従業員や契約業者、自動化されたワークフローによって、企業のクラウドストレージへ絶えずファイルが送信されているにもかかわらず、リアルタイムのセキュリティチェックを受けるファイルはほとんどありません。
定期的なスキャンポリシーが設定されている場合でも、悪意のあるファイルがS3バケットやSharePointライブラリ内に数日から数週間も放置されたままになり、検出されるまでに時間がかかることがあります。その間に、すでにそのファイルがアクセスされたり、共有されたり、下流のシステムで処理されたりしている可能性があります。
脅威の可能性とは別に、従来の定期スキャンはコンプライアンス違反につながる恐れがあります。なぜなら、PCI DSS v4.0のようなグローバルな情報セキュリティフレームワークでは、組織に対し、ターゲットリスク分析(TRA)に基づいたスキャン頻度を設定することが求められており、TRAは重大な変更が生じた際、または定められた周期ごとに見直され、更新される必要があるからです。
多くのセキュリティチームにとって、これは60日ごとにすべてのファイルとフォルダを対象とした、定期的なフルスキャンを意味します。これは非常に労力を要し、コストもかかり、ペタバイト規模になると管理がますます困難になります。
もっと良い方法があります。
MetaDefender ™のイベントベースのスキャン、ID スキャン、および柔軟なスキャンワークフローにより、組織はリアルタイムの保護を維持し、冗長なスキャンを削減し、監査担当者が求めるユーザーごとの監査証跡を作成することができます。
Cloud 、定期的なスキャン以上の対策が必要な理由
バケット全体の定期スキャンは、クラウドストレージがバックアップ先であり、主要な共同作業の場ではなかった時代を想定して設計されました。しかし、そのような時代はもはや存在しません。
今日、金融機関では1つのS3バケットに5,000万件ものファイルを保管している場合があります。また、医療機関では、数千人の臨床医のための文書リポジトリとしてSharePoint Onlineを利用している場合もあります。
30日または60日ごとに環境全体に対してマルウェアのフルスキャンを実行すると、膨大な処理時間を要し、大量のAPI が発生する上、脅威がすでに横方向に移動した後になって完了することが多い。
さらに、構造的な問題もあります。つまり、定期的なスキャンは「その時点でのスナップショット」に過ぎず、完全な診断ではないということです。スキャンは特定の時点での状態を示すことはできますが、前回のスキャン完了後にアップロードされたファイルについては何も教えてくれません。そして、次にスキャンを実行する頃には、すでに手遅れになっている可能性もあります。
現実的に考えて、定期的なスキャンが過度な処理能力を消費し、不完全な状況把握しかできず、コンプライアンス違反につながるリスクがある場合、次なる合理的な解決策は、クラウドストレージに対するリアルタイム保護です。イベントベースのトリガーとID認識型スキャンを組み合わせることで、実務におけるコンプライアンスのあり方が一変します。
MetaDefender Storage Securityによるイベントベースのスキャンで新規ファイルを保護
MetaDefender Storage Security イベントベースのスキャンStorage Security 、検出モデルを「スケジュールに従ってすべてをチェックする」方式から「何かが変更されたら即座にスキャンする」方式へと転換します。固定間隔でバケットをポーリングするのではなく、そのRTP(リアルタイム処理)機能により、クラウドプラットフォームから直接ファイルイベントを監視し、新規または変更されたファイルが到着次第、即座に処理を行います。
Amazon S3 では、イベントベースのスキャンはAWS EventBridge を通じて実装されています。 監視対象のバケットにファイルがアップロードされると、Storage Security通知を送信し、ポーリングループによる遅延なしに即座にスキャンがトリガーされます。このプッシュ型モデルは、ポーリングに比べてAPI 少なくなるため、大規模環境において応答時間と運用コストの両方を削減します。
Azure Blob Storage については、Storage Security Security にコンテナの自動検出機能が導入されました。ストレージ アカウントを接続すると、プラットフォームがすべてのコンテナを自動的に検出し、手動での設定を必要とせずに一貫した RTP ポリシーを適用します。同様のイベント駆動型の処理は、SharePoint Online、Microsoft Teams、NetApp、Box など、サポートされているストレージ コネクタ ライブラリ全体で利用可能です。
実際には:
- 午前2時47分に不正アクセスを受けたユーザーがアップロードしたファイルはスキャンされ、悪意のあるファイルである場合は、アクセスや共有が行われる前に隔離されます
- 外部パートナーからの新規アップロードデータは、社内の処理が適用される前に、未処理の状態のまま取り込まれます
- ファイルの到着からセキュリティ判定までの時間は、数時間や数日ではなく、数秒単位で測定されます
コンプライアンスの観点から見ると、イベントベースのスキャンでは、 評価されたすべてのファイルについて、 リアルタイムでタイムスタンプ付きの 記録が継続的に 作成されます。 この記録はスキャンレポートで確認でき、ストレージ単位や日付範囲でフィルタリングが可能であり、監査対応を直接サポートします。
アイデンティティスキャン:ユーザーのアクティビティ、リスク、優先度に基づいてファイルをスキャンする
Storage Security 、運用面で最も重要な機能の一つが「IDスキャン」Storage Security 。これは、スキャン結果を、ファイルをアップロードまたは変更した特定のユーザーIDと関連付ける機能です。
これにより、コンプライアンスに関する議論は、「バケットをスキャンした」というレベルから、「検知を引き起こした各ファイルをどのユーザーがアップロードしたか、それがいつ発生したか、そしてどのような措置が講じられたか」を把握しているというレベルへと変化します。
IDスキャンが重複スキャンをどのように削減するか
従来のアプローチを考えてみましょう。バケット全体のスキャンをスケジュールし、最後にスキャンされた時期やアップロードしたユーザーに関係なくすべてのファイルをスキャンし、すべてがチェックされたことを示すレポートを生成します。これはリソースを大量に消費し、処理に時間がかかり、さらに、18か月間クリーンで変更のないファイルと、先週侵害されたアカウントによって昨日アップロードされたファイルとを区別することができません。
IDスキャンにより、よりスマートなアプローチが可能になります:
- 前回のスキャンサイクルでスキャン済みの、既知の信頼できるユーザーまたはサービスアカウントからのファイルについては、より高い信頼度で扱うことができます。
- 外部アカウント、契約業者の認証情報、最近フラグが立てられたユーザーなど、リスクの高いIDによって作成または変更されたファイルは、優先的に処理したり、直ちに再スキャンしたりすることができます
- 監査レポートでは、ユーザーごとに、どのファイルがいつスキャンされ、どのような結果が得られたかを表示できます。この形式は、PCI DSSの監査人やISO 27001の審査員が求める内容と直接対応しています。
その結果、コンプライアンス体制はより強固かつ効率的なものとなります。同じ静的ファイルを繰り返しスキャンするのではなく、何が変更され、誰が変更したかといった、状況に応じたイベントに対応することになります。
オンデマンド、スケジュール配信、RTPワークフロー:各シナリオに適したアプローチの選択
Storage Security 3 つのスキャンモードStorage Security 、効果的なコンプライアンス対策では通常、これら 3 つを組み合わせて使用します。
リアルタイム処理により、アクティブストレージを継続的に保護します
リアルタイム処理は、脅威が発生したその場で検知するための主要な仕組みです。これはイベント駆動型であり、監視対象のストレージユニットに対しては常時稼働しており、現代のクラウドファイルワークフローがもたらす膨大なデータ量と高速な処理速度に対応できるよう設計されています。
MetaDefender Storage Security .4.1 のアップデート以降、管理者は RTP スキャンモデル内の新しい「最終変更日以降」の日付選択ツールを使用して、現在の RTP 設定より前に作成されたファイルを含めることができるようになりました。これにより、アップロード日時ではなく元の最終変更日(LastModified)が保持されている OneDrive ファイルなど、過去にアップロードされたファイルに対するコンプライアンス対応範囲が拡大されます。
60日間のコンプライアンスサイクルの場合、これは、ストレージ履歴の最初からバケット全体のスキャンを実行することなく、過去60日以内に変更されたファイルを明示的に対象に指定できることを意味します。
監査スケジュールに合わせた定期スキャン
定期的なコンプライアンス要件(PCI DSS、HIPAA、SOC 2、内部監査サイクル)に対応するため、Storage Security 、バージョン4.3.0より、分単位での設定が可能な柔軟なスキャンスケジュール機能をサポートしています。 これにより、セキュリティチームは監査期間に合わせた正確なスキャン時間帯を定義し、業務時間外に実行して影響を最小限に抑え、審査対象のコンプライアンス期間に直接対応するタイムスタンプ付きのレポートを生成することが可能になります。
定期スキャンは 効率的に設定できます 。ペタバイト規模のストレージ環境全体を再スキャンするのではなく、特定のバケット、コンテナ、ドキュメント ライブラリ、またはフォルダーを対象にスキャンを行うことができます。また、ID スキャンを有効にすることで、特定のユーザーやロールに関連付けられたファイルを対象にすることも可能です。
対象を絞った修復とインシデント対応のためのオンデマンドスキャン
オンデマンドスキャンは、次のような特定の状況で使用されます。セキュリティインシデントが確認され、チームが特定のストレージユニットを直ちに評価する必要がある場合、コンプライアンス監査が迫っているにもかかわらず、前回の定期スキャンで特定のバケットが対象外となっていた場合、あるいは新しいストレージ統合が接続されたばかりで、初期の全範囲評価が必要な場合などです。
Storage Security 「再処理対象ファイル」機能が追加されました。これにより、管理者は以前にスキャンに失敗したファイルのみを対象とした新しいスキャンを作成できるようになり、特定の検出漏れを解消しつつ、全ファイルの再スキャンに伴う負荷を回避できます。また、インターフェース内の他の画面に移動することなく、「レポート」タブから直接スキャンの実行を停止することも可能です。
自動検出とIAMロールの統合により、手動設定による不備を解消
クラウドストレージ環境において最も一般的なコンプライアンス上のリスクの一つは、監視対象外となっているストレージです。その例としては、セキュリティツールに一度も接続されたことのないバケットやコンテナ、通常のITプロセスを経ずにプロビジョニングされた新しいストレージユニット、サードパーティ製統合ツールによって自動生成されたコンテナなどが挙げられます。
Storage Security 、複数のクラウドプロバイダーにわたる自動検出機能により、この課題Storage Security :
- Azure Blob Storage: ストレージ アカウントを接続すると、すべてのコンテナが自動的に検出され、スキャン ポリシーに追加されます。手動での操作は不要です。
- SharePoint Online:テナントを接続すると、すべてのサイトが自動的に検出されます
- AlibabaCloud RAM(リソースアクセス管理)ロール認証を使用し、 AWS S3 のIAM(Identity and Access Management)ロールにより、Storage Security 、静的なアクセスキーではなく、有効期間が短く最小権限の認証情報を使用して認証Storage Security 。これにより、認証情報の漏洩リスクを低減し、認証情報のローテーションを簡素化します
PCI DSS要件12.3.1(セキュリティ対策の実施頻度に関するリスクベースの分析)またはISO 27001附属書Aのクラウド環境向け管理措置に基づいて運用する組織にとって、自動検出機能は、監査やインシデントが発生するまで発見されなかったであろう適用範囲の不備によるリスクを直接低減します。
Storage Security から利用可能な、AWS EventBridge構成用のTerraformスクリプト自動生成機能により、イベントベースの処理の初期設定においても、セキュリティチームによる最小限の権限設定のみで済み、カスタムスクリプトの作成は不要となります。
Storage Security:Cloud 保護に特化したソリューション
Storage Security 、オンプレミス、クラウド、およびハイブリッドストレージ環境全体において、ファイルベースの脅威を検知・防止OPSWATソリューションStorage Security 。このソリューションは、処理対象となる各ファイルに対して、複数の防御技術を順次適用します:
- Metascan™Multiscanningは、数十種類のマルウェア対策エンジンを同時に稼働させ、単一ベンダーのシグネチャに依存することなく、既知および未知の脅威に対する検出率を向上させます
- Deep CDR™ テクノロジー 潜在的に悪意のあるアクティブコンテンツを削除し、ファイルを安全で機能的に同等のバージョンに再構築します。シグネチャベースの検出を回避する脅威に対しても有効です
- Proactive DLP™ は、保存前にファイルを検査し、機密データ(決済カード番号、PII(個人識別情報)、医療記録など)をマスキングすることで、データセキュリティとコンプライアンス義務の両方を支援します
- File-Based Vulnerability Assessment インストーラーやパッケージなどのファイルに存在する既知の脆弱性を、環境に導入される前に特定します
- Adaptive Sandbox AdaptiveSandboxは、より詳細な調査が必要な不審なファイルの挙動分析を提供します
これらすべては、Amazon S3、Azure Blob Storage、SharePoint Online、Microsoft Teams、OneDrive、GoogleCloud 、NetApp、Dell EMC Isilon、Box、Scality RINGなどを含む広範なコネクタライブラリを通じて動作し、各リリースごとに新たな連携機能が追加されています。
コンプライアンス重視のチームにとって、Storage Security 、一元化されたスキャンレポート、ユーザーごとの身元特定、タイムスタンプ付きの監査ログ、および設定可能な是正措置(許可、ブロック、削除、移動、データ消去)Storage Security 。 これらはすべて、PCI DSS v4.0.1、HIPAA、ISO 27001、およびSOC 2の文書化要件に準拠しています。
本プラットフォームは、オンプレミス型として、または MetaDefender Storage Security Cloudとして利用可能です。後者は、単一の展開環境内で複数の事業部門や顧客環境を管理する組織向けに、マルチテナント機能を追加しました。
事後対応型のスキャンから、予防的なCloud Storage Securityへ
コンプライアンス要件はより厳格化しており、監査担当者はもはやスキャンを実行した証拠だけでは満足しなくなっています。彼らは、継続的な監視範囲、攻撃元の特定、そして新しいファイルが環境に流入した瞬間にどのように処理されるかに関する明確なポリシーを求めています。
- イベントベースのスキャンは、頻度とタイミングに関する疑問に答えるものです。
- IDスキャンは、説明責任に関する疑問に答えるものです。
- 柔軟なスケジュール型およびオンデマンド型のワークフローにより、定期的なコンプライアンス文書の作成課題を解決します。自動検出機能により、対象範囲の網羅性という課題を解決します。
Storage Security 、エンタープライズ向けクラウドストレージ環境特有の規模、複雑性、およびコンプライアンス要件に合わせて特別に設計されたプラットフォーム上で、これらの機能をStorage Security 。
脅威をリアルタイムで検知すること、60日間の監査期間に対応すること、あるいは規制対象のバケット内のすべてのファイルが特定のユーザーによってスキャンされたことを証明することなど、どのような要件であっても、当プラットフォームはそれをサポートします。
