ここだけは絶対守りたい データ侵害につながるクラウドの設定ミス“13選”：海外セキュリティリーダーからの提言

マルチクラウド／ハイブリッドクラウドの利用が進む昨今、脅威アクターはクラウドを狙った攻撃を実行するようになってきています。本稿はこれを防ぐために“13のクラウドの設定ミス”を解説します。

[Raj Rajamani，CrowdStrike]

この連載について

　サイバー攻撃の手法は日々進化しており、多様化、巧妙化も著しい。また、その攻撃対象も大手企業だけでなく中小企業や社会インフラにまで広がっている。こうした状況に向き合うわれわれも常に情報をアップデートし、手法や対策の在り方の更新が求められる。いち早く攻撃者の動向を察知し、対策を検討するセキュリティソリューションベンダーはこの状況をどう見ているだろうか。

　本連載はサイバーセキュリティベンダーなどのリーダーが、最新のサイバー攻撃の動向やその防御の考え方、技術的な課題などを解説する。

　クラウドを狙う攻撃者の活動が激化しています。CrowdStrikeの「2023年版グローバル脅威レポート」によると、2021〜2022年にかけて、クラウドを狙ったエクスプロイトは95％増加、直接クラウドを標的にした脅威アクターによる攻撃は288％増加しました。

　こうした脅威から自社のクラウド環境を保護するには、脅威アクターの手口を理解することが欠かせません。敵がどのようにクラウドに侵入し、水平展開するか、どのリソースを狙い、どのように検知を回避するのかを知る必要があります。

よくあるクラウドの“設定ミス”は攻撃者にどう悪用されるのか？

　では、特にどのような点に注意すべきかというとクラウドの設定ミスが挙げられるでしょう。クラウドの設定ミスとは、セキュリティ設定が不適切または初期設定のまま放置されることで発生するセキュリティの不備やエラー、脆弱（ぜいじゃく）性を指します。

　これによって攻撃者の侵入をやすやすと許すことにつながります。複雑なマルチクラウドでは、過剰なアカウント権限の付与やパブリックアクセスの不適切な設定などのミスが発生しても、発見しにくいことがあります。また、そうしたミスがいつ攻撃に悪用されるかも分かりません。

　クラウドが一度でも侵害されれば個人情報や財務記録、知的財産、企業秘密などの膨大な量の機密情報の漏えいにつながりかねません。最も大きな懸念は、攻撃者がクラウドに侵入し、攻撃が検出される前に重要データを発見し、窃取するまでのスピードです。侵害を食い止めて被害が広範囲に及ぶの防ぐには、価値あるデータを検索・発見する作業をスピードアップする適切なクラウドセキュリティが欠かせません。

　本稿はCrowdStrikeが観測したエクスプロイトの中でも特によく見られる設定ミスと、その設定ミスがデータの窃取を狙う攻撃者にどのように悪用されるのかを紹介します。

1. ネットワーク制御が効果的でない：　ネットワークアクセス制御に不備や盲点があると、攻撃者が自由に入れる侵入口をあちこちに開くことになります
2. アウトバウンドアクセスが無制限：　インターネットへの無制限なアウトバウンドアクセスは悪用される可能性があります。不正アクターはアウトバウンドに制限が課されていないことやワークロードが保護されていないことを利用して、クラウドプラットフォームからデータを窃取します。クラウドインスタンスに制限を課し、特定のIPアドレスやサービスにアクセスできないようにして、データへのアクセスと窃取を防ぐ必要があります
3. パブリックアクセスの設定が不適切：　インターネットにストレージバケットやSSH、SMB、RDPなどの重要なネットワークサービス、非公開のWebサービスが少しでも公開されていると、あっという間にクラウドのサーバ侵害や機密データの窃取または削除に悪用されてしまう可能性があります
4. スナップショットや画像が公開されている：　ボリュームスナップショットやマシンイメージ（テンプレート）が誤って公開されることがあります。めったにないことではありますが、侵入の機会をうかがっていた攻撃者に、公開されたイメージから機密データを収集するチャンスを与えることになります。また、公開されたデータにパスワードや鍵、証明書、API認証情報が含まれている場合、クラウドプラットフォームの侵害規模の拡大につながります
5. オープンデータベースやキャッシュ、ストレージバケット：　十分な認証や認可制御の仕組みがないまま、デベロッパーによってデータベースキャッシュやオブジェクトキャッシュが公開されることがあります。この場合、データの窃取や破壊、改ざんの機会をうかがう攻撃者に、データベースやキャッシュをそっくりそのまま公開することになりかねません
6. クラウドインフラストラクチャが放置されている：　驚くべき数のクラウドプラットフォームが短期プロジェクトのために立ち上げられ、運用中のままになっています。こうしたプラットフォームはプロジェクトが終了し、チームが他のプロジェクトに移行するとそのまま放置されるのです。放置され、開発チームやセキュリティ運用チームによるメンテナンスも行われなくなったクラウドインフラストラクチャは、残された機密データを狙う不正アクターが自由にアクセスできる状態になります
7. ネットワークセグメンテーションが不適切：　ネットワークセキュリティグループなどのクラウドネットワークの最新コンセプトによって、ACL（Access Control List）など古くからある複雑なプラクティスは過去のものとなっています。しかし、セキュリティグループの管理体制が不十分だと、攻撃者がホストからホストに、サービスからサービスに自由に展開できる環境を作り出しかねません。暗黙のうちに「ネットワーク内部は安全である」「フロントエンドファイアウォールだけで十分である」といった仮定に基づいてアーキテクチャが構築されることで、こうした環境が生み出されます。セキュリティグループの機能を使用して、この機能の使用に通信が必要なホストグループのみを許可し、不必要なアウトバウンドトラフィックをブロックすることで、クラウドベースのエンドポイントなどの侵害の大部分をブロックできます。しかし、この機会はクラウドセキュリティ担当者に見逃されています
8. モニタリングとアラートに不備がある：　全サービスのログとアラートを一元的に可視化することで異常の検出とハンティングが容易になります
9. ロギングが無効化されている：　脅威アクターの不正な振る舞いを検知するには、効果的にクラウドセキュリティイベントのデータログを取得することが必要不可欠です。ただし、多くのクラウドプラットフォームでは、ロギング機能がデフォルトで無効にされているかどうか、ログの維持に必要なオーバーヘッドの削減のために無効化されます。ロギングが無効にされているとイベントの記録が残らないため、不正なイベントやアクションがあっても検出できません。ロギング機能を有効にして管理することを強くお勧めします
10. アラート機能がない：　大部分のクラウドサービスと全てのクラウドセキュリティポスチャ管理サービスでは、重要な設定ミスを警告するアラート機能が提供されており、また、ほとんどのサービスが異常または不審なアクティビティーを検出します。ただし、セキュリティ担当者はこうしたアラートの多くを見逃しがちです。重要性の低い情報が大量に送り付けられること（アラート疲れ）や、単にSIEM（Security Information and Event Management）などのアラートを通知するシステムがアラートソースと接続されていないことがその理由です
11. IDアーキテクチャが効果的でない：　単一のIDプロバイダーでセッション時間の制限と多要素認証（MFA）を適用し、通常とは異なるまたは危険度の高いログインアクティビティーが検出された際、ログインを報告またはブロックできないユーザーアカウントがあると、認証情報が窃取され、悪用されるリスクが非常に高く、クラウドデータ侵害につながる大きな原因となります
12. アクセスキーが公開されている：　アクセスキーは、セキュリティプリンシパルとしてクラウドサービスのプレーンの操作に使用されます。キーが公開されると、あっという間に権限のないユーザーに悪用され、データの窃取や削除をされてしまいます。脅威アクターは、データを販売しないまたは漏えいしないという約束と引き換えに身代金を要求する場合もあります。多少煩雑ではありますが、キーの機密を保つ方法はあります。アクセスキーは期限を設定するか短時間で自動的に変わるようにし、ネットワークやIPアドレスなどのアクセス元にも制限を設けることを推奨します
13. 過剰なアカウント権限：　ほとんどのアカウント（ロールやサービス）は、限られた幾つかの日常業務に加え、たまに発生する業務のため少し広範囲のことを実行できるように設定されています。アカウントをプロビジョニングする際に必要以上に多くの権限を与え、そうした権限が脅威アクターに悪用されると、被害の影響範囲が不必要に拡大します。過剰な権限の付与によって横展開、継続的な攻撃、権限昇格を許すことで、データ流出や破壊、コードの改ざんが起こり、被害が深刻化することになりかねません

　現在、クラウドはほぼ全ての人に利用されています。多くの組織では、導入に伴うセキュリティ課題に目を向けることなく、コスト削減と柔軟性の向上に向けてクラウドインフラストラクチャの採用を決めています。しかしクラウドセキュリティは何のトレーニングもなしに理解できるものではありません。クラウドセキュリティポスチャ管理のベストプラクティスを順守することで、クラウドセキュリティの侵害につながる設定ミスを避けられるでしょう。

執筆者紹介：CrowdStrike　最高製品責任者　ラジ・ラジャマニ（Raj Rajamani）氏

ラジ・ラジャマニは、クラウドストライクの製品組織を率い、市場を定義するイノベーションと同社の短期的および長期的な製品ビジョンとロードマップを推進する責任者です。

ラジャマニは、2023年1月にデータ、アイデンティティ、クラウド、エンドポイント（DICE）製品ラインの最高製品責任者（Chief Product Officer）としてクラウドストライクに入社した後、2023年7月に製品部門全体の責任者（Head of Products）に昇進しました。サイバーセキュリティとSaaSの分野で20年近い経験を持つラジャマニは、Cylance、Marketo、マカフィーなどの高成長企業で製品リーダーを務めてきました。クラウドストライクへ入社する前は、SentinelOneで最高製品責任者を務めていました。