セキュリティを見直す機会となる「クラウド変革」-セキュリティブログ

■御社はクラウドに不安がありますか？

近年、クラウドインフラへの支出が非クラウドインフラへの支出を上回っていることが報じられています。この事実はITにとって一つの転換点であり、クラウドを基本とした運用はもはや例外ではなく、一般的なものになったと言えます。
しかし、とあるセキュリティベンダーやセキュリティソリューションにおいては、いまだにクラウドを例外として扱うか、あるいは少なくとも主要なユースケースとして扱っていないこともあります。つまり、クラウドはまだ必要条件ではなく、オプションとして扱われていることになります。

一方、サイバー犯罪者側は、すでにこのクラウドへの移行に適応しています。彼らは、企業や組織のクラウドのセキュリティ対策が全般的に追いついていないことを認識しており、新しく導入されたクラウド環境周辺のセキュリティギャップに目を付け、利用します。そうしてクラウド環境を標的として、ランサムウェアや暗号通貨の発掘、データ窃取その他の攻撃を仕掛けるのです。

■企業がクラウドに移行するその理由

企業がクラウドに移行する理由は様々に存在します。コストの削減、効率改善、市場投入までの時間の短縮は、クラウドプロバイダが推奨する主な利点の一部です。しかし、これらの利点については誤解されている場合があります。
クラウド利用により効率がアップし、市場投入までの時間も大幅に改善されるとは言っても、移行が一夜で完了するわけはありません。データセンター全体と運用アプリケーションをすべてクラウドに移行するには、数年かかる場合もあります。新システムにすべて乗り換え、過去は振り返らない覚悟によって、メリットが享受できると言えるでしょう。データ移行という観点においては、上述した利点を実現するには難しい一面があります。

■クラウド最大のセキュリティリスクは、ユーザによる設定ミス

クラウドプロバイダは組み込みのセキュリティ対策を備えており、システム管理者、ITディレクター、最高技術責任者（CTO）の多くは、そのようなセキュリティ対策に満足しています。「クラウドプロバイダによるセキュリティ対策が存在するのに、なぜ追加の対策が必要なのか？」という質問をよく耳にします。

このことは、クラウドにおけるセキュリティの「責任共有モデル」がまだ十分に浸透していないことを示しています。クラウドプロバイダはプラットフォーム全体を保護しますが、企業や組織はそれらのプラットフォームに内在するデータのセキュリティに責任を持つ必要があります。

責任共有モデルを理解していないと、クラウドにおける最大のセキュリティリスク、つまり設定ミスにつながります。

「しかし、ランサムウェアや暗号通貨発掘、脆弱性攻撃についてはどうなのか？」という疑問が出るかもしれません。他の攻撃については以下の3つの設定ミスのうち、1つでも存在する場合に攻撃を受ける可能性があります。
非常に複雑な、最悪の場合の攻撃については心配するには及びません。設定ミスこそが最大のリスクであり、最大の懸念事項と捉えるべきです。

• クラウドネイティブ環境の設定ミス
• 複数の異なるクラウドサービスプロバイダなどを組み合わせて利用する「マルチクラウド」環境において、全体を均等に保護していない設定ミス
• クラウド環境をオンプレミス（非クラウド）のデータセンターと同等に保護していない設定ミス

■設定ミスの問題はどれほど深刻か

クラウドインフラのためのセキュリティ保護、最適化、準拠ソリューションである「Trend Micro Cloud One™ Conformity」では、不適切な設定を含む何らかのアラートを１日当たり2億件以上確認しています。

クラウドの設定ミスについてさらに理解するために、Trend Micro Researchは、最近、クラウド特有のサイバー攻撃について調査をしています。その中で、全ユーザが書き込み権限を持つクラウドベースのストレージシステムで部分的にホストされているWebサイトを多数確認しました。
これらの環境はデフォルトで安全であるとはいえ、設定は手動で変更することが可能なので、実際にアクセス権限を必要とするユーザよりも多くのユーザにアクセスを許可できます。

このような事例は、通常、潜在的なリスクを認識せずに設定されることによって引き起こされます。しかし、いったん設定されてしまうと、サイバー犯罪者がインターネットを検索してそのような設定ミスを簡単に見つけて利用するのです。

■ユーザの設定ミスが発生するのはなぜか

設定ミスがリスクとなることは理論的には明白に見えます。ただし実際に、ITチームが重い負担を減らすために作業内容を合理化し、内部プロセスをより簡略化しようとした結果、組織内の全ユーザに読み取り・書き込みのできるアクセス権限を許可するように設定を変更した、などの事態が発生しています。認識されていないのは、このような設定ミスをサイバー犯罪者が見つけて、悪用する可能性があるということです。

DevOpsのワークフローを採用する企業でのクラウドベースのサービスとアプリケーションの人気が高まるため、2020年には、この傾向はさらに高まると予想されています。より多くのクラウドベースのアプリケーションが誤って設定され、企業や組織が持つデータを意図せずにインターネット上に露出し、サイバー犯罪者に利用される可能性があります。

トレンドマイクロでは、「2025年までに、クラウド環境への攻撃の成功の75％以上が、クラウドプロバイダではなく、クラウドの利用顧客によるセキュリティの認識不足あるいは設定ミスによって引き起こされる」と予測しています。

■設定ミスから保護する方法

クラウドサービスに関連する情報漏えい事例の中でも、設定ミスが原因で発生したものが目立っています。これは、基本的なサイバー衛生（サイバーハイジーン）を守ることと、定期的に設定を監視することで簡単に防止できます。

クラウド内のデータとアプリケーションは、自身で設定した程度に安全です。現在、クラウド環境（およびITに投入される資金の大部分）を、少なくとも非クラウドのレガシーシステムと同程度にセキュアにするためのツールを利用することができます。

サイバー犯罪者はすでにクラウド移行に対応しており、脆弱性攻撃をサービスとして提供しています。故に情報システム転倒者はすぐにクラウド内のデータとアプリケーションを保護する必要があります。
そのためにもクラウド環境を保護するいくつかのベストプラクティスをご紹介しておきます。

• 最小権限の原則を採用する：誰にでもアクセス許可を付与するのではなく、必要なユーザにのみ付与する
• 責任共有モデルにおける自身の役割を理解する：クラウドサービスプロバイダは組み込みのセキュリティを提供しているが、サービスを利用する企業や組織はデータを保護する責任がある
• 設定ミスによって露出しているシステムがないか、クラウドインフラストラクチャを監視する：クラウド環境での設定ミスや露出を特定するためのツールを利用する
• セキュリティについてDevOpsチームを教育する：DevOpsのプロセスにセキュリティを組み込む

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/25121