コンプライアンス
クラウド環境の設定ミスによるリスクと損害を軽減するためにできること
クラウド環境における設定ミスは、サイバー攻撃やデータ侵害が発生し、法人組織がその影響に対処しなければならなくなった困難な状況で発見される傾向にあります。これらの設定ミスは、ビジネスやクラウドセキュリティにどのような影響を与えるのでしょうか?また、それらの影響を軽減するために、法人組織は何をすればよいのでしょうか?
法人組織が自社のデジタルトランスフォーメーション(DX)を推進する中で発生するクラウド移行時の設定ミスは成長痛の一部とも考えることができます。クラウド環境における設定ミスは、サイバー攻撃やデータ侵害が発生し、法人組織がその影響に対処しなければならなくなった困難な状況で発見される傾向にあります。これらの設定ミスは、ビジネスやクラウドセキュリティにどのような影響を与えるのでしょうか?また、それらの影響を軽減するために、法人組織は何をすればよいのでしょうか?
■ クラウド環境の設定ミスが招いた多額の損失
企業向けオンラインメディア「Tech Republic」は2020年に、クラウドの設定ミスが2018年から2019年にかけて5兆米ドル(約572.8兆円)の損失を法人組織にもたらしたと報告しています。その大半は、設定ミスを原因としたデータ侵害によるものです。設定ミスは、データ侵害のほかにもさまざまな形で法人組織に損失をもたらす可能性があります。いくつかの例としては、アイドル状態のインスタンス(サービスを実行する必要がないにもかかわらず、料金を支払っている状態)や未使用のストレージ、あるいは「データセンター」や「オンプレミス」といった考え方がもたらす過剰プロビジョニングなどが挙げられます。
セキュリティの観点から、設定ミスは雪だるま式に損失やコストを増加させる可能性があります。データ侵害により、記録やデータ、インフラストラクチャが流出した場合、損害賠償や謝罪金の支払いに加えて、低下した企業イメージや評判による金銭的損失につながることになります。最終的には、これらのコストが積み重なり、あらゆるビジネスに壊滅的な影響を与えることにもなりかねません。
■ クラウドの設定ミスがデータ侵害のリスクを高める
オンラインストレージの暗号化は、スイッチを入れることと同じくらい簡単に有効にできます。しかし、このスイッチを入れなかった場合(通常、デフォルトでは有効になっていないため)、保存されているデータが完全な形で流出してしまう可能性があります。このように簡単な操作で複雑な問題を未然に防ぐことができます。攻撃者はこのことを認識しており、これらの見落とされたセキュリティ上の弱点を探索しています。攻撃者は、スクリプトやボットを作成して、まさにこのような付け入る隙を探し出し、隙あらば、できる限りのデータを抽出しようと試みます。
攻撃活動にかかるコストは、標的とするデータや、構成に関連付けられた基盤となるクラウド・インフラストラクチャによって異なります。クラウド環境内での内部活動(水平移動)は、設定ミスが悪用された後に実行されます。参考までにセキュリティ研究開発機関「IBM Security」の報告では、紛失または窃取された記録1件あたりにかかるコストは平均161米ドル(約1.8万円)、個人識別可能情報(PII)の場合は平均180米ドル(約2.1万円)となっています。
■ クラウドの設定ミスが脆弱性になる可能性
クラウド環境における設定ミスは主に利用者である法人組織とその開発者の責任であり、クラウドサーバに内在する脆弱性の修正は主にセキュリティパッチ(修正プログラム)をリリースする責任を担うサービスプロバイダに依存しています。これらの根本的な違いはあるものの、設定ミスと脆弱性の双方がインターネット上への露出や攻撃の成功につながる場合があります。対処されていない設定ミスと脆弱性は、この種の機会を常に積極的に探し求めている攻撃者にとっての格好の標的となる可能性があります。
■ クラウドの設定ミスとデータ侵害
トレンドマイクロが最近公開したレポートでは、データ侵害につながる可能性のある最も一般的なクラウドの設定ミスに関する調査結果をお伝えしました。トレンドマイクロが確認した一般的な設定ミスのいくつかは重大度の高いものでした。具体的には、仮想マシンのジャストインタイム(JIT)アクセスの有効化や、Azure Blob Storageの不変ストレージの有効化などが含まれます(図1)。
さらにトレンドマイクロのデータでは、Amazon Simple Storage Service(S3)におけるルール違反の頻度が高いことが明らかとなりました。とはいえ、最悪の事態を危惧する前に、データをさらに検証する必要があります。1つは、すべてのAmazon S3バケットが暗号化されるとは限らないことです。場合によっては、暗号化が必要とされないこともあります。これは、公開サイト、あるいはアプリケーションを介して誰もがアクセスできる必要のあるデータなど、平文で提供される場合に該当します。
暗号化は状況に応じて実行できる一方で、データの分類はすべての状況に応じて実行できませんが、実行されるべきです。そのためには、ストレージコンテナ内に何を保存するのか?それらのデータは暗号化する必要があるのか?これらの質問に常に答えを出す必要があります。クラウドセキュリティポスチャ管理(CSPM)技術は、利用者のデータにアクセスすべきではないため(クラウドプロバイダも同様)、データの暗号化レベルを決定するのは利用者である法人組織次第となります。このため法人組織は、これらの評価を自社で行っているかどうか、また、クラウド内で何が起こっているかを可視化できているかどうかを確認する必要があります。
概して、トレンドマイクロがレポート内で列挙した重大度の高い設定ミスは、潜在的にデータ侵害を招く恐れがあるため、重大な被害につながる可能性があります。データ侵害がもたらす影響には、風評被害、データプライバシー法違反、運用上の問題などがあります。
データ侵害が法人組織にもたらす可能性のある最悪のシナリオは、ビジネスにおける機会損失です。顧客や取引先は、データや知的財産に対して最も強固なセキュリティを期待しています。これらのいずれかが侵害された場合、法人組織はおそらく風評被害に直面することになります。
■ クラウドの設定ミスを軽減するためにできることは?
設定ミスが見つかった場合は、何らかの形で対処することができます。しかし、設定ミスにより生じた攻撃被害から失地回復することが難しい理由は、攻撃を受ける前に設定ミスに対処できていれば、簡単に被害を回避できたはずだからです。このため、クラウドの設定ミスを軽減するために何ができるかを学ぶことが推奨されます。
■ セキュリティの自動化
自動化と可視化は、今日、トレンドマイクロがお客様のクラウド環境内で目にする一番の問題点です。クラウドへの移行を安全に処理する技術者は確かに存在しますが、一方でIT人材の不足も問題視されています。DevOpsチームは記録的な速さでアプリを構築し、毎日・毎時リリースしていますが、セキュリティチームが常に追いつくことができるとは限りません。このような事態に対処するには、業務を自動化し、補強することが一つの手段となります。ソフトウェア定義インフラストラクチャ(Software-Defined Infrastructure、SDI)や、インフラをコードとして扱う「コードとしてのインフラストラクチャ(Infrastructure as Code、IaC)」の手法、または、最新のテンプレートやコンテナを導入することで、自動化と拡張を手助けすることができます。
■ コンプライアンスの自動化
法人組織が使用する運用サイクルを自動化しコンプライアンスを組み込むことは、基本的な取り組みであると認識する必要があります。これは、クラウドプロバイダによって設定された重要な基準です。クラウドセキュリティに関しては、様々な国際標準の対象範囲のみならず、クラウドプロバイダが言及した基準や、法人組織が所属する特定の業界におけるベストプラクティスも含めなければなりません。
■ 従業員への技能向上支援
クラウド環境やDevOps体制が急速に発展しています。ところが、学生や未来のプログラマにセキュリティに配慮した開発手法が浸透していません。プログラマは本来意識するべきセキュリティに重点を置いた開発を行っていないため、セキュリティに影響を与えるバグ(不具合)が絶えず発生します。コードとしてのインフラストラクチャ、ソフトウェア定義インフラストラクチャ、DevOpsサイクルにクラウドセキュリティポスチャ管理技術を統合することが、この課題を解決することに役立ちます。つまり、IT人材の技術・能力を向上させることで、プログラムの企画・設計段階からセキュリティを確保することができるようになります。「シフトレフトテスト」の考え方にあるように、開発ライフサイクルの早い段階から「テスト活動」を実施することで、問題点を早期に発見できるようになります。 概して、クラウドは設定ミスが発生しやすい環境であることを組織全体で把握することが重要です。クラウドセキュリティにおいては、クラウドサービスプロバイダ(CSP)とクラウド利用者が各々で担う「共有された責任」の上での責任範囲の所在について明確化されています。したがって、法人組織はその責任を果たし、クラウド環境の安全性を維持することに努める必要があります。これは特に、法人組織が新型コロナウイルスのパンデミック(世界的大流行)に迅速に対処しなければならない場合に困難な課題となる場合があります。それでも、より深刻な被害を回避し、クラウド環境での信頼性を高めるには、セキュリティを優先させなければなりません。
参考記事:
- 「What You Can Do to Mitigate Cloud Misconfigurations」
by Aaron Ansari
記事構成:高橋 哲朗(セキュリティマーケティンググループ)
平子 正人(セキュリティマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)
