クラウドでセキュリティテストが停止したとき：AWS障害からの教訓

10月20日午前3時過ぎ（米国東部時間）、AWSのUS-EAST-1リージョンが暗転した。15時間以上もの間、DNS解決障害が100以上のAWSサービスに連鎖し、世界中の組織に影響を与えた。サービスが復旧するまでに、1,100万件以上の障害報告が監視システムに殺到し、推定損失額は数億ドルに上った。

重要インフラのCISOにとって、これは単なる障害の見出しではなかった。パブリック・クラウド・インフラ上に構築されたサイバーセキュリティ・トレーニングとテスト・プラットフォームの限界という、より根本的なことが露呈したのだ。 

厳しい現実として、テスト・プロバイダーのクラウド・サービスがダウンすると、脅威に備える能力もダウンする。予定されていたインシデント対応訓練はキャンセルされ、セキュリティ検証テストは中止され、コンプライアンス演習は延期される。 

AWSはサービスの復旧に努めたが、脅威者は一時停止しなかった。しかし、クラウドホスティングのトレーニング環境に依存していた組織は、準備態勢を構築するための重要な15時間を失った。

サイバーレンジインフラが異なる基準を要求する理由

サイバーセキュリティのトレーニング、テスト、検証環境は、単なるビジネス・アプリケーションではありません。なぜなら、より高い可用性基準が要求されるユニークなカテゴリを占めているからです：

• トレーニングは復旧まで待てない国家レベルの敵対勢力や高度なランサムウェア集団に対するチームの準備態勢を構築する場合、一刻を争います。1日の停電は訓練を遅らせるだけでなく、定期的な訓練で蓄積された筋肉の記憶や協調性を損ないます。
• テストは反復可能で一貫性がなければならない：セキュリティ・コントロールの検証には、一貫性のある制御された環境が必要です。テストプラット フォームが断続的な可用性を持つ場合、検証結果を信頼することはできない。セキュリティ対策が失敗したのでしょうか、それともプラットフォームが失敗したのでしょうか？
• コンプライアンスでは、常時オンの可用性が求められる：規制の枠組みは、継続的なセキュリティテストとチームの準備態勢を文書化した証拠を求めるようになっている。長時間のプラットフォーム停止は、コンプライアンス文書にギャップを生じさせます。

パブリッククラウドのアップタイム依存の課題

多くのクラウドホスティングのサイバーレンジがAWSで暗転する中、SimSpaceプラットフォームは稼働し続けた。予定されていた訓練演習やセキュリティ検証を行っていた組織は、影響を受けることなく作業を継続した。

結論：すべてのサイバーレンジが同じように作られているわけではない

ほとんどのサイバーレンジ・プロバイダーは、AWS、Azure、またはGCP上でプラットフォームをホストしている。クラウドがダウンすると、トレーニングやテストを提供する能力もダウンする。しかし、脆弱性は稼働時間よりも深い。

パブリッククラウドでホストされるレンジは、基本的にインフラの選択によって制約を受ける：

• パブリック・クラウド・プロバイダーのVMカタログに縛られているため、標準的なWindowsとLinuxオペレーティング・システムしかスピンアップできない。レガシーシステム、ニッチなファームウェア、高度に専門化されたOT環境、つまり重要な組織が防衛する必要のある実際のインフラは、複製することができない。 
• つまり、実際のファイアウォールやルーター、産業用コントローラーとハードウェア・イン・ザ・ループで統合することは不可能なのだ。 
• カスタマイズは、ベンダーが用意したラボやちょっとした変更に限られ、実際の生産環境を反映したオーダーメイドの企業ネットワークを設計する自由はない。 
• ツールの統合は、事前に承認されたクラウド対応製品に限定されているため、企業は本番環境のセキュリティ・スタック全体を使ってテストを行うことができない。 
• また、敵の活動は通常スクリプト化されており、防衛側が実際の作戦で直面するような、何千人もの良識あるユーザによる現実的なバックグラウンドノイズなしに実行されている。

SimSpaceは根本的に異なるアプローチを採用：プライベートクラウド基盤

私たちは自社のデータセンターを自社のプライベート・クラウド・インフラで運用しており、 パブリック・クラウドのハイパーバイザーの制約を 完全に取り除いて いる 。

このアーキテクチャーにより、SimSpaceは、レガシーなビルドから特殊なOTファームウェアまで、あらゆるオペレーティング・システムをサポートし、実際の物理的機器が演習に参加するハードウェア・イン・ザ・ループを統合することができる。

当社は仮想化レイヤーを直接制御するため、お客様はネットワーク、ユーザアクティビティ、攻撃キャンペーンを完全にカスタマイズすることができ、同時にセキュリティスタック全体（SIEM、EDR、独自プラットフォーム）をインポートして、真のプロダクショングレードの検証を行うことができます。

SimSpaceのダイナミックな敵対者とユーザエミュレーションは、クラウドレンジでは不可能な現実的な運用の複雑さを作り出します。国家レベルの攻撃キャンペーンと同時に、数千人の良識あるユーザが本物のネットワークトラフィックを生成します。演習は、孤立したラボのインスタンスではなく、統合された企業環境全体で、小規模なチーム演習から大規模な協調イベントまでシームレスに拡張できます。

最も重要なことは、AWSがダウンしてもSimSpaceは稼働し続けることです。サイバーセキュリティの準備-トレーニング演習、セキュリティ検証テスト、重要なインフラを守るためのコンプライアンス訓練-は中断されることなく継続されます。

SimSpaceの弾力性のあるアーキテクチャが、重要なインフラストラクチャー組織の中断のないセキュリティ運用をどのようにサポートするかについては、デモをご予約ください。