クラウド構成で何が問題になっているのか、そしてより良い方法について

DC Studio | shutterstock.com

企業データを危険にさらすクラウド内の設定エラーは、本来は新しいものではありません。むしろ逆です。企業がクラウドリソースをまだ一貫して保護していないことはさらに悪いことです。少なくとも最近のレポートがそれを示唆しています。そのため、クラウドセキュリティプロバイダーのQualysは、クラウド環境を保護することを任務とする101人のサイバーセキュリティおよびITプロフェッショナルに調査しました。それによると：

• 回答者の28パーセントが過去1年間にクラウドまたはSaaSアプリケーションに関連するブリーチを報告しました。
• 回答者の24パーセントが誤って設定されたサービスをクラウド環境の最大のリスクと見なしています。

Qualysはその研究のために、パブリッククラウドでホストされている約4,400万の仮想マシン(VM)を調査しました。専門家たちは、AWS VMの45パーセント、GCP VMの63パーセント、Azure VMの70パーセントが不正に設定されたリソースを持っていることを発見しました。

最も一般的なクラウド構成エラー

EY AmericasのサイバーセキュリティリーダーであるAyan Royによると、企業は確かに特定のクラウドセキュリティ機能を有効にしますが、すべてではありません。ロギング、モニタリング、多要素認証(MFA)は多くの場合無視されました。「企業は迅速に進みたい、そして価値実現までの時間は絶対に重要です。しかし、サイバーセキュリティチームがこれらの決定に含まれていない場合、問題が始まります。そのため、セキュリティ専門家はしばしば事後対応のみができます。」

Royは合併と買収の際にもクラウドセキュリティの盲点を見ています。彼は企業にそのような場合に積極的に行動するよう警告します。「デューデリジェンスを実施し、それらを考慮に入れ、適切なサイバーセキュリティ投資計画があることを確認してください。」

AsperitasのCloud Practice LeadであるScott Wheelerによると、企業規模が大きくなるにつれて、クラウド構成エラーは減少します。クラウド専門家によると、これは主に規制当局の監督によるものです。一方、小規模企業は、クラウド構成に関連するリスクを管理するためのスタッフも必要なツールも持っていないため、大きな問題を抱えています。たとえば、公開されたストレージバケットやWebサービスなどです。

「ゼロトラストの全体的なコンセプトは、アクセスを必要な最小限に制限できるという事実に基づいています。しかし、これを実行するのは実際には難しい」とWheelerは説明しています。多くの場合、開発中に権限が拡張され、本番環境への導入後は元に戻されないとWheelerは例を挙げています。Wheelerが定期的に観察する最大のエラーは、しかし、セキュアでないプライベートネットワークを通じて通信するデータベースまたは他のクラウド資産です。「これらのサービスの多くは『すぐに使える』では対応していません。プライベートネットワークトラフィックのみがプライベートクラウド環境またはオンプレミス環境に流れるように設定するには、かなりの作業が必要です。これは犯罪的なハッカーによってしばしば悪用される大きな問題です。」

多くのベンダーが、AIがクラウドセキュリティをより簡単、より安価、そしてより効果的にすると約束していますが、クラウド構成の問題が明日には過去のものになると期待すべきではありません。AIエージェントがそれを確実に引き継げるようになるまでは、まだしばらく時間がかかるでしょう。

より安全なクラウド構成のための9つのヒント

それでも、不正なクラウド構成に対して何かできることがあります。例えば：

1. 多要素認証の実装

MFAは、特定のユーザーだけでなく、あらゆる形のクラウドアクセスに適用する必要があります。

2. すべてのサービスにプライベートネットワークを使用

データベースとクラウドサービスを設定して、パブリックインターネットではなく、プライベートネットワークのみを通じて通信するようにしてください。

3. データの暗号化

データ暗号化は、すべての新規および既存のリソースに対してデフォルトで有効にする必要があります。迫りくる量子時代を考えると、企業は今から量子耐性暗号アルゴリズムを採用して、いわゆる「今すぐ収集して、後で復号化する」攻撃から身を守ることをお勧めします。

4. 最小権限アクセス制御を適用

ユーザーとシステムに可能な限り少ないリソースへのアクセスを許可することは、モダンなゼロトラスト セキュリティ原則の基礎です。過度な権限を持つアカウントは、悪用された場合、迅速にデータ損失につながる可能性があります。

5. Infrastructure as Codeの使用

管理者またはユーザーがクラウド管理コンソールでクラウド構成に変更を加える場合、これらの変更を追跡することは難しいことが多く、何か問題が発生した場合に元に戻すこともできません。Infrastructure as Codeの原則は、この点で役立ちます。適切な構成管理ツールを使用して、ポリシーに基づいてすべての変更を検証、追跡、および監査できるようにしてください。

6. 継続的にスキャンする

クラウドリソースの初期セットアップ時に構成が最新であることを確認するだけでは十分ではありません。企業は何も変わっていないことを確認する必要があります。このため、一部のクラウドプロバイダーはネイティブツールを提供しています。クラウドセキュリティポスチャ管理(CSPM)ソリューションは、ギャップを埋めたり、マルチクラウド環境を監視したりするのにも役立ちます。

7. ストレージバケットのロック

セキュアでないAmazon S3バケットは数年前はサイバー犯罪者に非常に人気があり、企業にとって依然として一般的な問題です。ストレージがデフォルトでプライベートであることを確認するには、バケットポリシーとアクセス制御をお勧めします。

8. ロギングとモニタリングの実装

多くの企業は重要なクラウドサービスを監視していますが、シャドウITはしばしば見落とされがちです。これは技術的な問題というより、管理上の問題であり、ビジネス部門とのコミュニケーションを改善し、テクノロジー提供へのアプローチをより規律正しくすることで解決できます。

9. Security by Designを内在化

セキュリティをクラウドアーキテクチャの最初から統合してください。事後的にアップグレードするのは常にはるかに困難です。(fm)