クラウド環境で特に注意すべき脅威は何か？ CSAジャパンがレポートを公開：セキュリティニュースアラート

CSAジャパンはクラウドコンピューティングの重大な脅威に関するレポートを公開した。この中で設定ミスなどクラウド環境に存在する特に注意すべき脅威がまとめられている。

[後藤大地，有限会社オングス]

　日本クラウドセキュリティアライアンス（CSAジャパン）は2024年12月9日、クラウド業界における最新のセキュリティ課題を取りまとめたレポート「クラウドコンピューティングに対する重大な脅威2024」を公開した。

　同レポートはCSA本部が発行する「Top Threats to Cloud Computing 2024」の日本語版であり、現在のクラウドセキュリティリスク、脅威、脆弱（ぜいじゃく）性に対する認識を高めることを目的に公開されている。

CSAが公開したクラウド環境で特に注意すべきセキュリティ課題

　2024年版ではクラウドセキュリティに関する専門知識を有する500人以上の業界専門家の回答を基に、クラウド環境における11の重要なセキュリティ課題が取り上げられている。特に重要なセキュリティ課題は以下の通りだ。

• 設定ミスと不適切な変更管理：　クラウドの設定ミスは、不適切な設定によってセキュリティリスクを引き起こし、意図しない損害や悪意ある活動に対して脆弱な状態を招く可能性がある。クラウドの構成は変化しやすい上、複数のクラウドプロバイダーの利用により変更管理が複雑化し、ミスが放置されることもある
• アイデンティティーとアクセス管理（IAM）：　適切に管理されていないアクセス権限や脆弱な認証がデータ漏えいや不正アクセスを招くリスクがある。IAMの改善にはシングルサインオン（SSO）や多要素認証（MFA）の導入が不可欠と指摘されている
• セキュアでないインタフェースやAPI：　クラウドサービスのAPIやUIは設計要件の変化や運用上の課題により脆弱性が生じやすい側面がある。特にAPIは攻撃の主要な標的となっており、Akamaiの調査によると、2023年のWeb攻撃の約29％がAPIを標的としたものとされている
• 不十分なクラウドセキュリティ戦略：　戦略にはクラウドアーキテクチャの設計やCSPの選定、データ保持要件、IAMやネットワーク管理の統合設計などが含まれる。これらのクラウドセキュリティ戦略の欠如が脅威に対応できておらず、リスクとなっている

　同レポートではこれらの課題に対する具体的な緩和策や関連するセキュリティ管理などが紹介されている。また2022年の調査結果と比較し、従来のセキュリティ課題であるサービス妨害や共有技術の脆弱性の優先順位が低下していることも注目されている。

　このレポートはクラウドセキュリティに取り組む企業や専門家にとって貴重なガイドラインであり、設定ミスの防止やIAMの強化、セキュリティ戦略の策定など各組織が直面する課題への対応策が提供されている。企業や組織は本レポートをクラウド環境におけるセキュリティ態勢の強化に役立てることが望まれる。