クラウド環境
米国CISAによる「NIMBUS 2000 イニシアチブ」:クラウドアイデンティティのセキュリティ強化に向けた取り組み
CISAの「NIMBUS 2000」で提起されたクラウドアイデンティティセキュリティの課題や、それに対するTrend Vision Oneの取り組みについて、トークン検証やシークレット管理を中心に解説します。
CISA主導の「NIMBUS 2000 イニシアチブ」:重要な知見とクラウドアイデンティティセキュリティの改善策
2025年6月25日、米国バージニア州アーリントンにおいて、クラウド・アイデンティティセキュリティ分野の技術会合「Cloud Identity Security Technical Exchange」が開催されました。この会合は、米国CISA(サイバーセキュリティ・インフラセキュリティ庁)が主導する「NIMBUS 2000イニシアチブ」の一環で実施されたものです。主要なクラウドサービスプロバイダ7社に加え、NSA(国家安全保障局)やNIST(米国国立標準技術研究所)、OpenID財団が本会合に参加し、クラウドインフラを取り巻く脅威の進化について活発な議論を行いました。
こうした協調的な活動から示される通り、産業界では、クラウドに対する脅威の巧妙化に対抗するため、セキュリティエコシステムの連携と強化に向けた取り組みが進められています。
「NIMBUS 2000」の技術会合から得られる知見
CISAの技術会合では、クラウド環境を狙った攻撃が増加傾向にあり、特にアイデンティティ関連の脆弱性を悪用した手口が巧妙化していることが示されました。また、産業界全体で注視すべき重要課題として、以下の3点が挙げられました。
- トークンのバリデーション(検証)技術
- ステートレスなトークンは効率面で優れるものの、署名鍵が侵害された場合、トークンを無尽蔵に偽造されるリスクがある。
- より堅牢な手段として、ステートフルなバリデーションや、所有証明(PoP:Proof of Possession)を求めるトークンバインディングなどが挙げられる。これらの手法はセキュリティ面で優れるが、実装の複雑さや統合のコストが普及の妨げになる。
- シークレット管理システム
- 集中管理型のシークレット管理システムを大規模展開した場合、設定不備やポリシー違反のリスクが生じやすくなる。
- 企業や組織では、鍵ストレージやアクセスコントロール、システムパフォーマンス、シークレットのローテーションといった要素のバランスを的確に調整し、レジリエンス(復旧力)を維持することが求められる。
- ログの記録と可視性
- テレメトリ情報が不足、またはログ保持のルールに一貫性がない場合、不正アクセスや偽造トークンの検知に支障が出る。
- 産業界全体で脅威の検知や対応をサポートするためには、ログ記録の標準と可視性を双方とも改善していく必要がある。
「NIMBUS 2000」の指針と合致する「Trend Vision One™ - Cloud Security」のアプローチ
クラウドセキュリティ・エコシステムの一員として、トレンドマイクロは「Trend Vision One™ - Cloud Security」の統合プラットフォーム機能を提供し、CISAの技術会合で示された重要課題に正面から取り組んでいます。以降、その具体例を解説します。
トークンセキュリティとアイデンティティ保護の強化
セキュリティプラットフォーム「Trend Vision One™」は、下記の機能により、トークンバリデーションやアイデンティティ監視のプロセスを強化します。
- 「Trend Vision One™ XDR for Cloud(AWS CloudTrail)」は、グローバルな脅威インテリジェンスに基づく150以上の検知モデルを駆使し、以下のように高度なクラウド型攻撃を的確に検知します。
- 多要素認証(MFA)の無効化
- 権限昇格
- ポリシー設定のロールバック
- マスターパスワードの改変
- アイデンティティやアクセスに関する挙動監視:Microsoft Entra IDやアクティブディレクトリを継続的に監視し、不審な認証パターンやトークン利用を検知します。
堅牢なシークレット管理
「Trend Vision One™」は、開発や運用の安全性を高めるために、下記の機能を提供します。
- 稼働時のシークレットスキャン:コンテナ環境から外部露出しているシークレットをリアルタイムで検知します。
- 「Trend Vision One™ - Cloud Risk Management」:シークレット管理システムの設定不備を監視し、CIS(Center for Internet Security)が策定したベンチマークに基づくコンプライアンススキャンを自動実行します。
高度なログ管理とフォレンジック
「Trend Vision One」は、下記の機能を通して検知性能と可視性の双方を高めます。
- 多様なソースからのログ統合:「AWS Cloud Trail」や「VPC Flow」、「Amazon Security Lake」、「Azure Activity Log」など、数多くのソースからログを収集、統合し、解析に活用します。
- 脅威検知の拡張:偽造トークンや侵害済みの鍵、不正なトークンの生成を検知します。
- 自動対応:不審なIAMユーザのアクセス権を取り消すなど、リアルタイムでの封じ込め対策を実行します。
専用の検知機能
「Trend Vision One」は、「NIMBUS 2000」が挙げた重要課題に対応する専用の検知モデルを搭載しています。以下に、その具体例を示します。
- 「AWS IAMユーザのMFA(多要素認証)を無効化する操作」を検知します。
- 「IAMロールに管理者アクセス権限ポリシーを付与する操作」を検知します。
- 「ポリシーのロールバックや権限昇格の操作」をリアルタイムで検知し、アラートを出します。
統合セキュリティ対策の効果
「Trend Vision One」のXDR(Extended Detection and Response)は、クラウドやアイデンティティ、エンドポイント、ネットワークを含むさまざまなセキュリティ層から来る情報を統合し、解析します。これにより、下記のメリットが得られます。
- 広域にわたる可視性:多層の情報を集約して関連付けることで、脅威の対応優先度を正確に特定します。
- 運用効率の改善:アラート疲れを減らし、自動化ワークフローによって対応効率を改善します。
レジリエンス(復旧力)に優れたクラウドセキュリティのエコシステムを実現
CISAによる「NIMBUS 2000」の取り組みは、クラウドアイデンティティのセキュリティ強化に向けた重要な一歩と言えるでしょう。このミッションを実現するため、「Trend Vision One™ - Cloud Security」は、米国連邦政府の標準や産業界のベストプラクティスに沿った機能を搭載し、クラウド業界における安全性の確保に貢献します。
「Trend Vision One」は、トークンバリデーションやシークレット管理、ログ記録に伴う課題にも的確に対処します。これによって企業や組織では、堅牢なセキュリティを確保するとともに、クラウド技術の強みを安全に活用することが可能となります。
参考記事:
CISA's NIMBUS 2000 Initiative Understanding Key Findings and Strengthening Cloud Identity Security
By: Fernando Cardoso, Jon Clay, Bestin Koruthu
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)