クラウドセキュリティでやりがちな“7つの大罪” 特に中小企業は注意：セキュリティニュースアラート

ESETは中小企業がクラウドセキュリティにおいて犯しがちな7つの間違いとそれに向けた対策を公開した。誤ったクラウドセキュリティが逆にリスクの増大を引き起こしている。

[後藤大地，有限会社オングス]

　セキュリティ企業のESETは2024年1月16日（現地時間）、中小企業がクラウドセキュリティで犯しがちな重大な7つの間違いと対策を発表した。クラウドは中小企業にとっても魅力的だが、誤ったクラウドセキュリティが逆にリスクの増大を引き起こしているという。

中小企業がクラウドセキュリティで犯しがちな重大な7つの間違い（出典：ESETのWebサイト）

中小企業が犯してしまいがちな7つの間違い

　多くの中小企業はIaaSやPaaS、SaaSへの移行を進めている。ESETの調査によると、全世界の中小企業の53％がクラウドに年間120万ドルを費やしており、2022年の38％よりも増加しているという。

　だがクラウド移行に伴い中小企業には犯しがちな7つの間違いがある。説明されている主な間違いは以下の通りだ。なお、ESETはこの間違いは大企業も犯すことがあるとして注意を促している。

1. 多要素認証（MFA）を使っていない：　静的なパスワードは本質的に安全ではない。パスワードはフィッシングや総当り攻撃、単純な推測などで破られる可能性がある。MFAを利用することでSaaSやIaaS、PaaSアカウントにアクセスすることをはるかに困難にでき、ランサムウェア攻撃やデータ窃取、その他のリスクを軽減できる。この他、パスワードレス認証などの代替手段に切り替える方法もある
2. クラウドプロバイダーを信頼しすぎる：　クラウドベンダーと顧客の間には責任共有モデルがあり、責任はクラウドサービスプロバイダーと顧客の間で分割されている
3. バックアップが不適切：　クラウドプロバイダーが全てを解決してくれると考えるのは間違っている。システム障害やサイバー攻撃の最悪のシナリオを想定して計画し備えておくことが大切になる。データ損失だけでなく、インシデント発生後のダウンタイムと生産性低下についても計画に入れる
4. 定期的なパッチ適用を実施していない：　パッチ適用を怠るとシステムの脆弱（ぜいじゃく）性が悪用されやすくなる。これはマルウェア感染やデータ侵害のリスクを引き上げる。クラウドにおいてもオンプレミスと同じように定期的にパッチを適用する
5. クラウドの設定を誤っている：　クラウドサービスプロバイダーからは膨大な量の新機能がリリースされ、中小企業のクラウド環境を複雑化する。どの構成が最も安全かどうかを知ることが難しくなる。よくある間違いはサードパーティーがクラウドストレージにアクセスできるように設定したり、開いているポートをブロックしたりしないことなどがある
6. クラウドトラフィックを監視していない：　IaaSやPaaSが侵害されるのは時間の問題だと言える。兆候を早期に発見し組織に影響を与える前に攻撃を封じ込めるには迅速な対応と検出が重要であり、継続的なトラフィックの監視が必須となる
7. 暗号化を活用していない：　侵害を完全に防止できる環境は存在していない。悪意ある第三者が最も機密性の高い内部データや個人情報にアクセスした場合でも耐えられるように保存時および転送時にデータを暗号化し、窃取された場合でも使用できないようにする

　ESETはクラウドセキュリティリスクに取り組むための最初のステップとして次の点を考慮することをアドバイスしている。

• サードパーティーのセキュリティソリューションへの投資を検討する
• XDR（Extended Detection and Response）およびマネージドサービス（MDRを追加し、迅速なインシデント対応と侵害の封じ込めや修復を促進する
• 所有しているクラウド資産を把握しそれらを常に最新の状態に保つ
• 保存中および転送中のデータを暗号化する
• 強力なパスワードの使用やMFAの活用、最小特権の原則の適用、特定のIPに対するIPベースの制限／許可リストへの登録義務付けを実施する
• ゼロトラストアプローチを採用する

　ESETは上記の対策の多くはオンプレミスで展開する場合と同じベストプラクティスだとし、クラウドセキュリティはプロバイダーだけの責任ではないことを認識するように促している。