「クラウド設定ミス」がなくならないワケ 実は経営側にも責任? セキュリティ診断企業に聞く
クラウドの設定ミスに起因するセキュリティのトラブルが後を絶たない。こういったミスがなくならない背景には、単純な手違いだけでなく企業の経営側にも原因があるという。セキュリティ診断を手掛けるラックに、設定ミスがなくならない理由を聞く。
クラウドサービスの設定ミスが原因で企業内の情報が流出し、不正利用につながる事件が後を絶たない。導入が簡単で拡張性が高く、どこからでもアクセスできるといったクラウドのメリットは、設定に不備があれば、外部からの不正アクセスを招くという問題に直結する。
「これだけクラウド設定ミスが危険だといわれているにもかかわらず、やはり事故は起きる。診断すれば問題が見つかる状況にある」──企業のセキュリティ診断などを手掛けるラックの西村篤志さん(デジタルイノベーション事業部セキュリティアセスメント部部長)はそう指摘する。
設定ミスがなくならない背景には、単純な手違いだけでなく、クラウドの特徴や、経営側の意識にも原因があるという。設定ミスに起因するトラブルが減らない理由を、西村さんと同社の仲上竜太さん(サイバー・グリッド・ジャパン シニア・リサーチャー)、上原孝太さん(金融事業部サービス第一部部長)に聞いた。
特集:ニューノーマル時代のクラウドセキュリティ
企業のあらゆるデータがさまざまな形態のクラウドに分散化する中、オンプレミスで構築していた時代の情報セキュリティ対策は通用しない。抜本的に考え方を変える必要がある。本特集では、クラウドファースト時代における企業の情報セキュリティ対策の最前線を追う。
「パスワード認証が試し放題」がよくある? クラウド設定ミスの実態
3人によれば、ラックの診断でよく見つかるのは以下のような不備だという。
- アクセスを制御する「セキュリティグループ」に設定ミスがあり、誰でもどこからでもアクセスできる状態になっている
- 破られやすいパスワードが使われている。さらに多要素認証の設定や接続元の制限がなく「パスワード認証が試し放題」な状態になっている
「本来やるべき認証強化をしていなかったところにケアレスミスが加わり、侵入されるパターンが多い」と西村さん。ラックの診断で見つかったわけではないが、サービスやシステムの開発で使用するアクセスキーの漏えいもよく問題になるという。
「例えばAWSのアクセスキーを、オンプレミスのようなクローズドな環境で使うAPIキーと同じイメージで使えば、想定外の目的で利用されてしまう可能性がある」(仲上さん)
オンプレミスとの差がミスの原因に?
こうしたトラブルが減らない背景には、いくつかの原因が考えられる。一つは、クラウド環境とオンプレミス環境の違いだ。クラウド環境はオンプレミスに比べて可用性や利便性が高い分、セキュリティホールができやすい側面もあるという。
「オンプレミスの場合『どこかにセキュリティホールがあったとしても、外からは到達できない』というケースがまだあった」と上原さん。例えばオンプレミスのハードウェアであれば、基本的には外部からの接触は不可能で、管理画面も社内の閉ざされた環境でしか使用できない。つまり、あまり細かいアクセスコントロールをかけていなくても、不正操作といったトラブルに至らずに済むケースもあった。
一方、クラウドの場合はハードウェアを含む全てをWebの管理画面で操作する。これには「あらゆる機能をオンラインで管理できる」という強みがある一方「その権限管理に、オンプレミスと同じような緩さがあれば、その緩さが危険を招く」と上原さんは警告する。
人材育成など、経営側の取り組み方にも課題
設定ミスが減らないもう一つの理由は、クラウドをテスト環境だけでなく実運用環境でも使うケースが増え、トラブルのリスクが増しているにもかかわらず、開発者側にクラウドセキュリティの知識が浸透していないことだ。
「クラウドでものを作るエンジニアは増えてきた一方で、セキュリティ対策の考え方まで把握している人は少ない。開発時にセキュリティまで見られる人がいるのが理想だが、そう多いケースではない。これまではセキュリティ専門家が対策を講じ、エンジニアはその枠組みの中で開発すればよかったが、今はエンジニア一人一人が開発の中で守りを意識しなければいけない場面が増えている」(仲上さん)
ただ、これは開発現場だけで解決できる問題ではない。システム開発要件や発注要件を定める時点でセキュリティ対策を徹底しなければ、情報漏えいなどの事故につながり得る。この課題を、現場だけでなく経営側もサービスや製品の信用に関わる経営課題として認識し、人材育成も含めたセキュリティ対策に取り組む必要があると仲上さんは話す。
「経営側がセキュリティに対して具体的な対応やガバナンスなどを考えなければならない時代になってきた。『クラウドだから早くできる』という議論だけでなく『クラウドだからしっかり守っていかなければ』という意識が必要になりつつある」(仲上さん)
ユーザー企業側にも意識の高まり?
一方、こうした変化に追い付く企業も出てきている。上原さんによれば、ラックが提供するクラウド設定の不備監視サービスに関する相談件数はここ半年ほどで増加しており、その内容も変わりつつあるという。
「事故が起きて緊急の対応が必要という相談より、未然の対策に関する相談をする企業が増えていると感じる。新しいことを始める前に対策をすべきだと考える企業も出てきている」と上原さん。
相談内容もより具体的になっているという。例えば、以前は「クラウドセキュリティってどうすればいいの?」といった粒度だったところ、今はSaaS、IaaS、PaaSそれぞれに的を絞った質問や「クラウド上でコンテナを使う場合のセキュリティ対策」など、より細かい質問が来るという。
設定ミスは今後もなくならない
ただし、西村さんはこうした動向を踏まえつつも、クラウドを使う企業が今後も増える見込みであることから、設定ミスはセキュリティ上の脅威であり続けると予測する。
「クラウドを使う部門が増え、利用ケースが広がれば、それだけミスも増える。クラウド事業者側は機能を増やしており、使う側も自分たちの環境に合わせて、クラウドの構成や使い方を変えていく。結果として、想定していなかった新しい設定不備も次々に出てくるだろう」(西村さん)
関連記事
- クラウドの設定ミスを防ぐコツは? 100を超えるSaaSを比較した“SaaSおじさん”に聞く
クラウドサービスを導入する企業が増える一方で、設定ミスなどが原因のセキュリティ事故を心配する声も多い。では、どのような対策があるのか。クラウドの導入支援を手掛けるネクストモードの“SaaSおじさん”に説明してもらった。 - クラウドの設定ミス、気を付けても見落としがちな“あるポイント” セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。 - クラウド利用で高まる情報セキュリティリスク、その原因は? IT担当者が身に付けるべき運用の心構え
クラウドサービスの業務利用が当たり前になった今、情報セキュリティに関するネガティブなニュースが目に付くことも非常に増えた。自身が被害者にならないために、そして二次的な被害の加害者にならないために何ができるのか。 - クラウドからの情報漏えい、責任は誰に? SaaSやPaaSの大前提「責任共有モデル」とは 総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。 - いま注目「何も信頼しない」セキュリティ対策とは? 開発部門の在宅勤務率9割、NTTデータ先端技術に聞く
クラウドサービスやテレワークの普及により、社内と社外の境界を守る従来のセキュリティ対策は通用しなくなった。解決策の一つがゼロトラストセキュリティだ。開発部門の在宅勤務率を9割にしたNTTデータ先端技術に解説してもらった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.