クラウドの
セキュリティリスク
トップ10とその対処方法

クラウドのセキュリティリスクトップ10とその対処方法 

クラウドベースのシステムは、多くの組織にとって革新的なソリューションになりました。このシステムでは、高い柔軟性と拡張性、俊敏性をコストを抑えて実現できます。しかし、他の多くの物事がそうであるように、クラウドのセキュリティにも独自のリスクが複数存在します。企業が利用しているクラウドがプライベートクラウドであれ、パブリッククラウドであれ、ハッカーは企業がデータを保管している場所に侵入するためのバックドアを常に探しています。バックドアは、フィッシングキャンペーンの結果や、システムの脆弱性、悪意のある内部関係者の行動のかたちをとって現れます。 

データ漏洩/侵害調査レポートでベライゾンが報告している調査結果を見れば、クラウドのセキュリティ対策を強化する必要が常にあることは明白です。ここでは、現在上位にランクインしているクラウドのセキュリティリスクのいくつかと、それらに対処する方法をご説明いたします。

1. データの侵害/漏洩

クラウドサービスプロバイダー(CSP)がパブリッククラウドやプライベートクラウドに保管している膨大な量のデータは、ハッカーにとっての宝の山となっています。クラウドベースのシステムはインターネットからアクセスできるが故のセキュリティリスクが生じます。ハッカーの動機は様々ですが、多くの場合公共消費向けでないデータを探し、自らの利益になるよう利用します。これらのデータには、個人の医療情報(PHI)、個人を特定できる情報(PII)、取引上の機密事項、政治的に価値のある情報、財務情報、知的財産などがあります。

対処方法:二要素認証などの多要素認証や暗号化の技術を認証で使用する。データ侵害が発生した場合にはすぐにローカル管理者やネットワーク管理者のパスワードを変更する。サイバーインシデントが発生した際に調査担当者がすぐにアクセスできるようなかたちにログインを一元化する。

2. アカウントの乗っ取り

IDや認証情報の管理が不十分であると、サイバー攻撃や乗っ取りに対して無防備になってしまいます。乗っ取りには、簡易の登録システムや、フィッシング、なりすましの手口などが使われます。ボットネットがあるユーザーから認証情報を窃取できた場合、そのユーザーと同じクラウドサービスを使用している組織内の別のアプリケーションに対して、この認証情報が使用される可能性があります。攻撃者は侵入に成功すると、アカウントの乗っ取りや、データの窃取が可能になり、企業イメージにダメージを与える恐れがあります。

対処方法:機密エリアへアクセスできるユーザーを制限する。ユーザーが認証情報を共有できないようにするとともに、認証には安全性の高い二要素認証の技術を使用する。アカウントのアクティビティを監視し、アカウントのユーザーを追跡できるようにしておきます。 

3. APIのセキュリティの不備

アプリケーションプログラミングインターフェース(API)は、クラウドサービスのフロントドアであることが少なくありません。これは、攻撃者にとってわかりやすいエントリポイントになります。APIは恐らくIPアドレスが公になっている唯一の資産であり、そのため最も脆弱性の高い資産なのです。また、組織はAPIの認証情報をサードパーティに公開しなければならないことがあります。そうなると、その認証情報はさらに誰かの目に触れる危険にさらされた状態になり、クラウドにおけるセキュリティ上の新たな課題を生み出すことになります。さらに、あるユーザーがクラウドベースのサービスへのアクセスで使用しているトークンが攻撃者の手に渡ると、攻撃者はそのトークンを使って別のユーザーのデータにアクセスしたり、データを操作する等が可能になります。 

対処方法:認証情報のセキュリティを強化するためのベストプラクティスを採用し、APIのアクセス制御メカニズムを構築する。APIの依存関係チェーンをよく理解する。不正アクセスのリスクを減らすためのサイバーセキュリティレイヤーを追加する。

4. マルウェア 

ベライゾンの最新のデータ漏洩/侵害調査レポートによれば、マルウェアの影響は依然として考慮すべき要素となっています。このケースでは、攻撃者はスクリプトやコードを使用し、情報の傍受やデータの窃取を行い、機密性の高い情報の完全性を損ないます。

この際ハッカーが好んでよく用いるツールには、バックドアやコマンドアンドコントロール(C2)マルウェア等があります。攻撃者はまず始めにメールやソーシャルメディアのリンクを経由して標的にアクセスします。そして、標的への侵入に成功すると、別のマルウェアをダウンロードし、エンコードによりその検知を逃れ、マルウェアを標的に直接インストールします。

対処方法:スタッフにサイバーセキュリティのトレーニングを施し、サイトの閲覧やダウンロードにおいて問題のある行動がないかチェックさせる。ファイアウォールを設置し、常に最新の状態に維持する。すべてのアカウントとそれらアカウントのアクセスの状況を絶えず監視する。

5. データの漏洩/消失

企業がクラウド上のデータを消失する理由は多岐に亘ります。一つには、サイバー犯罪者がシステムにアクセスしてデータを盗み出し、データ侵害が生じた結果、データが消失するケースがあります。しかし一方で、悪意のない理由が原因となるケースもあります。クラウドサービスプロバイダーが誤ってデータを削除してしまう事故が起こる可能性もあるのです。また、データを暗号化していて、ユーザーが暗号化キーを失くしてしまった場合も、データは完全に失われてしまいます。さらには、火災やハリケーン、地震などの自然災害が原因でデータが消失することもあり得ます。どのような理由であれ、データが完全に失われてしまうと、企業にとって大打撃となり得ます。

対処方法:常にデータが他の場所にバックアップされるよう対策を行う。物理ストレージとクラウドベースのストレージの両方にバックアップを取っておくのが望ましい。データの消失に備えたサービスをクラウドサービスプロバイダー(CSP)と契約することを検討し、冗長化の対応やその他のデータバックアップの対応をCSPに依頼する。

6. DoS攻撃

ここしばらくのところ、DoS攻撃はまた、クラウドのセキュリティにおける脅威の上位に位置する存在となっています。DoS攻撃によってデータ侵害が起こることは滅多にありませんが、DoS攻撃によって生じるシステムのスローダウンは耐え難く、この攻撃が原因で全業務が停止してしまうこともあります。攻撃は単一の攻撃者(DoS攻撃)または複数の攻撃者(分散型DoS攻撃)によって行われます。この攻撃を受けると、CPU、RAM、ディスク領域、ネットワーク帯域幅が枯渇してしまうので、仮想クラウド環境のサービスを利用できなくなってしまいます。そして企業はこの攻撃から長期間に亘って影響を受ける可能性があります。顧客を失い、ブランドイメージが失墜するほか、従業員が復旧作業に追われるために業務が停止してしまうのです。 

対処方法:アンチウイルスプログラムを展開し、ファイアウォールを設置する。ネットワーク構成を見直し、攻撃に悪用される可能性のある脆弱性が存在しないかチェックする。サードパーティのサービスを使用しシステムを監視、保護する。 

7. 内部関係者がもたらす脅威

ここでいう内部関係者とは、従業員、独立請負業者、インターンなどのスタッフをはじめとする組織内部の人間を意味します。悪意のある内部の関係者は、意図的に自身の権限を越えてアクセス権限を使用したり、自身のアクセス権限を悪用したりして、組織のデータに悪影響を与えます。クラウドベースのサービスでは内部の関係者が利用できるアクセス権限のレベルが上がり、セキュリティ対応をクラウドサービスプロバイダーに完全に依存している場合には、その傾向が顕著です。一方で、悪意はなく、過失を原因とするケースもあります。機密性の高い情報やプライベートの情報を誤ってパブリックのリポジトリにアップロードしてしまう従業員もいるのです。また、シャドウITの問題もあります。IT部門の承認を得ずに従業員がクラウドサービスにサインアップして、セキュリティリスクを招いてしまうのです。

対処方法:重要な資産へのアクセスを制限する。直接のアクセスは信頼できるユーザーやIPアドレスだけに制限する。機密性の高いデータへのユーザーのアクセスを定期的に記録、監視、監査する。サイバーセキュリティトレーニングを実施し、データ管理プロトコルを再定義する。

8. APT(Advanced Persistent Threats)攻撃

攻撃者は多くの場合、多数の標的を狙って広範に攻撃を仕掛け、優位に立とうとします。APT(Advanced Persistent Threats)攻撃では、攻撃者は段階的アプローチを用い、組織のより小規模なサブセットを標的に定め、ソーシャルエンジニアリングなどの手口で内部の関係者から情報を奪います。また、悪意のあるプログラムをアップロードする場合に攻撃者が特に実績を上げている手口には、フィッシングやなりすましがあります。APT攻撃では、ホストシステム内に寄生して長期間に渡り機密情報を収集するといったように、長期的な観点で攻撃が行われます。

対処方法:システムを定期的に調査して異常がないか確認するといったように、プロアクティブなセキュリティ対策を実施する。モバイルデバイスを通じたフィッシング詐欺のようなソーシャルエンジニアリングの手口を警戒するよう、ユーザーを教育する。 

9. 適正評価の不備によって生じるリスク

データのクラウドへのや、既にクラウドインフラストラクチャを保有している企業を新たに買収する際に、予期せぬセキュリティリスクが生じることがあります。新たなサービスを導入する場合や企業買収を行う際には、事前に適切かつ徹底した適正評価を実施しなければなりません。また、CSPを新たに選択する際にも、把握しておくべきことがあります。誰が何を扱い、セキュリティインシデントが発生した場合には誰が責任を持つのか、どのようなセキュリティプロトコルが存在するのかを理解しておく必要があるのです。企業買収は事業を拡大するうえで非常に効果的な方法となり得ますが、それは買収先の企業に内在するクラウドのセキュリティリスクも同時に引継ぐことを意味します。そのため、デジタルエコシステム全体とセキュリティリスクを完全なかたちで把握できなければなりません。 

対処方法:事業を新たな方向へ転換する場合に生じるリスクを把握する。現状のデータ管理の状況、セキュリティプラクティス、セキュリティプロトコルを完全に把握するための問い合わせを行う。 

10. 共有テクノロジーの脆弱性

クラウドにおけるサービスとセキュリティに関するガイドの記事に、IaaS、SaaS、PaaSの3つのタイプのクラウドサービスについての記述があります。これらのサービスでは、拡張性に優れ利用の容易なハードウェアやソフトウェアをクラウド上で利用できると同時に、いくつかのセキュリティの問題にも直面します。共同住宅で入居者がスペースを共有するのと同様に組織は他の組織とリソースやサービスを共有するので、セキュリティ上の脆弱性が外部にさらされることになるのです。攻撃者はある組織のアプリケーションに存在する脆弱性を利用して別の組織の資産やデータにアクセスできてしまいます。 

対処方法:全ホストに多要素認証を導入し、共有リソースには常に最新のパッチを適用するとともに、クラウド環境の定期的なセキュリティ監査を実施する。 

ベライゾンによるサポート

実績豊富な業界屈指の企業であるベライゾンは、多数の企業がその適応力を高め、ビジネスを変革するのを、セキュアなクラウドベースのシステムやサービスを通じてサポートしてきました。お客様も是非、ベライゾンのサポートをご活用ください。ベライゾンのクラウドセキュリティソリューションの詳細については、こちらをご覧ください。