[RSA2019 イノベーション サンドボックス] CloudKnox: ハイブリッド クラウド環境向けの ID および認証管理プラットフォーム

すべての RSA カンファレンスにおけるイノベーション サンドボックス セッションは常に注目の的となっています。イノベーション サンドボックスの本来の目的は、サイバー セキュリティ分野の新興企業が革新的なテクノロジーやビジョン、さらには情報セキュリティ業界にもたらす可能性のある変化や発展を披露するためのプラットフォームを提供することです。

2019年、RSAカンファレンスのイノベーションサンドボックスの最終選考に残った上位10社は、3月4日のカンファレンスでそれぞれ3分間のプレゼンテーションを行い、委員会からの質問に答えます。審査員には、業界の投資専門家、サイバーセキュリティの専門家、サイバーセキュリティ企業のCEO、企業のCISO、業界コンサルタントなどが含まれます。Green Alliance Technologyは、この10社を誰もが理解できるように、一連の記事を開始しました。本日はCloudKnoxを紹介します。

会社紹介

CloudKnox は、2015 年 9 月に設立された米国カリフォルニア州サニーベールに拠点を置くハイテク スタートアップ企業です。同社はシリーズ A 資金調達を完了し、総資金調達額は 1,075 万ドルに達しました。

会社を紹介する前に、次の質問をさせていただきます。

- クラウド環境にアクセスできるのは誰ですか?

- これらのユーザーにはどのような権限がありますか?

- ユーザーはこれらの権限で何ができますか?

- ユーザーは実際にどの権限を使用しましたか?

- リスクとは何ですか、またそれをどのように軽減できますか?

現在のクラウド プラットフォームのほとんどは、ロールベースのアクセス制御 (RBAC) アクセス制御モデルを使用しています。このモデルでは、異なるロールには異なる権限が与えられ、ユーザーには対応する権限を持つ特定のロールが割り当てられます。ただし、クラウド環境では、このようなポリシーに従ってユーザーに付与される権限が大きすぎる可能性があります。 2017 年 2 月、Amazon AWS ではプログラマーの誤操作により大量のサーバーが削除され、最終的に Amazon S3 が 4 時間にわたってダウンしました。このことから、クラウド環境では、特にリスクの高い権限による操作を制限する必要があることがわかります。

CloudKnox はアクセス制御の分野に重点を置いており、上記の問題の解決に取り組んでいます。ユーザー ID が持つ権限と実際に使用する権限に注目します。操作時にユーザーが使用するIDと権限を整理し、そのIDに必要な権限を最小限に抑えることで、未使用の権限が漏洩するリスクを軽減したいと考えています。

製品紹介

同社は、ハイブリッド クラウド環境での ID 認証管理 (IAA) 用のクラウド セキュリティ プラットフォーム (CloudKnox セキュリティ プラットフォーム) を提供し、資格情報の紛失、誤用、悪意のある内部者によるリスクを軽減します。現在、このプラットフォームは、Microsoft Azure、VMWare vSphere、Amazon Web Services、Google Cloud などの主流のクラウド コンピューティング環境をすでにサポートしています。

CloudKnox セキュリティ プラットフォームには、次の 5 つの主要機能があります。

（１）アイデンティティ、権限、活動、リソースに関する可視性と洞察。

（２）サービスアカウント、APIキー、サードパーティパートナーなどを含むアイデンティティのアクティビティベースの認証

（３）JEP（Just Enough Privileges）コントローラは、ユーザ権限を自動的に調整し、高い権限を持つユーザによるリスクを軽減します。

（4）ハイブリッドクラウド環境における異常検出およびアイデンティティアクティビティ分析

（５）コンプライアンス報告のための高品質なアクティビティデータと、問題を調査するための強力なクエリインターフェースを提供する。

以下はプラットフォームの機能を紹介するスクリーンショットです。

（1）CloudKnox Security Platformはユーザーの行動を継続的に監視しており、ユーザーの行動はシステムがユーザーに対して操作を実行する許可を与えていることを意味します。継続的な監視を通じて、プラットフォームはユーザー権限を、下の図に示すように、使用済みと未使用の 2 つのカテゴリに分類できます。

セキュリティ管理者は最初にユーザーに特定の権限を付与しますが、一部のビジネス権限は使用されない可能性があり、盗難や悪用の可能性があり、不要なリスクが発生します。つまり、これらの未使用の権限を削減できれば、リスクを最小限に抑えることができます。

（２）プラットフォームは上記のリスクを評価する。未使用の権限が多いほど、またはこれらの権限の悪用によって生じるリスクが高いほど、全体的なリスク スコアが高くなります。

（３）管理者は、上記のリスクを発見した後、マウスをクリックするだけで、アイデンティティの権限を取り消したり、許可したりすることができます。

（4）ユーザーの脅威スコアなどを直感的に確認できるほか、CSV、PDFなどの形式でファイルにエクスポートすることもできます。

レビュー

従来の権限管理は固定的で非継続的であるため、管理と運用の間に断絶が生じやすくなります。分析の結果、CloudKnox の考え方は、ユーザーが特定の権限を持っていても、通常はその権限を使用していない場合は、そのユーザーにはその権限がないとみなして、権限を取り消すことができるというものであることがわかりました。これは実際には最小権限の原則を実装する方法です。 CloudKnox が提案する JEP は、基本的には最小権限の原則ですが、実行時のこのクローズドループ評価はより実用的であり、従来の権限管理よりも優れたユーザー エクスペリエンスを提供します。

しかし、実際の環境では、アイデンティティと権限の関係は複雑です。一部の権限が使用されていない場合でも、いつか必要になる場合があります。この瞬間は、資格情報の紛失、誤操作、悪意のある内部者による操作に対応する可能性がありますが、通常のユーザーのニーズである可能性もあります。管理者は取り消された権限を再承認できますが、ユーザーがこの権限を必要とするときと管理者がそれを検証して承認するまでの間には一定の時間間隔があります。この間隔により、一部の重要なビジネス対応が十分なタイミングで行われなくなる可能性があります。さらに、ID や権限の数が多い場合、管理者の作業負荷が非常に大きくなる可能性があります。著者は、CloudKnox の公開情報でこれらの問題に関連する説明を見たことはありません。しかし、一般的には、ユーザーの実際の未使用の権限を制限することで、資格情報の紛失、誤操作、悪意のある内部者によるリスクを効果的に軽減できます。

企業ウェブサイト: http://www.cloudknox.io