ITmedia NEWS > セキュリティ >
特集
» 2021年10月13日 18時00分 公開

クラウド利用で高まる情報セキュリティリスク、その原因は? IT担当者が身に付けるべき運用の心構え(2/3 ページ)

[高橋睦美,ITmedia]

原因の多くは設定ミスや不適切なアカウント管理にあり

 一連の事象を見ていくと、クラウドで発生しているセキュリティインシデントの多くは、不適切な設定に起因していることが分かる。外部の攻撃者による不正アクセスが皆無というわけではないが、設定を理解し、適切に設定を行っていれば避けられたケースが多い。

 実はこうした事態は予見されていた。調査会社のガートナーは2019年に公開した記事の中で、「2025年にかけて、クラウド上のセキュリティ事故の99%は利用者自身の設定ミスによるものとなる」と予測していた。

 また90%の組織はパブリッククラウドの利用を適切にコントロールできず、センシティブなデータを不必要に公開してしまうだろう、とも述べていたが、ここまで紹介した事故が示す通り、この懸念は当たっているようだ。

 さらに米IBMのX-Focerが先日公表したレポート「2021 IBM Security X-Force Cloud Threat Landscape Report」によれば、クラウド環境で発生した侵害の3分の2が、不適切なAPI設定に起因していた。同様に、デフォルト設定のまま利用されている仮想マシンやプラットフォーム設定のミス、ネットワーク制御の欠如も環境をリスクにさらしている。

 もし、適切なセキュリティポリシーの実装やパッチ適用と言った堅牢化を実施していれば、大半の侵害は防げた可能性があるし、モニタリングによって脅威を検知することも重要だとIBMは述べている。また、情報セキュリティを手掛けるラック(東京都千代田区)は、「サイバー救急センターレポート第8号」において、インシデントの実例を踏まえ「クラウドのアクセス制御および認証情報の管理が、イロハのイであることを意識機」すべきと指摘している。

 つまり、クラウド環境のセキュリティ対策に求められるのは、これまでにまったく存在しなかったような新しい技術ではない。オンプレミス環境でも重要とされる以下のような基本的な事柄が、クラウド環境でも共通していえるということになる。むしろ、ますます重要になっているといえるだろう。

  • 多要素認証、アカウントやパスワード使い回しの防止といったID管理
  • 必要以上の権限を与えないアクセス制御
  • 不審な挙動にいち早く気付くためのモニタリング

 ただ、クラウドには手軽に利用できる利点の副作用として、IT部門が把握できない「シャドーIT」化しやすく、ガバナンスを効かせにくいという側面がある。また、多くの企業では、全てのシステムをフルクラウド化するのは難しく、オンプレミスと組み合わせてのハイブリッド環境になるので、一元管理や運用が難しい面もあるだろう。

 そんな時に頼りになるのはネット上の知見だ。クラウドサービスを提供する事業者自身はもちろん、さまざまなユーザーグループが、クラウドサービスの設定やデフォルトで提供されている機能を活用してクラウド環境のセキュリティを高めるためのベストプラクティスについて議論し、情報を公開しているため参考になる。

 もう1つ希望となりそうなのが、クラウド環境を守るためのクラウドサービスも増えていることだ。例えば最近、ゼロトラストセキュリティを構成する要素として注目されている「CASB」や「CSPM」といったソリューションを組み合わせることで、全体の把握や設定ミスの防止が容易になるのではないだろうか。

Copyright © ITmedia, Inc. All Rights Reserved.