昨年末、MicrosoftがStorm-0501として追跡している脅威グループが、政府、製造、輸送、法執行機関を標的とした機会主義的なキャンペーンでハイブリッドクラウド環境を侵害しました。このグループは、ランサムウェアのアフィリエイトスキームを通じて現金を得ることを目的としていました。
この脅威アクターは、企業のセキュリティ態勢においてますます一般的になっている弱点、すなわち侵害された認証情報や過剰な権限を持つアカウントを標的としました。彼らはそれらを利用して、あるクラウドやオンプレミス環境から別のクラウドへと横断的に移動しました。クラウド環境を容易に悪用できる彼らの能力は、企業がクラウドプラットフォームやハイブリッドクラウド環境全体で同様に強固なセキュリティ態勢を維持することの難しさを浮き彫りにしています。
Microsoftの脅威保護担当ゼネラルマネージャー、スコット・ウッドゲート氏は、企業が一貫した強固なセキュリティ態勢を確立し、マルチクラウド環境全体で異常を監視し、攻撃に対応する能力がなければ、攻撃者に対して無防備になると述べています。
「ハイブリッド環境全体で一貫性のないIDおよびアクセス制御は、攻撃者にとってシームレスな経路を生み出す可能性があります」と彼は言います。「統一されたプラットフォームと一貫したセキュリティポリシーが、これらの攻撃チェーンを断ち切るために不可欠です。」
企業はマルチクラウド環境に苦戦し続けており、これは急速にビジネスの標準となっています。サイバーセキュリティ専門家を対象とした調査によると、企業の4分の3以上(78%)が2つ以上のクラウドプロバイダーを利用していると、Fortinetの2025年クラウドセキュリティの現状レポートで紹介されています。Microsoftはこの数字を86%とし、企業の半数以上がクラウド環境を通じて少なくとも1つの高価値資産を攻撃経路にさらしていると、同社の2024年マルチクラウドセキュリティリスクの現状レポートで述べています。
多くの組織のIT担当者や開発者は、問題が発生するたびにそのための特定のツールを見つけて解決することに慣れています。問題が発生するたびにツールを導入し、気が付けばツールが爆発的に増えていると、Fortinetのクラウドセキュリティ担当副社長ヴィンス・ファン氏は述べています。
Loading...
「小規模で人員不足、リソース不足のチームで、適切なスキルセットを持つ人材が不足している場合、これはほとんど解決不可能な問題になります」と彼は言います。
複数クラウド、複数のセキュリティアーキテクチャ
複数のクラウド環境を維持・管理することは、ほぼ必然的に多数のツールを意味します。エンタープライズサイバーセキュリティ企業SentinelOneのデータによると、92%の企業があまりにも多くの単独ツールを管理していると報告しています。
あまりにも多くの製品に依存した管理は、アラートの過多、セキュリティのサイロ化、可視性の制限を招くと、SentinelOneのプロダクトマネジメント担当副社長イーライ・カーン氏は述べています。
「これはツールの乱立の症状であり、複数のサイロ化されたセキュリティツールが同じイベントに対して冗長または矛盾したアラートを生成する場合や、単独ツールを個別に使わなければならず、単一のインターフェースで活用できない場合の非効率的なアラート管理の結果です」と彼は言います。「いずれにせよ、その結果は、特に複数のクラウドプロバイダー、リージョン、テクノロジーにまたがる環境では、脅威への対応が遅くなり、ノイズが増えることになります。」
企業の大多数(82%)がインフラストラクチャにハイブリッドまたはマルチクラウドプラットフォームを利用しています。出典:Fortinet
もう一つの問題は、企業がクラウド導入の進捗状況にばらつきがあることです。多くの企業は依然として「リフト&シフト」モードにあり、仮想マシンやコンテナを使ってアプリケーションをクラウドインフラに移行していますと、Google CloudのCISOオフィスのセキュリティアドバイザー、アントン・チュヴァキン氏は述べています。そのため、企業はしばしばオンプレミスアプリケーション向けに設計されたツールを使い、クラウド固有のツールを採用するのではなく、それらをそのままクラウドに移行しています。
「実際、2つのクラウド間でセキュリティに共通の基準はありません。チームは両方のクラウドのスキルを持つ必要があります」と彼は言います。実際には、「ほとんどの担当者は1つのクラウドのスキルしか持っておらず、頭の中がクラウドAだけなのでクラウドBを誤設定してしまうのです。」
クラウドイベントの可視性を確保する
企業はまず、自社のすべてのクラウドプラットフォーム、クラウドサービス、ハイブリッドクラウド全体でのセキュリティ態勢の可視化に注力すべきです。しかし、どのログを保持・分析すべきかを判断するのは難しく、特に複数のクラウドプラットフォームを扱う場合はなおさらだと、AWSセキュリティのCISOオフィスのクラーク・ロジャーズ氏は述べています。
「顧客は、迅速に有意義な洞察を得るためにあまりにも多くのデータを記録するか、あるいは適切なものを記録しないことで重要なアラートを見逃してしまいます」と彼は言い、「適切なロギングは、将来の自動化されたインシデント検出、対応、修復の基盤となります」と付け加えています。
ShinyHuntersによるSnowflakeデータベースへの攻撃は、盗まれた認証情報を使ってSnowflakeの顧客データにアクセスし、ハイブリッド環境を横断的に移動する手法を利用しました。3月のIngressNightmareインシデントでは、Kubernetes Ingressコントローラーの一連の設定ミスがシステムの侵害につながる可能性があることが示されましたと、SentinelOneのカーン氏は述べています。
「これらの出来事は重要な教訓を浮き彫りにしています」と彼は言います。「マルチクラウドの複雑さは、攻撃者がすぐに発見する悪用可能なギャップをしばしば隠してしまい、特に可視性がサイロ化されていたり設定ミスが見逃されている場合に顕著です。」
確かにCSPM、でもどうやって?
クラウドインフラに対する主な脅威は10年以上変わっていません。設定ミスや認証情報・IDセキュリティの問題が常に上位に挙げられますが、マルチクラウドやハイブリッドクラウド環境で運用する企業は、それらの脅威がクラウドプラットフォームごとに異なる形で現れることに対処しなければならないと、Google Cloudのチュヴァキン氏は述べています。
企業はしばしば、可視性を得る簡単な方法としてクラウドセキュリティ態勢管理(CSPM)やクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)に頼ります。これらのソリューションは、正しく導入すれば効果的に機能しますと彼は言います。しかし、CSPMは10年以上前から存在しており(最初のCSPMは2013年に登場)、技術は進化したものの、設定ミスや認証情報が依然として最大の脅威であることから、CSPMが十分に機能していないことが示唆されます。
実際には、CSPMが伝える内容を特定のクラウドプラットフォームに落とし込むのは難しいとチュヴァキン氏は言います。企業は自社のセキュリティ態勢や潜在的なセキュリティインシデントの可視性を必要としています。理論的には簡単ですが、運用面ではそれを実現するのははるかに困難です。
「もし私が態勢管理を行うなら、利用しているすべてのクラウドをサポートできるツールを購入します。そうでなければ大変なことになります」と彼は言います。「態勢管理や脅威検出だけでは救われませんが、それらがなければ破滅します。」
一方で、修復に関してはマルチクラウド対応はさらに困難です。各クラウドは通常、個別に対応が必要であり、各アプリケーションも、導入方法や構成要素によって異なる修復アプローチが必要になるとチュヴァキン氏は述べています。
マルチクラウドセキュリティの鍵はアイデンティティ
Amazon Web Servicesは、クラウドセキュリティのための5つのセキュリティテーマのフレームワークを提唱しています。AWSコア5は、IDおよびアクセス管理、検出コントロール、インフラセキュリティ、データ保護、インシデント対応です。クラウド全体で可視性を求める際には、IDおよびアクセス管理に注力することが重要なステップだと、AWSセキュリティのロジャーズ氏は述べています。
「IDおよびアクセス管理は、あらゆるクラウド環境を安全に管理するための最初で最も重要なステップの一つです」とロジャーズ氏は言います。「従来のオンプレミス環境では、インフラがプロビジョニングされてからユーザーアクセスが付与されますが、クラウドではこれが逆転しています。」
企業はクラウド環境全体で統一されたID管理に注力し、SAMLやOAuthなどの標準、またはクラウド非依存のシングルサインオンサービスを通じてIDをフェデレーションするべきです。開発者は、共通のインフラストラクチャ・アズ・コード(IaC)ファイルを通じてポリシーを策定し、アプリケーション全体でIDおよびアクセスのポリシーを標準化することに注力すべきです。
複数のクラウドベンダーにまたがる企業のセキュリティ管理は今後も複雑なままだと、Google Cloudのチュヴァキン氏は述べています。彼はガートナーのアナリスト時代、Amazon、Azure、Google間のアクセスおよびID管理(AIM)の違いについて文書を作成したことがあると指摘します。そのエグゼクティブサマリーだけで40ページに及びました。
「“簡素化”しても40ページの文書が残るというのは、あまり良い兆候ではありません」と彼は言います。
セキュリティに「簡単ボタン」はない
企業はマルチクラウド環境のセキュリティ管理の課題を非常に認識していると、AWSセキュリティのロジャーズ氏は述べています。彼は年間数百社の顧客と会い、そのすべてのやり取りで共通する質問は、クラウドセキュリティを大規模に管理する際に最低限のセキュリティ基準をどのように達成できるかということだと述べています。
選択肢があれば、CISOはマルチクラウドを採用したくないでしょうが、運用のレジリエンスのための会社の方針、有機的な開発プロセスによる導入、あるいは合併・買収によって、多くのセキュリティ担当者は複数のクラウドを守る立場に置かれています。
「驚くほど意見が一致しています」と彼は言います。「もちろん、マルチクラウドは実際に導入されており、それを決めるのはCISOではありません。」
一貫したセキュリティ管理の確立とプロセスの簡素化に焦点を当てた文化を築くことが重要だと、ロジャーズ氏は述べています。
「プラットフォームに関係なく、顧客は自社のビジネスやリスク許容度に適した強固なセキュリティ文化と戦略を構築する必要があります」と彼は言い、「セキュリティは技術の問題ではなく、人の問題です。人の要素を理解できれば、どんな技術的課題にも応用できます」と付け加えています。
AIは多くの課題に対する潜在的な解決策を提供しており、すでにセキュリティチームがクラウドプラットフォーム全体のテレメトリを相関させ、攻撃パターンを特定し、リスクを評価して対応や修復の優先順位付けを支援していると、Microsoftのウッドゲート氏は述べています。
「AIは…状況を一変させつつあります」と彼は言います。「クラウドセキュリティの未来は、ダイナミックな環境に適応し、セキュリティチームが最も重要な脅威に集中できるようにする、インテリジェントで統合されたプラットフォームにあります。」