クラウドの設定ミスは依然として企業を悩ませています。複数のクラウド環境にまたがるSaaSツールの増加や、標準でのセキュリティコントロールの不足が主な課題です。
7年前、私はクラウドセキュリティの設定ミスが企業データを危険にさらしていることについて書きました。Amazonのストレージバケットが次々と公開状態にされ、何百万もの機密記録が露出していました。企業はクラウドに慣れておらず、クラウドプロバイダーもすべてを適切にロックダウンするのを簡単にはしていませんでした。
今では企業がクラウド資産をしっかりと守っているはずだと思いませんか?
残念ながら、まだできていません。
Qualysが4月に発表したレポートによると、調査対象となった組織の28%が過去1年でクラウドまたはSaaSに関連する侵害を経験し、24%が人為的ミスや標的型サイバー攻撃に次いで、設定ミスがクラウド環境に対する最大のリスクだと答えています。
Qualysはまた、パブリッククラウド上でホストされている4,400万台の仮想マシンを調査し、AWSでは45%、Google Cloud Platform(GCP)では63%、Azureでは70%がリソースの設定ミスを抱えていることを発見しました。
さらに、同社は公開されているVMの63%が接続されたEBSストレージに暗号化が施されていないことも明らかにしました。
企業が利用するSaaSツールの増加は、設定ミスの機会をさらに広げています。最近では、Google Analyticsの設定ミスにより470万人のBlue Shield California会員のデータが漏洩しました。
「Microsoft、Google、Amazonは私たちに問題を押し付けてきた」と、900以上の動物病院を展開するVetcorのCSO、Andrew Wilder氏は言います。「デフォルトではすべてが非安全で、上からセキュリティを追加しなければならない。最初から安全なものを提供してくれればずっと良いのに。鍵のない車を買いますか?そんな車は売らないでしょう。」
このセキュリティギャップがサードパーティベンダーの存在を許していると彼は言います。「Google、Microsoft、Amazon、あなたたちに言いたい。設計段階から安全な製品を作るべきだ。そうすればサードパーティツールは不要になる。最初から安全であるべきだ。」
Vetcorでは社内でセキュリティを構築する選択肢はなく、ハイパースケーラーが提供するネイティブツールを利用しています。「今のところ、それで十分です。」
立ち止まって再評価し、再設定を
EYアメリカのサイバーセキュリティコンピテンシーリーダー、Ayan Roy氏によると、昨年最も多かった侵害は共有クラウドリポジトリが原因でした。「そこが最も多くのデータ流出が発生した場所です」と彼は言います。「多くは共有クラウドストアやSaaSアプリケーションからでした。」これはクライアントがクラウドセキュリティの設計図やガバナンスプロセスを持っているにもかかわらず、シャドーITが原因だと彼は指摘します。
組織は何かを有効化しても、すべてのセキュリティ機能を設定せず、すべてのログや監視を有効にせず、多要素認証(MFA)を有効にせず、アクセスをロックダウンしていません。「ビジネスは迅速さを求め、価値実現までの時間が非常に重要です。」しかし、こうした決定にサイバーセキュリティチームを関与させておらず、そこが問題の始まりです。
「サイバーセキュリティは後回しにされがちです。正しい会話に入っていれば、事後対応ではなく事前対応ができます。」
どの企業でも取れる積極的な対策の一つは、企業が承認した安全なプラットフォームへの認知を高めることです。そのためには、より良いコミュニケーションや追加のトレーニングが必要かもしれません。従業員が安全な選択肢があるにもかかわらず、非安全なシステムを使わないようにするためです。
また、M&Aの際にも見落としが発生します。「買収時には積極的に動くべきです」とRoy氏は言います。「デューデリジェンスを行い、それを考慮に入れ、サイバーセキュリティへの適切な投資計画を持っていることを確認してください。」
クラウド設定ミスの主な例
Asperitasのクラウドプラクティスリード、Scott Wheeler氏によると、組織が大きいほど、または規制当局の監督が厳しいほど、クラウド設定ミスは少なくなります。「しかし、フォーチュン1000の下位、例えば製造業などで、ミスの影響がそれほど大きくないと見なされ、規制当局の監視もなければ、ずさんな運用になりがちです。そういったところでミスが発生します。」
最も小規模な組織は、設定リスクを管理するスタッフやツールがないため、非常に大きな問題を抱えています。これには、公開されたストレージバケットやウェブサービス、過剰な権限付与が含まれます。
「ゼロトラストのコンセプト全体は、必要最小限のアクセスに制限できるという前提に立っています」とWheeler氏は言います。「しかし、それは難しいことです。」開発中に権限を増やし、本番環境に移行しても元に戻さないことがよくあります。
Wheeler氏が見る最大のミスは、データベースや他のクラウド資産が安全なプライベートネットワーク経由で通信していないことです。「多くの場合、デフォルトではそうなっていません」と彼は言います。「プライベートクラウド環境やオンプレミス環境への通信を完全にプライベートネットワークトラフィックにするには設定が必要です。これは非常に重要で、多くのハッキングや内部環境の侵害がここから発生しています。」
多要素認証の欠如もリスクの一つです。MFAは漏洩した認証情報などのリスクからクラウド環境を守ります。暗号化の欠如も懸念事項です。Thalesによると、機密クラウドデータの暗号化率は51%に過ぎず、80%以上のクラウドデータを暗号化している企業はわずか8%です。
データ漏洩を減らすためのクラウド設定9つのヒント
1. すべてに多要素認証を導入する
すべてのクラウドアクセスにMFAを必須としてください。一部のユーザーだけでは不十分です。多くの企業がSalesforceインスタンスに関連するデータ侵害を報告している理由は、ユーザーアカウントにMFAが正しく設定・構成されておらず、攻撃者にアカウントを乗っ取られたためです。
2. すべてのサービスをデフォルトでプライベートネットワークにする
データベースやクラウドサービスは、パブリックインターネットではなくプライベートネットワークのみで通信するように設定しましょう。AsperitasのScott Wheeler氏によると、多くのサービスはこのオプションがデフォルトになっておらず、これはデータ侵害調査で最も多い設定ミスです。
3. 機密データを保存時・転送時ともに暗号化する
Thalesによると、機密クラウドデータの暗号化率はわずか51%です。現在では、すべての新規・既存リソースで暗号化をデフォルトにすべきです。量子コンピューティングの時代を見据え、企業はすでに「今収集して後で解読」攻撃に備えた量子耐性暗号アルゴリズムを使うべきです。
4. 最小権限アクセス制御を適用する
ユーザーやシステムに必要最小限のリソースだけを許可するのは非常に手間がかかります。特定の理由で追加権限を付与しても、必要がなくなった後に元に戻さないことが多いです。しかし、最小権限は現代のゼロトラストセキュリティの基本であり、過剰な権限アカウントはデータ損失につながりやすいです。
5. すべての変更にインフラストラクチャ・アズ・コードを使う
管理者やユーザーがクラウド管理コンソールで設定を変更すると、その変更を追跡したり、問題が発生した際に元に戻すのが難しくなります。さらに、人間はミスをしやすいものです。専門家が推奨する解決策は、「インフラストラクチャ・アズ・コード」の原則を導入し、構成管理ツールを使ってすべての変更をポリシーに照らしてチェック・追跡・監査し、簡単にロールバックできるようにすることです。
6. 設定ミスを継続的にスキャンする
クラウド資産を最初にセットアップしたときに設定が正しいか確認するだけでは不十分です。設定がそのまま維持されているかを確認し続ける必要があります。クラウドプロバイダーはいくつかのネイティブツールを提供しており、クラウドセキュリティポスチャ管理ツールでギャップを埋めたり、マルチクラウド監視を実現できます。
7. ストレージバケットをロックダウンし、公開アクセスを無効化する
数年前、未保護のAmazon S3バケットはハッカーの標的になっていましたが、今でも企業にとって問題です。Tenableのクラウド環境分析によると、公開されているクラウドストレージの9%に機密データが含まれています。バケットポリシーやアクセス制御を使って、ストレージはデフォルトで非公開にし、テストなどで公開にした場合は、作業終了後に必ず非公開に戻しましょう。
8. すべてのデプロイメントで包括的なログ記録と監視を有効にする
多くの企業は主要なクラウドサービスについては監視を行っていますが、シャドーITのデプロイメントは見落とされています。これは技術的な問題というより管理上の問題であり、事業部門とのより良いコミュニケーションや、全社的な技術導入の規律あるアプローチで対応できます。技術の進化が速い今、AIや新しいクラウドサービスが機密データやプロセスに関わることも増えており、これはますます重要です。
9. 最初の日から安全に始める
クラウドアーキテクチャの設計段階からセキュリティを組み込んでください。後から追加するのはずっと難しくなります。
AIはすべての問題を解決するのか?
ベンダーはAIがセキュリティをより簡単に、安価に、効果的にすると約束しています。
しかし、生成AIは本当にクラウド設定問題を解決するのでしょうか?
VetcorのWilder氏は「可能性はある」と言います。「しかし、人々が言うほど早くは実現しないでしょう。エージェンティックAIはセキュリティチームの業務を強化し、リソース不足を補う可能性があると思いますが、それには多くの組織的な変革も伴います。」
