SolarWindsのケースから見る、クラウドセキュリティ接続の脆弱性:企業の3分の1がセキュリティ問題を経験(1/2 ページ)
FireEyeは2020年12月に、SolarWindsの大規模なデータ侵害について報告したが、この時はまだ、「これらのデータ侵害は、既に定着しているクラウド接続の存在なしには発生し得なかった」ということがすぐには分からなかった。
FireEyeは2020年12月に、SolarWindsの大規模なデータ侵害について報告したが、この時はまだ、「これらのデータ侵害は、既に定着しているクラウド接続の存在なしには発生し得なかった」ということがすぐには分からなかった。
SolarWindsの不正侵入では、クラウドのサイバーセキュリティホールを利用することで、リモートソフトウェアのアップデート処理が乗っ取られ、クラウド技術/導入の根本的な欠陥が露呈した。
FugueとSonatypeは、2021年5月に発表した調査報告書「State of Cloud Security 2021」によると、2020年には、企業全体の約3分の1が、深刻なクラウドセキュリティやデータの侵害、データ漏えいなどの問題を経験したという。クラウド侵害の主な原因となっているのが、クラウドの設定ミスだ。クラウドの専門家が行った300件の調査のうち、全体の83%の企業が、設定の誤りが原因で生じる重大なデータ違反のリスクにさらされていることが明らかになったという。
ほとんどのリスクの発生要因として挙げられるのが、“膨大かつ複雑な”エンタープライズクラウドインフラ環境と、その動的な性質だ。複数のAPIと、管理を必要とするインタフェースとで構成されているためだ。この他にも、設定ミスの主要な要因としては、制御・監視が不十分であることや、セキュリティポリシーが軽視されていることなどがある。
設定ミスに関しては通常、Cloud Shared Responsibility Model(クラウドの共有責任モデル)に基づき、プロバイダーではなくクラウド顧客の責任とされている。Aqua Securityが同社のクライアント数百社について、1年分のクラウド設定データを分析したところ、全体の90%において、クラウドの設定ミスが原因で発生する、セキュリティ侵害に対する脆弱性が存在していることが明らかになったという。また、設定ミスに関する全ての問題に対応できている企業は、全体の1%を下回るという。大規模な企業が、既知の問題を全て解決するために要した期間は、平均で88日間だったため、攻撃者がそれを悪用するための時間を延長していることになる。
急速なクラウド移行で「セキュリティの維持が困難に」
Verizonが発表した、データ侵害に関する最新年次レポートによると、現在ではほとんどのサイバーセキュリティインシデントにおいて、クラウドインフラが関与しているという。さらに、内部ではなく外部のクラウドアセットが関与するケースが増加しているようだ。Thalesは、こうした状況を説明し得る1つの要因として、「われわれが行った調査の結果、事業体の半数が、データ全体の40%超を外部クラウド環境に保存しているが、ほとんどの機密データが暗号化されていない状況にある」と指摘する(参考)。
Vectra AIが2021年8月に、Amazon Web Services(AWS)ユーザーに関する調査を行ったところ、2020年中にパブリッククラウド環境において少なくとも1回のセキュリティインシデントを経験した割合は、100%だったという。また、Tripwireが2021年7月に発表したレポートによると、現在、企業の大半がマルチクラウド環境で作業を行っているが、その98%が、「ますます多くのセキュリティ関連の難題に直面するようになってきた」と回答したという。
「共有責任モデルに関しては、“誰が何をするのか”が不明瞭だ」と指摘する声や、「クラウドプロバイダーは、セキュリティ関連の取り組みを強化すべきだ」とする意見も多い。
企業の経営幹部たちは、組織のデジタル化を急いでいる。クラウド関連のほぼ全ての調査において、「パブリック/ハイブリッドクラウドの導入を急激に進めることにより、セキュリティの維持が難しくなる」ということが認識されている。このような急激な移行が求められている背景にあるのは、新型コロナウイルス感染症(COVID-19)のパンデミックだ。
また、急速な導入によって、悪評高い、「マイクロソフトエクスチェンジサーバ(MES:Microsoft Exchange Server)」への攻撃も増加している。Palo Alto Networksの研究グループが2021年初めに行った調査によると、攻撃にさらされたMES全体の79%が、クラウドで発生したという。Palo Alto Networksの研究者はブログで、「クラウドは本質的に、インターネットに接続されているため、新しく公的アクセスが可能になったクラウドを通常のITプロセスの外で立ち上げることは驚くほど簡単だ。これはつまり、不十分なデフォルトのセキュリティ設定が使用されていたり、セキュリティ設定そのものが忘れられた場合などもあるということだ」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.