企業の約8割が「未使用の過剰な権限」を保有 Tenableが指摘するクラウドリスク：セキュリティニュースアラート

Tenableは「2024年 Tenableクラウドリスクレポート」を発表した。日本を含む世界の組織が「有害なクラウドトライアド」と呼ばれる重大リスクに直面している。調査によると、約8割以上の組織が未使用の過剰な権限を持っているという。

[後藤大地，有限会社オングス]

　Tenable Network Security Japanは2024年10月24日、「2024年 Tenableクラウドリスクレポート」を発表した。

　2024年 Tenableクラウドリスクレポートは2024年1〜6月にわたって複数のパブリッククラウド環境にある数十億のクラウド資産から収集したデータを分析したものだ。クラウド資産のクラウドワークロードや設定情報を網羅したデータセットを対象としている。

約8割の組織が未使用の過剰な権限を持っている　Tenableが指摘するクラウドリスク

　同社はレポートにおいて「有害なクラウドトライアド」と呼ぶ危険なクラウドセキュリティのリスクに日本を含む世界中の組織がさらされていると指摘した。重大なデータ侵害や財務的な損失に侵される恐れがあると警戒を呼びかけている。

　同レポートの主な調査結果は以下の通りだ。

• 38％の組織が外部に露出された脆弱（ぜいじゃく）で高度な権限が付与されているクラウドワークロードを1つ以上使用している
• 組織の84.2％が深刻度が「緊急」または「高」の過剰な権限を付与された使用されていない、または、長期間使用され続けているアクセスキーを所有している。これが大きなリスクをもたらしている
• クラウドアイデンティティーの23％（人間と人間以外の両方）が深刻度「緊急」または「高」の過剰な権限を持っている
• コンテナエスケープ脆弱性（ぜいじゃく）「CVE-2024-21626」が公開から40日経過した後でもワークロードの80％以上で未修正の状態だった
• 74％の組織がストレージ資産を外部に露出している。機密データが保存されているものもある。エクスポージャーの多くは不要または過剰な権限によるもので、ランサムウェア攻撃の増加につながっている
• 78％の組織が外部公開された「Kubernetes API」サーバを所有している。そのうち41％はインバウンドのインターネットアクセスを許可している。さらに58％の組織は「cluster-admin」のユーザーロールを使用している。これは特定のユーザーが全てのKubernetes環境を無制限に制御できることを意味している

　Tenable Network Security Japanでカントリーマネージャーを務める貴島直也氏は次のように述べている。

　「業界や規模にかかわらず、データを収集、維持、処理する組織は、しっかりとデータを保護しなければ侵害のリスクにさらされる。この有害なクラウドのトライアドは、まさにサイバー脅威の嵐を招くものだ。外部公開は未承認アクセスを可能にし、重大な脆弱性は環境への侵入口になる。一度侵入を許してしまえば、攻撃者は過剰権限を使って制御能力を昇格させて重要システムを乗っ取ることもできる」

　Tenable Network Security Japanはこれらリスクに対応するために次のような戦略の採用を提案している。

• 全てのワークロードを一元的に可視化できるクラウドセキュリティプラットフォームを使う。リスクの有害な組み合わせ（外部公開、重大な脆弱性、過剰権限など）を特定して優先的に対処する
• 定期的に監査を実施するとともにクラウドリソースへのアクセスを最小権限の原則に従って制限する。アクセスキーを頻繁にローテーションして使用されなくなったキーは削除し、認識情報の誤用の可能性を減らす
• CVE-2024-21626のような深刻度の高い脆弱性を優先して修正し、重要なワークロードを定期的に更新し露出を最小限にとどめる
• パブリッククラウドにある資産を露出する設定ミスを確認して修正する。外部ネットワークに公開する資産は必要不可欠なものに限るようにする

　貴島氏は「有害なクラウドトライアドは防止できる。しかし、そのために企業は先行的に行動する必要がある。可視性を向上させ、権限を制限して脆弱性にパッチを適用すれば、日本の企業もクラウドセキュリティのリスクを大幅に軽減できる。今までこの問題に対処していなかったため、大規模な侵害が起きて混乱状態を招いたことはよく知られている。過去の事例を無視するべきではない」と述べた。