はじめに：クラウドログの限界とネットワーク可視性の真実

クラウドへの移行はビジネスの俊敏性を高める一方で、「セキュリティはクラウドプロバイダーに任せれば良い」という誤解が新たなセキュリティ上の盲点を生み出しています。動的なインフラ、複雑なAPI群、増え続けるコンテナ、そしてマルチクラウド環境は、セキュリティチームにとって管理すべき攻撃対象領域を拡大させています。既存のEDRツールでさえ回避される現代において、防御側はネットワークトラフィックの可視性こそがクラウド防御の基盤であるという、普遍的な教訓を再認識しつつあります。

クラウド移行に伴う新たな盲点

クラウド環境の特性は、セキュリティ監視に特有の課題をもたらします。以下のような要素が、セキュリティ上の盲点を生む主な原因となっています。

• 動的なインフラストラクチャ：仮想マシンやコンテナが頻繁に生成・破棄されるため、静的な監視では追跡が困難。
• 複雑なAPIとコンテナのスプロール：多数のAPIとコンテナが連携するシステムでは、全体像の把握が難しく、設定ミスや連携不備が脆弱性につながる。
• マルチクラウドアーキテクチャ：異なるクラウドプロバイダー間でセキュリティポリシーの一貫性を保つことが困難。

このような複雑な環境下では、リアルタイムの可視性がサイバー防御戦略の要となります。

標準化の課題とネットワークテレメトリーの優位性

クラウドネイティブなログは、プロバイダーごとに異なる形式と構造を持つため、その標準化と分析は極めて困難です。CorelightのフィールドCTO、Vince Stoffer氏も、「膨大なAPIコールと、クラウドプロバイダーによる新サービスの constant な追加が、ログの標準化と分析を非常に困難にしている」と指摘しています。

この課題に対する強力な解決策が、ネットワークテレメトリーです。ネットワークデータは、プロバイダーや環境に依存しない一貫した情報源であり、多くのサイバーセキュリティアナリストにとって馴染み深いものです。クラウドインベントリ情報（アカウント、プロジェクト、VPC/VNet、クラスター/ポッドのラベルなど）と組み合わせることで、プロバイダーに依存しない、強力な検出および調査シグナルが生成されます。この領域で真価を発揮するのがNDR (Network Detection and Response) であり、マルチクラウドおよびハイブリッドクラウド環境全体で一貫したリアルタイムの可視性を提供し、テレメトリーデータを正規化します。

動的なクラウド環境における脅威パターンの検出

クラウド環境が動的で複雑になっても、セキュリティの基本原則は変わりません。たとえ短命なワークロードであっても、その通信パターンや使用ポートは予測可能です。防御側が監視すべき信頼性の高いシグナルは以下の通りです。

• 外部へのC2（Command and Control）通信やデータ流出：通常とは異なるポートやネットワークプロトコルを介した攻撃者による通信。
• 生産コンテナやマネージドサービスの逸脱：デプロイ後は通常不変であるべき環境での異常な変更。
• ホストベースのセンサーの無効化：攻撃者が管理者権限を利用してセンサーを停止させる行為。
• 異常な列挙または発見活動：システムやサービス間でリソースのマッピングを示唆する不審な活動。

トラフィックミラーリングや仮想タップを用いることで、ネットワークレベルのテレメトリー収集は改ざん耐性が高く、ホストの整合性から独立した可視性を提供します。ネットワークデータをエンドポイントデータやコンテナランタイムデータと組み合わせることで、クラウドネイティブセキュリティのギャップを埋め、動的なクラウド環境での検出精度を飛躍的に向上させることが可能です。

監視すべきネットワークトラフィックの種類と具体的な脅威

クラウドセキュリティにおいて監視すべきネットワークトラフィックは多岐にわたります。主な監視対象は以下の通りです。

• East-westおよびNorth-southトラフィック：クラウド内部のサービス間通信やノード間通信、およびインターネットとの出入り。
• コンテナトラフィック（Kubernetes）：アプリケーションデプロイ後の逸脱行為を特定するため。
• TLSメタデータ：マネージドサービスのエンドポイントやサービス認識ベースラインを明らかにするため。
• DNSデータ：悪意のあるドメインとの通信やネットワークトンネリングの特定のため。
• フローログとトラフィックミラーリング/pcap：広範囲のトラフィック傾向把握と、詳細なパケットレベル分析のため。

ネットワーク監視を通じて検出可能な具体的な脅威は以下の通りです。

• サプライチェーン侵害：クリプトマイナーがビーコンを送信する悪意のあるコンテナイメージやパッケージ。
• 情報窃取による侵入：盗まれた認証情報やセッショントークンを利用したコンソール/APIアクセス。
• コンテナ内の対話型管理ツール：不変であるべき生産環境におけるSSH、RDP、VNCの使用など、不審なアクティビティ。
• マネージドサービスの誤用とデータ流出：新しいリージョンへの接続、なじみのないAPIの利用、アウトバウンドデータ量の急増。
• コインマイナー：侵害されたクラウド資源を悪用した暗号通貨マイニング。

効果的なワークフロー構築のためのステップ

ネットワーク監視をクラウドセキュリティ戦略に統合するには、以下のステップで効果的なワークフローを構築することが推奨されます。

1. フローログとトラフィックミラーリングの有効化：各データソースの遅延と忠実度を理解し、その限界を把握します。
2. クラウドネットワークテレメトリーの一元化：単一のプラットフォームにデータを集約し、標準化、さらにクラウドインベントリとタグでエンリッチ化してコンテキストを付加します。
3. ベースラインの確立と調整：役割、サービス、ポート、既知の外部ピアごとに正常なベースラインを設定し、ノイズを削減しながら真の逸脱シグナルを捉えます。
4. 新しい宛先、ポート、プロトコルに対するアラート設定：異常な通信パターンを早期に検出します。
5. 出力（Egress）の厳格な監視：VPC/VNetの出力地点を特に厳重に監視します。
6. コンテナプラットフォームにおけるノードレベルの視点追加：新たに観測されたドメインやIP、異常な宛先、定期的なビーコン、低速転送、時間帯やボリュームのスパイクを監視します。
7. TLSメタデータによるマネージドサービスアクセスのプロファイル作成：ワークロードごとに初めて観測されるAPI、エンドポイント、リージョンにアラートを設定します。
8. マイナーの痕跡の追跡：既知のプールへの接続や特徴的なプロトコルを検出します。
9. コンテナ内の対話型プロトコル（SSH/RDP/VNC）とクラスター内のラテラルムーブメントパターンをフラグ付けします。
10. エンドポイント侵害の関連付け：ユーザーデバイスが侵害された場合、クラウドの出力ログと照合してインフラストラクチャと行動を特定します。
11. 継続的な検証：攻撃者をエミュレートして、情報窃取、クリプトマイニング、C2通信、不審な管理行動を確実に検出できることを確認します。

結論：クラウドセキュリティにおけるネットワーク監視の重要性

時代を超えたネットワークの原則を現代のクラウドアーキテクチャに適用することで、多要素クラウドセキュリティは十分に実現可能です。攻撃者がAIを悪用し、従来のセキュリティコントロールをすり抜ける現代において、ネットワーク可視性はもはや選択肢ではなく、環境を深く理解し、異常がインシデントに発展する前に脅威を捕捉するための不可欠な基盤となります。この原則は、オンプレミス環境でもクラウド環境でも普遍的に適用されるものです。

---

元記事: https://www.bleepingcomputer.com/news/security/when-cloud-logs-fall-short-the-network-tells-the-truth/