「クラウド設定ミス」がなくならないワケ 実は経営側にも責任？ セキュリティ診断企業に聞く

[鈴木聖子，ITmedia]

　クラウドサービスの設定ミスが原因で企業内の情報が流出し、不正利用につながる事件が後を絶たない。導入が簡単で拡張性が高く、どこからでもアクセスできるといったクラウドのメリットは、設定に不備があれば、外部からの不正アクセスを招くという問題に直結する。

　「これだけクラウド設定ミスが危険だといわれているにもかかわらず、やはり事故は起きる。診断すれば問題が見つかる状況にある」──企業のセキュリティ診断などを手掛けるラックの西村篤志さん（デジタルイノベーション事業部セキュリティアセスメント部部長）はそう指摘する。

ラックの西村篤志さん

　設定ミスがなくならない背景には、単純な手違いだけでなく、クラウドの特徴や、経営側の意識にも原因があるという。設定ミスに起因するトラブルが減らない理由を、西村さんと同社の仲上竜太さん（サイバー・グリッド・ジャパン シニア・リサーチャー）、上原孝太さん（金融事業部サービス第一部部長）に聞いた。

特集：ニューノーマル時代のクラウドセキュリティ

企業のあらゆるデータがさまざまな形態のクラウドに分散化する中、オンプレミスで構築していた時代の情報セキュリティ対策は通用しない。抜本的に考え方を変える必要がある。本特集では、クラウドファースト時代における企業の情報セキュリティ対策の最前線を追う。

「パスワード認証が試し放題」がよくある？　クラウド設定ミスの実態

　3人によれば、ラックの診断でよく見つかるのは以下のような不備だという。

• アクセスを制御する「セキュリティグループ」に設定ミスがあり、誰でもどこからでもアクセスできる状態になっている
• 破られやすいパスワードが使われている。さらに多要素認証の設定や接続元の制限がなく「パスワード認証が試し放題」な状態になっている

　「本来やるべき認証強化をしていなかったところにケアレスミスが加わり、侵入されるパターンが多い」と西村さん。ラックの診断で見つかったわけではないが、サービスやシステムの開発で使用するアクセスキーの漏えいもよく問題になるという。

　「例えばAWSのアクセスキーを、オンプレミスのようなクローズドな環境で使うAPIキーと同じイメージで使えば、想定外の目的で利用されてしまう可能性がある」（仲上さん）

オンプレミスとの差がミスの原因に？

　こうしたトラブルが減らない背景には、いくつかの原因が考えられる。一つは、クラウド環境とオンプレミス環境の違いだ。クラウド環境はオンプレミスに比べて可用性や利便性が高い分、セキュリティホールができやすい側面もあるという。

　「オンプレミスの場合『どこかにセキュリティホールがあったとしても、外からは到達できない』というケースがまだあった」と上原さん。例えばオンプレミスのハードウェアであれば、基本的には外部からの接触は不可能で、管理画面も社内の閉ざされた環境でしか使用できない。つまり、あまり細かいアクセスコントロールをかけていなくても、不正操作といったトラブルに至らずに済むケースもあった。

　一方、クラウドの場合はハードウェアを含む全てをWebの管理画面で操作する。これには「あらゆる機能をオンラインで管理できる」という強みがある一方「その権限管理に、オンプレミスと同じような緩さがあれば、その緩さが危険を招く」と上原さんは警告する。

人材育成など、経営側の取り組み方にも課題

　設定ミスが減らないもう一つの理由は、クラウドをテスト環境だけでなく実運用環境でも使うケースが増え、トラブルのリスクが増しているにもかかわらず、開発者側にクラウドセキュリティの知識が浸透していないことだ。

　「クラウドでものを作るエンジニアは増えてきた一方で、セキュリティ対策の考え方まで把握している人は少ない。開発時にセキュリティまで見られる人がいるのが理想だが、そう多いケースではない。これまではセキュリティ専門家が対策を講じ、エンジニアはその枠組みの中で開発すればよかったが、今はエンジニア一人一人が開発の中で守りを意識しなければいけない場面が増えている」（仲上さん）

　ただ、これは開発現場だけで解決できる問題ではない。システム開発要件や発注要件を定める時点でセキュリティ対策を徹底しなければ、情報漏えいなどの事故につながり得る。この課題を、現場だけでなく経営側もサービスや製品の信用に関わる経営課題として認識し、人材育成も含めたセキュリティ対策に取り組む必要があると仲上さんは話す。

ラックの仲上竜太さん

　「経営側がセキュリティに対して具体的な対応やガバナンスなどを考えなければならない時代になってきた。『クラウドだから早くできる』という議論だけでなく『クラウドだからしっかり守っていかなければ』という意識が必要になりつつある」（仲上さん）

ユーザー企業側にも意識の高まり？

　一方、こうした変化に追い付く企業も出てきている。上原さんによれば、ラックが提供するクラウド設定の不備監視サービスに関する相談件数はここ半年ほどで増加しており、その内容も変わりつつあるという。

　「事故が起きて緊急の対応が必要という相談より、未然の対策に関する相談をする企業が増えていると感じる。新しいことを始める前に対策をすべきだと考える企業も出てきている」と上原さん。

ラックの上原孝太さん

　相談内容もより具体的になっているという。例えば、以前は「クラウドセキュリティってどうすればいいの？」といった粒度だったところ、今はSaaS、IaaS、PaaSそれぞれに的を絞った質問や「クラウド上でコンテナを使う場合のセキュリティ対策」など、より細かい質問が来るという。

設定ミスは今後もなくならない

　ただし、西村さんはこうした動向を踏まえつつも、クラウドを使う企業が今後も増える見込みであることから、設定ミスはセキュリティ上の脅威であり続けると予測する。

　「クラウドを使う部門が増え、利用ケースが広がれば、それだけミスも増える。クラウド事業者側は機能を増やしており、使う側も自分たちの環境に合わせて、クラウドの構成や使い方を変えていく。結果として、想定していなかった新しい設定不備も次々に出てくるだろう」（西村さん）