5つの事例で学ぶクラウドセキュリティ なぜインシデントは減らないのか？：今日から始めるサイバーレジリエンス実践ステップ（1/2 ページ）

クラウドサービスの利用が進む今、企業のサイバーレジリエンス能力を高めるためにはこの部分のセキュリティをおろそかにはできない。事例を通して、注意すべきポイントを解説する。

[扇 健一，株式会社日立ソリューションズ]

　デジタルトランスフォーメーション（DX）の進展によってクラウドサービス利用が拡大し、テレワークなど柔軟な働き方にも対応できるようになった。

　しかしクラウドサービスやテレワークの利用が進むことで、企業が所有または契約するIT資産が増加した結果、攻撃対象領域（アタックサーフェス）が拡大し、ますますセキュリティ管理態勢が問われる事態となっている。

　本連載「今日から始めるサイバーレジリエンス実践ステップ」の第3回となる本稿では、多くの企業で課題となり得るクラウドサービスに関するセキュリティについて、事例を基に解説する。

第1回、第2回はこちら

• サイバーレジリエンスをかみ砕く　構成要素と具体的な対策を把握しよう
• 今こそ見直すべきランサムウェア対策　脆弱性管理からバックアップまでのポイントは

どこまでユーザーの責任？　クラウドサービス利用時には責任分界点に注意せよ

　クラウドサービスは一般的にSaaS（Software as a Service）とPaaS（Platform as a Service）、IaaS（Infrastructure as a Service）に分類される。インターネット経由で利用できるアプリケーションをSaaS、OSやデータベース、開発環境などのプラットフォームを提供するものはPaaS、ハードウェアの代わりに仮想サーバや仮想ネットワークなどIT基盤を提供するものはIaaSと呼ばれる。

　SaaSの例としては「Salesforce」「ServiceNow」「Box」「Microsoft 365」などが、PaaSやIaaSの例としては「Amazon Web Services」（AWS）、「Microsoft Azure」（Azure）、「Google Cloud」などが挙がる。

　これらのクラウドサービスを利用するときには責任分界点に注意する必要がある。責任分界点とはインシデントや障害発生時において、ユーザーとクラウドサービス事業者の責任範囲が分かれる境界があるという考え方だ。

　例えばセキュリティの要のアカウント管理やアクセス権は全てのプラットフォームにおいてユーザーに責任がある。クラウドサービスを契約したからといって、何もかもクラウド事業者が守ってくれるわけではない。世の中で起きているクラウドに関するセキュリティインシデントは、ユーザーの責任範囲であるアカウント管理やアクセス権に関係するところがほとんどだろう。

　以下ではSaaSやPaaS、IaaSの利用におけるセキュリティインシデントについて、事象と原因を5つ紹介する。

他人ごとでは済まない　クラウドサービス利用時の5つのインシデント事例

　SaaSやPaaS、IaaS利用時におけるセキュリティインシデント事例は以下の通りだ。

事例1（SaaS）

事象：　Salesforceを利用しているECサイトから大量の個人情報などが流出した

原因：　Salesforceのアップデートでセキュリティ設定のデフォルト値が変更になってしまい、インターネットから誰でも参照できる状態になっていた（アクセス権の問題）

事例2（SaaS）

事象：　ソフトウェア開発プラットフォーム「GitHub」からデータサーバへのアクセスキーが漏れてしまい大量の個人情報などが流出した

原因：　開発委託先が誤って、データサーバへのアクセスキーが含まれるソースコードを「公開」設定のままGitHubにアップロードしていた（アクセス権の問題）

事例3（PaaS／IaaS）

事象：　開発用に契約しているAWSが攻撃者に不正侵入され、仮想通貨マイニング用に多くの仮想サーバを作成され利用された

原因1：　開発担当者が開発中のWebサーバをインターネットからアクセスできる状態にしていた

原因2：　AWSのアクセスキーを含むスクリプトの情報が一時的に誰でも見られる状態になっていた（アクセス権の問題）

事例4（PaaS／IaaS）

事象：　AWSの開発環境がランサムウェアに感染

原因：　インターネットからAWSへのRDP（Remote Desktop Protocol）が許可されており、ID/パスワードが弱かったため侵入されてしまった（アカウントの問題）

事例5（PaaS／IaaS）

事象：　クラウドストレージから膨大な個人情報が流出した

原因：　「Amazon Simple Storage Service」（Amazon S3）のアクセス権限の設定ミスによってインターネットからアクセスできる状態になっていた（アクセス権の問題）

ありがちなアカウント管理の不備やアクセス権の設定ミスにどう対処するか

　クラウドサービスにはSaaS／PaaS／IaaSという分類があり、それぞれ多種多様なサービスが提供されており、利用するに当たってさまざまなセキュリティリスクが存在する。先に挙げた事例はその一部に過ぎない。では次に、クラウドサービスのセキュリティ対策にはどのような技術があるのかを整理してみよう。

クラウドサービスのセキュリティ対策（出典：日立ソリューションズ提供資料）

　まずSaaSの利用においては、事例1、2のようにSaaSのアカウント管理の不備やアクセス権の設定ミスによってインシデントが発生する。その対策としては、セキュリティリスクの監視の自動化を行うSSPM（SaaS Security Posture Management）が適している。また、SaaS利用時のインシデントとしては、情報漏えいやマルウェア感染が考えられる。その対策としては、利用中のクラウドサービスを可視化・制御するCASB（Cloud Access Security Broker）が適している。

　次にPaaS／IaaS利用時のセキュリティ対策について説明する。PaaS／IaaSの利用においては、事例3、4、5のようなインシデントが発生する。こちらについても、アカウント管理の不備やアクセス権の設定ミスが主な原因だ。その対策としては、クラウド基盤設定の監視を自動的に行うCSPM（Cloud Security Posture Management）が適している。PaaS／IaaS環境で動作するミドルウェアの脆弱（ぜいじゃく）性監視を自動化する場合、CWPP（Cloud Workload Protection Platform）の機能も必要となる。

　今回はクラウドプラットフォーム側のセキュリティを監視し、組織の脆弱性管理の負荷軽減を担うSSPMやCSPM、CWPPについて詳しく紹介する。