クラウドは、多数のアプリケーションを通じてユニークなデータ共有の機会を提供しますが、自由に様々なことができるようになれば、それだけセキュリティリスクが高くなります。クラウド使用に関連する重要なセキュリティ上の懸念事項について記述します。
近年、クラウドは多くの企業で採用され、業務遂行上欠かせないものになってきています。リモートユーザーやリモートデバイスをサポートしたり、業務を合理化したりするために、多くのクラウドサービスが使用されています。ですが、複数のデータセンター、多数のネットワークやデバイス、そしてアクセス権の異なる様々なレベルのユーザーが混在するクラウドは、セキュリティ問題も複雑で深刻になります。
クラウド使用が増えると、仮想環境でのサイバー攻撃も増加します。ここ2、3年の間に、クラウド絡みのいくつかの顕著なデータ侵害がありました。中でもMirai ボットネットによる Dyn に対するサービス拒否(DDoS)攻撃は最大級のサイバー攻撃でした。
クラウドには、ネットワークやデバイスへの複数のエントリポイントなど、従来のセキュリティ対策では考慮されていなかったようなセキュリティ問題があります。このブログでは、クラウド関連の重要なセキュリティ問題と、セキュリティ侵害を防ぐためのベストプラクティスについて考察したいと思います。
リスクの高いアプリケーション使用
クラウドアプリケーションの普及によって、ユーザーの生活は便利で快適になることが多いですが、アプリ全体で交換されるデータ量や各アプリ内のセキュリティの抜け穴のため、リスクは高くなります。
シマンテックのレポートによれば、企業は平均して928のクラウドアプリケーションを使用しています。ところが、CIOに質問すると、使っているアプリは40程度ではないかという答えが返ってきます。最高IT責任者が、自社で何百ものアプリケーションが使用されていることを把握していないとすれば、セキュリティ面での懸念はぬぐえません。
実際、このレポートではデータの25%がパブリックを含めて外部と共有されていることが報告されています。しかも、そのデータのうち、3%には機密情報が含まれています。
SQLインジェクション、DDoS攻撃などの脅威から組織のアプリケーションを保護するには、サーバー・ファイアウォールなどのアプリケーションレベルのセキュリティソリューションを使用して、データにアクセスできる、使用を許されるアプリケーションを指定し、データがどのような形で表示できるかを決めておくことが必要です。データがエンドポイントに放置されることがないように、安全な環境下に保持するコントロールされたファイル同期や文書エディタを組み込むこともできます。
アプリケーションスキャナ、脆弱性検査スキャナ、パッチ管理などの他のセキュリティ・ソリューションも、アプリケーション使用のリスクを軽減します。
アプリケーションコードとAPIの脆弱性
クラウド・アプリケーションのセキュリティ問題は、使用方法や交換されるデータではなく、設計方法に起因している場合があります。アプリケーションのコードとそのAPIをチェックすると、セキュリティの強度がある程度わかります。
ほとんどのクラウドベースのアプリケーションは、使いやすさを優先させて設計されており、セキュリティは二の次になっています。したがって、アプリが機能している間は、脆弱性がある可能性が高いと考えた方がいいでしょう。サードパーティーが簡単にアクセス可能なAPIとインタフェースに依存してアプリケーションを作成すると、リスクはさらに高くなります。ベンダーのすべてのアプリケーションは、セキュリティの観点からテストされ、チェックされるべきです。ベンダーにセキュリティ分析の結果報告を依頼するか、自分でテストできるような設定にするよう依頼することができます。
機密性の高いデータの保護
ある調査は、企業の62%が機密性の高い顧客データをパブリッククラウドに格納し、組織の40%はIT部門を通さずにクラウドサービスを委託しているという結果を報告しています。
こういったことをしていると、データ侵害に対して脆弱になるのはもちろん、データが侵害された場合、罰金を課されたり訴訟に巻き込まれたりする可能性があります。当然、会社の評判は大きく傷つけられます。
クラウドのプロバイダはクラウド環境を保護するためのセキュリティコントロールを導入していますが、最終的にデータを保護する責任は利用する企業にあります。データを保護する最善の方法は、多要素認証と暗号化です。データは、転送中も保存中も暗号化する必要があります。
クラウドセキュリティアライアンスは、機密データに対して以下の推奨事項を挙げています。
- データプライバシーのために、認証されたアルゴリズムと長いランダムなキーを使って暗号化する
- クラウドプロバイダに渡す前にデータを暗号化する
- データを、転送中、保存中、使用中のいつでも暗号化された状態に保つ
- クラウドプロバイダとそのスタッフが解読キーにアクセスできないようにする
- クラウドに保存または共有する際に保護する必要がある非構造化ファイルの場合は、ファイルに直接保護を適用するために、データ中心型暗号化またはファイル形式に埋め込まれた暗号化を使用する
- ログファイルやメタデータなどの見落とされがちなファイルを保護する
システムの脆弱性
システムの脆弱性やバグはクラウド特有ではありませんが、共有クラウド環境では特に問題になることがあります。
たとえば、ユーザーのデフォルト設定で古いデータベースが開かれたままになっていたため、大量のMongoDBオープンソース・データベースが、ランサムウェアの被害にあいました。
システムの脆弱性は、スキャニング、パッチ適用、報告されたシステム脅威への迅速なフォローアップなどの基本的なITプロセスで修正することが可能です。リスクを査定するためにシステムアクティビティとログを定期的に監視することも重要です。
Advanced Persistent Threats(持続的標的型攻撃)
持続的標的型攻撃(advanced persistent threat(APT)、訳者注:直訳は「高度な持続的脅威」) は、何者かがシステムへのアクセスを獲得し、検出されないままシステムに留まったときに発生します。APTはネットワーク全体を自由に動き回り、通常のトラフィックの中に紛れ込んでしまいます。ネットワークに浸透するために使用される技術を組み合わせることによって高度化された脅威です。
APTでよく利用されるエントリポイントには、スピアフィッシング、直接攻撃、マルウェアが事前にロードされたUSBドライブ、サードパーティーのネットワークなどがあります。APTへの対策は、脆弱性管理システムの維持、定期的なパッチ、インシデント対応計画、ユーザーに対するセキュリティ啓蒙トレーニングを実施するなど、セキュリティ保護のための複数の施策を実施することです。
その他の推奨策としては、ユーザーの動作とケイパビリティを監視し、それらを通常のパターンと比較して、トラフィックや使用の異常を検出する方法があります。
クラウドコンピューティングに内在する問題は、IT部門を大いに悩ませますが、ネットワークを監視して分析し、機密データ保護のための最善策を取ることで、潜在的なリスクは軽減することができます。
Kevin Howell
Kevin Howell is freelance writer and content strategist based in New Jersey. He writes about technology, cybersecurity, and HR tech. He has more than 15 years of journalism experience and has written for the New York Daily News, The Star-Ledger, The Baltimore Sun, Dice Insights, UrbanGeekz, as well as startups and established businesses.