ガードレールとしてのCNAPP ～開発者とセキュリティの幸せな関係～

皆様よろしくお願いします 私テナブルクラウドセキュリティという製品を
今日ご紹介に来た伊藤と言います スポンサーセッションということなので
簡単に会社の説明とかもちょっとさせていただきますけれども 基本的にはシーナップの説明に特化したいと思ってます
簡単に自己紹介です 伊藤と言います 現在はテナブルネットワークセキュリティ株式会社というところで
シニアセキュリティエンジニアとやってます 以前はですね 元々はデバイスドライバーとか
かなり下回りの開発とかをやってたんですけれども そこからいろいろ変わってですね
最近だと例えばハシコープとか ちょっと最近IBMに買収されたりもしましたけれども
あとスニークとかITコンサルなどを経て 今の仕事に就いております
趣味やここに書いてあるのはバイク キャンプ ギターみたいな
男の三大欲望を満たすようなものを すべて好んでおります
猫派です
アジェンダですね 今日話すことは なぜ我々テナブルという会社がここにいるか
あとはプラットフォームエンジニアリングに シーナップを組み込む必要性みたいなのも
簡単に話したいと思います 時間が許す限りとかですね
あればデモ 実際の画面とかも見てもらうと シーナップがどういうものかっていうのが
イメージつくかなと思います
なぜ我々がこの場にいるかといったところで 簡単にテナブルという製品ですね
をご紹介すると テナブルワンという プラットフォームがありまして
ここにですね 下にクラウドとか 脆弱スピード バルナラビリティ アイデンティティ
OTみたいな いろんなものがあります
我々それぞれのアタックサーフェイスを スキャンすることができて
それらを真ん中のですね エクスポジャーグラフっていうところに取り込んで
その上にある 例えばアタックパスアナリシス みたいなところですね
クラウドだけじゃなくて 例えばオンプレから 例えばアイデンティティ攻撃されて
結果としてクラウドを攻撃されるとか そういうアタックパスみたいなのを
解析することもできます
あとはエクスポジャービューといって どこにどれだけリスクが潜んでるか
みたいなのを数値化してですね A判定 B判定みたいな感じで
一目で分かりやすくするといった部分
あとはそういった全てのアセットを 一元管理するみたいなことが
Tenable Oneというプラットフォームの中で やることができます
クラウドですね 今日のフォーカスポイントとしては
CNAPP クラウドネイティブアプリケーションプロテクションプラットフォーム
という長い名前なんですが 通称CNAPPといったものをご紹介になります
どういったものかというと クラウドスタック全体のリスクといったものを
可視化して 総合的に
修正案を出したりとか リスク判定したりとか
そういった怪しいところを 見つけるというツールです
あとは当然 マルチクラウドに対応してます
なので 一つの特定のクラウドだけとかではなくて
複数のクラウドなどを 一度の一つの画面で見ることができると
エージェントレスで導入可能です
なので 特定のサーバーを用意するとか エージェントをインストールするとか
そういったことは必要ありません
クラウドにおいての 開発者さんの役割みたいなのが
どんどん拡大していると思ってます
この絵で言うと左側 クラウド以前っていうのは
どちらかというとやっぱりモノリシック
一枚岩みたいなアプリケーション もしくはシステムの構成になってて
会社さんとそれを運用する ITっていうのが
結構はっきり分かれてたところになります
クラウド時代になりますと
今度はクラウドのインフラとか リソースって簡単に作れます
ある意味 ハードウェアの調達とかする必要がないので
ハードウェアをソフトウェアのように 扱うことができるというのが
この時代かなとなります
イコール 会社さんっていうのは
今までハードウェアに合わせて ソフトウェアを作ってたりとかしてたのが
これからは今度はどう言ってたんですか
ソフトウェアに合わせて ハードウェアを準備するみたいな
あるってるかな
そういうイメージになってくると思います
そうすると会社さんが今度は インフラの構築とかもやりますし
例えばIACとかテラフォームとかに 代表されてるようなもので
ハードウェアのインフラを準備する
あとはそれ以外にも 例えばオープンソース使ったりとか
コンテナをビルドしたりとか
そういったのもCICTとか使って 会社さん寄りといいますか
DevOps系のオペレーションが増えてくる となります
そこで忘れてならないのは 右側のセキュリティのほうになります
どうしてもやっぱりセキュリティって 後回しになりがちです
ここに書いてあるようないろんなところを 見なきゃいけないし
非常に難しい領域でもあります
なのでこういったところで どういったツールが必要になってくるかとかですね
どういったことを気にしないといけないかっていうのも 時代に変革によって変わってきているというところです
なのでクラウドによって会社さんの役割と 責任拡大していますということで
セキュリティっていうのは 開発とかリリースのブロッカーになりがちです
セキュリティチェックをしてなくてですね 例えばアプリケーション作りましたとか
何かリリースしたいですって言ったときも インフラも構築したいですって言ったときに
最後の最後にセキュリティチェックが入って ブロックされて
でまた回数が手戻るとかですね のがあります
なので常に新しいなるだけ早い段階からですね セキュリティっていうのを組み込んでいく必要があると
でセキュリティツールっていうのは やはりサイロ化しやすいです
目的がはっきりしている分ですね いろんなツールを導入しがちになるんですけども
やっぱそうするとやっぱりツールが増える イコール認知負荷が上がる
イコール生産性が落ちるという ある意味プラットフォームエンジニアリングが
解決しようとしているような部分が まさにここに当たるのかなというとこです
あとはセキュリティチェックとかもですね セキュリティツールって結構設定めんどくさかったりとか
あとは専門的な知識が必要になったりとかが多いです
そういった運用が手間になりがちって言ったところで
やっぱりやらないといけないっていうのは セキュリティ運用の簡単な自動化ですね
毎回毎回スキャンするのに いろんな手間をかけるんじゃなくて
なるべく自動的に開発サイクルの中に セキュリティを組み込んでいくと
シフトレフトとかいう感じですね いうふうにも言われております
続きまして今日の本題になってくるんですが
プラットフォームエンジニアリングに シーナップを組み込む必要性といったところになります
まずシーナップっていったものを 聞いたことある方もいらっしゃると思いますが
簡単にシーナップって何かっていうとこなんですが
こちらのガートナーさんの資料ですね
英語の資料にはなってしまってるんですけども
いろんなところでランタイムから デブ開発サイクル
あとは下のコントロールプレーンと 呼ばれているような
いろんなところでですね
これだけでいろんなことを チェックすべきですと
いうのがシーナップの概念です
なのでシーナップっていうのは 製品の総称とかではなくて
こういうことをやっていきましょうっていう 考え方でもあります
右側にゼラゼラといろんな4文字熟語みたいな 熟語というか書いてありますけれども
全部別に一個一個は説明しませんが
これだけいろんなことを やらないといけないんだよみたいなのを
通称名で記述してます
めっちゃ大変そうですよね
なのでこれらがですね
一つのツールとかある程度の塊で カバーできたらですね
いいというところですね
ツールのサイロ化を防ぐっていう意味でも
これらのツールっていうものを
なるだけカバーしていきましょう というところです
全部やる必要とかも ないかもしれませんけれども
つまりここで言いたいのは あれですね
クラウドエネティブアプリケーションとかの 世界になると
これだけいろんなところで チェックしていく必要があるっていう
そういったところが ここのメッセージなのかなと思います
でシーナップっていって さっき言ったいろんな用語がありますけれども
いろんなレイヤーですねによって ツールとか概念も変わってきます
例えば一番上アプリケーションレイヤーですと サスト、ダスト、イラストといったような
といったような静的解析、動的解析 そういったものですね
が適用されますし 例えばオープンソース使ったアプリケーション開発
最近だと当然の話だと思うんですけども
だとこのSCA、ソフトウェアコンポジションアナリシス みたいなものとか
SBOMといったもので
オープンソースの依存関係ですね といったのも見ていく必要が出てきます
あとIACも導入進んでると思います
IACのスキャンといったことも していかなきゃいけない
あとはVM、バーチャルマシンとかコンテナといった部分に 含まれる、これ脆弱性ですね
CWPといった部分、あとコンテナスキャン
あとはマルウェアが含まれているかどうかとか こういったスキャンもしていく必要があると
あと一番下、インフラ
実際のクラウドインフラに対してですね セキュリティポスチャー
要はどういうインフラが、どういうリソースがあって それを可視化していく必要があるし
あとはキームと呼ばれているような 権限周りですね
見るような部分とか、いろいろこの辺も インフラ周りを見ていく必要があります
あとさらにその各レイヤーごとではなくて チームといいますか
役割によっても使うツールって やっぱ変わってくるかなと思っていて
DevOps側の人たちというのはやっぱり どちらかというとアプリケーション開発側とか
カイスタイクル、CICDとかそっち側に スキャンを組み込んでいくとかいうところになりますし
右側にセキュリティオペレーション、セキュリティセックオプスの方になると
やっぱり今度はどちらかというと インフラの脆弱性をスキャンしたりとかですね
権限周りをちゃんと見たりとか そういったところになってきます
なので、いろんなCNAPPってあるんですけれども 幅広い部署で導入していく必要があるというものになります
どこかが特定の部署だけが導入すればいいというものではないです
その中でCNAPPのいろんな必要な機能というのを 一つにまとめたソリューションというのが
我々の製品になります
世の中にCNAPP製品、CNAPPをソリューションとしている ベンダーさんとかたくさんあります
結構その辺はですね、機能マトリックスとかにすると 結構みんな一生くたんになりがちですね
なのでその中でどういう特徴を出していくか というのがポイントにはなってきます
で、一個一個ですね、簡単に製品要点だけを言うと 例えばCSPMという機能があります
これはクラウドインフラのガバナンス クラウドインフラを可視化して
おかしな設定がないかとか コンプライアンス的に問題ないかとか
そういったところを見るツールとなります
で、時計回りでいきますと あとKIMっていう
これはクラウドアイデンティティエンタイトルメント インフラストラクチャーエンタイトルメントマネジメントですね
で、権限回りを見ますと
クラウド上のリソースって 全てに権限みたいなのがやっぱり振られて
誰が何に対して何ができるかみたいなものを 全て記述するという考え方があります
その辺をちゃんと可視化して
ゼロトラストで言われているところの 最小権限を実現しましょうと
そのお手伝いをするような機能が入ってます
あとはJITって書いてるのが これはジャストインタイムみたいなもんで
最小権限とはまた別の考え方で 必要なときに必要な権限だけを払い出すという機能になります
例えば本番環境でデバッグする必要がありますとか
言ったときに常にゾット本番環境へのアクセス権を そのユーザーさんにゾット渡すのではなくて
必要なとき 例えば1日だけ作業するって言ったら
例えば8時間だけ有効なものを払い出すみたいな
そういったことを簡単に行うワークフローを提供してます
ここでいうワークフローっていうのは 我々のポータルからもできますし
例えばスラックとかチームスと連携して スラックから権限が欲しいですっていう通知を送ると
その承認者がそれをスラック上でポチッてやるだけで その権限が割り振られるとか
そういったワークフローを組み込むことができます
DSPM AISPMって言ったとこもありますけれども
これデータセキュリティポスチャーマネジメントでして
機密データっていうのがいろんなところに散らばると
またデータベースの中に電話番号であったりとか クレジットカードの番号であったりとか
そういったものがどこに何があるかっていうのをまず割り出して
それらに設定アクセス権とか 設定周りで怪しいとこないかとか
ちゃんと暗号化されてるのかとか そういったところをチェックするのが
この部分になります
あとはAISPMってことで 昨今社内でも
例えばAIの導入とかどんどんどんどんいろんなとこやってますけれども
やっぱり社内の資料を使って トレーニングするわけですが
そのトレーニング資料の中に 機密情報が含まれてないかとかですね
そういった部分を見つけるような部分になります
で 右下 IAC コンテナスキャン
DevSecOpsって書いてますけれども
こういったIACのスキャン 実際にプロビジョニングする前に
おかしな設定っていうのを見つけると
そうすることで 事前に危険なインフラ構築を防ぐことができます
あとはコンテナスキャンもそうですね
CICDのパイプラインの中で コンテナをビルドしたら
すぐにそのイメージをスキャンかけてですね
実際に実行する前に脆弱性をスキャンすると
それらをCICDのパイプラインに組み込むことで
その辺は全部自動化していくという仕組みです
で CDR これクラウドディテクトアンドレスポンスという略ですけれども
ログ分析とかしてですね
不審な活動といったものを分析するような機能です
例えば権限昇格のAPIが叩かれて
誰かが自分自身をアドミンに権限昇格しちゃったとかですね
よくハッカーが使う手段だったりもします
とか あとは今まで全然アクセスもしてなかった
例えばストレージに対して急にアクセスのAPIのスパイクが上がったとかですね
そういったおかしな動き 不審な活動というのを見る部分になります
で KSPM これはKubernetesのセキュリティポスチャーのマネジメントです
Kubernetesを導入されたりしているとですね
やっぱりクラスターの管理というのも非常に難しいエリアになります
なのでその辺のクラスター自体の設定周りのおかしな不備を見つけたりとか
あとはその上で動いているコンテナの脆弱性を見つけると
検知するという機能
あとはCWP 稼働しているワークロード
これは例えば仮想マシンであったりコンテナに含まれる
導入されているソフトウェアに含まれる脆弱性ですね
を見つけるような機能ですね
こういったいろんなものがですね
一つになっているというのが一つのこのCNAPPプラットフォームの特徴となっています
はい
で CNAPP じゃあどこに導入するかというと
いろんなところに導入しないといけないんですけれども
例えば DevOps から SecOps までいろんな役割があって
それぞれの方々が目的が違うわけですね
これゼラゼラと書いてますけれども
それぞれのチームで目的が違っていて
何が到達されば給料が上がるのかとか
その辺のやっぱり目的も違うと思います
で メンバーの役割
この辺は会社さんごとによって名前の付け方とかも違うと思いますけれども
いろんな役割の人たちがいますと
で 一番下やっぱり経営層とかリスク管理チームみたいなところ
そこはそこでまた別の役割があったりとかします
で CNAPP はですね
その中で全ての役割の方で使っていただきたいという
一つの理念があります
なので CNAPPツールを統合することでですね
ツールをサイロ化するのを防ぐというのと
あとはそのやっぱり同じ画面を見て
同じ用語を扱って
で 同じものの状態を把握する
これをチーム全体で共有するってことで
ある意味円満というかスムーズな
開発リリースサイクルが実現できるんじゃないかというところになります
で もうデモになります
ちょっと簡単にですね 画面の方をお見せしたいと思います
で 今ちょっと見ていただいているのがですね
我々の製品のダッシュボードと呼んでいるような部分になります
で 見ていただくとここにマルチアカウントです
マルチクラウドですね AWS Azure GCP Oracle Cloud あります
あとオンプレミスって書いてあるのは
例えばセルフマネージドのキューバネイテスクラスター
オープンシフトとかですね
そういったものに対しては
なぜか我々オンプレミスっていう名前つけてるんですけども
スキャンすることができます
あとはスノーフレークとか
複数のものをですね 見ることができて
その中で例えばリソースとか見ていくと
どの環境にどういったリソースがあるのか
これコンピューティングリソースですし
データリソースとかになると
どれだけ どういったデータベースとか
RDSがこれだけあってとか
SQLのインスタンスがこれだけあってとか
またIAMリソースとかいくとですね
どの環境にどういったIAMのリソースがあって
どれだけのものがあって
あとはこの外部のIDPですね
例えばGoogleワークスペース使ってたりとか
エントラIDとか使ってたり
もしくはOctaでユーザー管理してるとか
こういった外部IDPもスキャンすることができます
そうすると何が嬉しいかっていうと
昨今ですね 大体
例えばOcta経由で例えばAWSにアクセスしてくるとか
フェデレーションしてくる
そういったケースが多いんですけども
そこまで遡ってスキャンする
ことができます
非常にアタックパスっていったところも
外部IDPまで跨いでですね
チェックするっていうことができます
こういったリソースを全部可視化した上で
オープン検出結果って出てますけれども
どういったものが危険な設定が見つかったかみたいなのを
優先度をつけて導き出してくれます
この検出結果っていうのは
このポリシーっていったところですね
で決められてます
例えばプラットフォームでですね
例えばAWSでちょっとソートすると
例えばIAMカテゴリーですと
こういったここに書いてあるような
危険な設定といいますか
こういったポリシーがいろいろあって
これらに違反してるかどうかっていうのを
さっきのリソースに対して全部照らし合わせます
IAM周りだけではなくて
例えばこれコンピュートかな
マリであったりとか
こういったものをすべてですね
導き出していきます
もう一回戻ります
トレンドであったりとか
あとは当然CSPM機能も入ってますので
例えばコンプライアンスとかも
ここで画面で一個に見ることができると
例えばCISのベンチマーク推奨設定ですね
とか あとは各種コンプライアンス系ですね
NISTのSP800であったりとか
PCI DSSとかでやっている
指示されているもの
そういったものが出てきます
あとは有毒な組み合わせといったところが見れます
さっきのポリシーに違反してますと
プラスそれぞれ同じリソースが複数のポリシーに違反していた場合に
例えばCIS重大な自弱性が入ってて
さらに高い権限で運用されていて
パブリックに公開されている
そういったのが組み合わさると特に危険ですと
こういったものも出してくれます
あと5分しか時間がない場合みたいな形で
特に危険なもののトップ5みたいなのがここに出てきます
ちょっと一つ例を見ていきたいと思います
例えばここはですね
今見ていただきますと
この上にですね
いろんなフィルター条件とかがプリセットされてまして
インターネットに直接公開されてますと
全てのIPに対して
特にIPアドレス制限とかかかってません
かつ脆弱性が重大なものが含まれている
かつ特権で運用されているというようなものがあります
一つ例を見ていただくと
ここがリストですね
ここでも簡単にいろいろ見ることができるんですけども
例えば一つ一番上のやつを見ていただくと
メタデータといいますか
こういった様々な情報がここで見ることができて
ちょっと脆弱性からいきます
これEC2のインスタンスですね
インストールされているソフトウェアに含まれている
脆弱性の一覧が出てきます
ネットワークとか行くと
今度はネットワーク構成ですね
どのポートがどういった
この場合だとセキュリティグループ経由で
全てのインターネットに対して公開されているというような
情報が取れたりします
IAMといったところに行くと
今度権限回りですね
このマシンにはこういったロールが割り振られていて
このロールにはこういった
APIアクセスが許可されていると
それで何に対してアクセスできるのかみたいな
こういったところまで見れます
これ非常に便利ですね
こういったポリシードキュメントとか見ればですね
権限は分かるんですけども
そこからじゃあ何にアクセスできるのかっていったところまで
終えるっていうのは
これすごい強いところです
アクセスレベルとかもいろいろあって
例えばクロスアカウントとかでやると
このロールが一つの環境から別の環境の
例えばバケットにもアクセスすることができるみたいなのを
導き出せます
例えば開発環境のロールが
なぜか本番環境のリソースにアクセスできてしまっているとか
そういったものも全部ここで見つけることができます
そういったのを踏まえた上で
検出結果といったところを見ると
いくつか重大なものみたいなのが見つかったりします
1個見てみます
過剰な権限を持つIAMロールみたいなのを見ると
ここになんでこれが重大なのかという文脈情報が出てきますと
その過剰と思われるアクセスのリストですね
みたいなのがここで図示して見ることができます
例えば修正とかいくと
ここに修正ステップっていうのが全部出てくるので
ここで見ていくと中身ちょっと見ると
ここはDifとか見るとですね
左側が今割り振られているポリシー
右側がTenableが考える推奨設定最小権限ですね
過去のアクティビティログとかを全部分析してですね
本当に必要な権限ってこれだけですよというものになります
最後ですねこうやって見つかったこういったものですね
じゃあどうすればいいかというと
例えば選んでですね
この下にあるように
例えばメールで担当者に送信するとか
Webhookで別の例えばPagerDutyに送るとかですね
いろんな他のツールとの連携できます
あとはJiraの課題一周ですね作ったり
サービスなインシデントを作成したりと
こういった様々な形でですね
この見つけたものをトラッキングしていくと
いうようなところまですることができます
検知しただけではやっぱり意味なくて
それをどう修正していくかといったところ
ここも見ていくということになります
最後またまとめにはなります
今見ていただいた通りですね
設定ミスだけじゃなくて
設定ミス脆弱性過剰権限といったものを見て
それぞれのコンテキストで有毒な組み合わせを見つけて
優先度をつけると
こういったことができるというのが
我々のツールのまとめとなります
といったところで
今日の発表は終わりとなります
ありがとうございます
はいありがとうございます
QAが入ってきているので
ちょっと回答をお願いいたします
昨今サプライチェーンアタックが激しくなっており
先日も多数の著名なNPMライブラリに
マルウェアが購入されていましたと
確認作業にそこそこの工数を要したのですが
CNAPPを使うとそれ容易になるのでしょうか
自社リポジトリだけじゃなくて
アップストリームのOSSについても
同様の検証はできるのでしょうか
ありがとうございます
この辺はSCAとかオープンソースの依存の関係ですね
などを見ていく
例えばNPMであれば
そうですね
NPMのパッケージ情報というのを見ていくのがあるんですけど
残念ながら
テナブルはSCAはまだできてないです
ただこの辺はやっぱり一般的にはSCAとかSBOMといったところで対応していくというのが答えかなと思います
はい ありがとうございます
CNAPPはオンプレにも導入できるのでしょうか
はい
CNAPP自体がやっぱりクラウドネイティブアプリケーションという略なので
基本的にはクラウド環境だけなんですが
一部ちょっと言ったように
例えばオンプレでホストされているKubernetesとかであれば
エージェントを入れることで
そのKubernetesのクラスター自体はスキャンは可能です
で その我々の製品ではこのぐらいなんですが
我々別の製品でテナブルVMっていう脆弱性診断ツールがあります
それを使うとエージェントベースなどで
スキャン 脆弱性スキャン
オンプレのサーバーとかスキャンかけることができて
その結果をテナブル1っていうプラットフォームに入れると
オンプレもクラウドも両方同じ
テナブル1上で見ることができるということになります
はい ありがとうございます
スライド上ではQAはこれまでなんですか
皆さん今ここで何か聞きたいことがあれば
手を挙げて質問していただければなと思っております
はい
ちょっと1点質問なのですが
テナブルを仮にAWSに導入する場合
IAM等でクラウドのリソースへのアクセス権限を払い出すと思うんですが
その際はやはり必要最小権限を払い出すようになっているんでしょうか
はい そうです
AWSに限らず他の環境でもそうなんですが
テナブルがスキャンしていいっていうロールをまず作って準備していただきます
ただ大きさに準備していただくのはそれだけです
そのロールにはテナブルがアシュームロールして
それに成り替わってスキャンするんですけども
基本的にはリードオンリーだけになります
で もう必要最小限ですね
ものがあって
ドキュメントとかにも全部詳細がざーっと書いてあるんですけども
一個一個ちょっと覚えてないんであれなんですが
スキャンする内容によって権限が変わってきます
例えばワークロードプロテクションとかするってなると
コンテナのイメージをプルする権限が必要になったりとか
あとは例えばEC2のインスタンスとかをスキャンするときは
スナップショットっていうのを取るんですね
そのときの
で そのためのクリエイトスナップショットっていう
ちょっとAPIの権限が必要になったりとかするので
スキャンする内容によってちょっと変わってくるという
だから基本的には必要最小権限になります
ありがとうございます
はい 他に質問ある方いらっしゃいますでしょうか
はい もう時間もちょうどいいので
これでセッション終わりたいと思います
改めて大きな拍手お願いします
拍手