　さらに米IBMのX-Focerが先日公表したレポート「2021 IBM Security X-Force Cloud Threat Landscape Report」によれば、クラウド環境で発生した侵害の3分の2が、不適切なAPI設定に起因していた。同様に、デフォルト設定のまま利用されている仮想マシンやプラットフォーム設定のミス、ネットワーク制御の欠如も環境をリスクにさらしている。

　もし、適切なセキュリティポリシーの実装やパッチ適用と言った堅牢化を実施していれば、大半の侵害は防げた可能性があるし、モニタリングによって脅威を検知することも重要だとIBMは述べている。また、情報セキュリティを手掛けるラック（東京都千代田区）は、「サイバー救急センターレポート第8号」において、インシデントの実例を踏まえ「クラウドのアクセス制御および認証情報の管理が、イロハのイであることを意識機」すべきと指摘している。

　つまり、クラウド環境のセキュリティ対策に求められるのは、これまでにまったく存在しなかったような新しい技術ではない。オンプレミス環境でも重要とされる以下のような基本的な事柄が、クラウド環境でも共通していえるということになる。むしろ、ますます重要になっているといえるだろう。

多要素認証、アカウントやパスワード使い回しの防止といったID管理
必要以上の権限を与えないアクセス制御
不審な挙動にいち早く気付くためのモニタリング

　ただ、クラウドには手軽に利用できる利点の副作用として、IT部門が把握できない「シャドーIT」化しやすく、ガバナンスを効かせにくいという側面がある。また、多くの企業では、全てのシステムをフルクラウド化するのは難しく、オンプレミスと組み合わせてのハイブリッド環境になるので、一元管理や運用が難しい面もあるだろう。

　そんな時に頼りになるのはネット上の知見だ。クラウドサービスを提供する事業者自身はもちろん、さまざまなユーザーグループが、クラウドサービスの設定やデフォルトで提供されている機能を活用してクラウド環境のセキュリティを高めるためのベストプラクティスについて議論し、情報を公開しているため参考になる。

　もう1つ希望となりそうなのが、クラウド環境を守るためのクラウドサービスも増えていることだ。例えば最近、ゼロトラストセキュリティを構成する要素として注目されている「CASB」や「CSPM」といったソリューションを組み合わせることで、全体の把握や設定ミスの防止が容易になるのではないだろうか。

常に「責任共有モデル」を意識

前のページへ 1|2|3 次のページへ