検査結果を容易に読み解く事が可能です。