2023 年のクラウドセキュリティの課題

対象はすべてクラウドです。ローカルストレージではなくクラウドを選択することで、大幅なコスト削減効果が得られ、大規模で多大な利便性も得られます。クラウドは市場投入のスピード、コスト削減、回復力、グローバルな展開、セキュリティ、クラウドプロバイダーによるイノベーションなど、従来のデータセンターと比較して大きなメリットをもたらすことができます。

ただし、クラウドコンピューティング特有のセキュリティ上の問題やリスクもあり、それは 99% の企業にとって重大な懸念事項となっています。ここではクラウドセキュリティの問題点、特有の課題、組織のセキュリティ体制を大幅に向上させ、クラウドを脅威から守るクラウドセキュリティのベストプラクティスについて説明しています。

クラウドにホスティングされたインフラは、脅威モデルにおいて、これまでとは大きく異なる新たなセキュリティ上の懸念をもたらします。クラウドセキュリティでは、企業は必然的に共有責任モデルにおけるセキュリティの義務の理解を深めることに加え、クラウドでプロビジョニングされたリソースの利用が増えるにつれて、攻撃対象領域が複雑化し、動的になると意識することが求められます。本質的に安全なクラウドアーキテクチャの設計は、クラウドを安全に利用するための鍵であり、攻撃対象領域を限定することになり、最初の侵入が成功した場合の爆発半径を制限できます。

クラウドセキュリティには最新のアプローチが求められていますが、従来の情報セキュリティの基本的な考え方がそのまま適用されています。企業は最終的に、重要情報の機密性、完全性、可用性を維持する必要があります。この 3 要素を実現するには、クラウドセキュリティ特有の課題について理解することが不可欠です。

クラウドセキュリティが重要となる理由

クラウドセキュリティとは、環境に関する完全な知識を確立して維持し、ハッカーがその知識にアクセスできないようにすることです。機密性の高いクラウドデータを保護するということは、こうしたデータの所在とアクセス方法を把握し、ハッカーがデータの発見、移動、抽出に悪用できるクラウドアーキテクチャのセキュリティギャップを解消するということです。

データはしばしば「新しい石油」と呼ばれます。つまり、貴重な資源です。顧客情報、医療情報、事業計画、財務情報など、さまざまな個人情報が含まれます。個人情報の漏洩は、顧客の信頼を失い、罰金や訴訟の対象となり、その他にも予想外の経済的損失やストレスを引き起こす可能性があります。

2023 年セキュリティの課題トップ 11

大小さまざまな企業が何らかのクラウドコンピューティングを導入しており、その成長に伴ってクラウドサービスの利用範囲も拡大していくことが予想されます。このため、企業はクラウドセキュリティアーキテクチャを導入して、設定ミスなどのクラウドセキュリティの脅威を最小限に抑えることが重要です。クラウドセキュリティは、誰もが懸念する問題です。セキュリティ態勢の導入や既存のセキュリティ態勢の強化に、早すぎることも遅すぎることもありません。

1. レガシーシステム

2. コンテナワークロードセキュリティ

3. データの漏洩

4. 設定ミスおよび変更のコントロール

5. クラウドセキュリティアーキテクチャ

6. オープンソース

7. ID、認証情報、アクセス管理

8. 規制コンプライアンス

9. セキュリティの確保されていない API

10. インサイダーの脅威

11. 社内の専門知識の不足

2022 年のクラウドセキュリティの主要な課題について整理してみましょう。

1.レガシーシステム

クラウドセキュリティにおいては、エンジニアリングチームがクラウド専用アーキテクチャをサポートできるよう、目的別のポリシーと人材を用意して、クラウドネイティブセキュリティツールを導入する必要があります。特に、ネットワークモニタリングやファイアウォールなどの従来型のツールは通常、クラウドと互換性がないため、クラウドインフラでのレガシーツールの使用は推奨されません。クラウド環境は十分なセキュリティが確保されず、危険にさらされる可能性が高くなります。

なぜなら、クラウド環境には真のネットワーク境界が存在せず、レガシー環境とは明らかに異なる脅威モデルだからです。たとえば、レガシーインフラでは、ファイアウォールと物理ネットワークトポロジーによって、ネットワークの内部と外部が明確に区別されています。通常、内部のリソースを外部のトラフィックで利用できるようにするには、ネットワークデバイス (ファイアウォールを含む) を明示的に設定する必要があり、それは特定のルーティングトポロジーによっても異なります。

一方、クラウドリソースはプロビジョニングと同時に一般公開されるように設定できます。そのため、セキュリティ態勢の確保においては、ゼロトラストポリシーが必要です。つまり、エンジニアリング部門は、すべてのノードを不正アクセスされる可能性のあるターゲットと想定し、ネットワークアーキテクチャ内の位置に関係なく、あらゆる通信の試行で認証と暗号化を実施する必要があります。どのノードも不正アクセスされる可能性があると想定した場合、このような攻撃で被害を受ける範囲を評価することも求められます。ハッカーは、アクセスしたリソースの API キーを利用してクラウド制御プレーンに不正にアクセスし、発見したデータを横方向に移動して、検出されることなくデータを抽出できるからです。

2.コンテナワークロードセキュリティ

クラウドで実行されるアプリケーションやワークロードの種類は、ワークステーションとベアメタルサーバーの時代から大きく進化しています。Web アプリケーションは望ましいソフトウェア配布方法の 1 つですが、それを実行するための最も一般的なプラットフォームの 1 つがコンテナです。本番環境のワークロードの 78% 以上はコンテナとしてデプロイされています。

コンテナそのものに加えて、Kubernetes のようなコンテナオーケストレーションツールにより、アプリケーションを拡張する強力なツールが提供されますが、さらなる複雑性とセキュリティ上の懸念も生じます。

コンテナは、レガシーアーキテクチャにはない新しいクラウドセキュリティの課題を示すもう 1 つの例です。Docker エンジンで実行されるようなコンテナは、多くの場合、サードパーティの公開リポジトリーから提供されるベースイメージを使用して開発されます。これらのベースイメージは古くなっているかもしれず、正規のイメージの改ざんしたバージョンをハッカーがアップロードしている可能性もあります。

この種の改ざんは、開発ライフサイクルとツールチェーン全体で動作するセキュリティツールの必要性を明確に示すものです。このような脆弱性が本番環境で発見されたということは、企業がすでに不正アクセスを受けている可能性があるということです。セキュリティ企業の Snyk はDocker と提携してスキャンやイメージ認証を提供し、公開イメージリポジトリーのセキュリティを高めています。

3.データの漏洩

データの漏洩は、常にセキュリティインシデントの上位に挙がります。よく報道される問題であり、最先端のクラウドユーザーも被害を受ける可能性があります。

被害を回避するには、データには価値があり、不用意にデータを公開すると甚大な損失が生じる可能性があると理解することが重要です。そのため、常に暗号化を採用し、厳重にテストされた強力なインシデント対応計画を立てることが推奨されます。データ入出力の整合性ルーチンの導入は必須です。リスクを軽減するには、セキュリティ管理策に優先順位を設定し、文書化しておく必要があります。

また、前述のように、データ漏洩は企業の信用を大きく損なう可能性があります。Capital One のクラウド設定ミスでは、まさにこの事態が発生しました。データ漏洩を起こした企業は訴訟に巻き込まれて社会の注目を集める可能性があり、規制当局の印象を損ねる場合もあります。また、個人を特定できる情報や医療に関する情報がブラックマーケットで取引されるおそれもあります。

4.設定ミスおよび変更のコントロール

すべての企業は、クラウドに保存するデータに関する原則、つまり人間と機械のどちらがデータにアクセスするか、また、社内とクラウドプロバイダーの両方で適用されている保護のレベルについて把握しておく責任があります。

現実的に考えると、膨大な数のセキュリティ対策を用意しても、そのチェックリストだけでは、クラウドデータの安全は確保できません。クラウド環境は常に変化しているため、設定を誤ると、企業のデータが不正にアクセスされかねない脆弱性が生じ、ハッカーの攻撃により、ものの数分でデータが漏洩することがあります。調査対象企業の 56% 以上は設定ミスまたは既知の脆弱性インシデントの被害を受けていました。

設定ミスのリスクを最小限に抑えるには、変更管理は厳格に行うことが推奨されます。これには、システムに対する変更の要求、承認、検証、およびログ記録が含まれます。変更を効果的に管理できない場合、クラウドの設定ミスやデータ漏洩が生じる可能性があります。

Policy as Code は設定ミスを防ぐもう一つの方法であり、これによりセキュリティチェックを自動化できます。また、解釈、評価、適用の違いを排除することで、セキュリティポリシーのすべての利害関係者が信頼できる唯一の情報源を使用して運用できるようになります。また、ヒューマンエラーや時間のかかる手動のプロセスも排除できます。Open Policy Agent は、Policy as Code のオープンソース標準として登場しており、Netflix、Pinterest、CloudFlare などの企業によって使用され、サポートされています。

5.クラウドセキュリティアーキテクチャ

企業の多くはクラウドセキュリティアーキテクチャや戦略を考慮していません。クラウドセキュリティには、クラウド環境の設計段階で取り組むことが最善であるため、クラウドをすぐに導入するのではなく、まず自社がどのような脅威にさらされているかを把握し、クラウドセキュリティアーキテクチャの専門家をチームに配置するようにしましょう。導入前に、適切な移行手法と戦略を採用する必要があります。エンジニアリングチームは、クラウドサービスのセキュリティプログラムを精査して、公開クラウドのセキュリティリスクを最小化することも求められます。

第三者による監査を実施し、報告書を共有する必要があります。また、クラウドプロバイダーのテクノロジーソリューションを補完するために、不正アクセスについて報告する条件を規定することも必要です。

6.オープンソース

カルチャー、プロセス、パッケージのメンテナンス、さらには開発者ツールの観点から、クラウドのオープンソースセキュリティエコシステム全体のセキュリティ態勢と成熟度を向上する取り組みが進められています。オープンソースのツール、プラットフォーム、コードをクラウドシステムに採用する場合、そのリスクを理解することが重要です。「知識は力なり」です。このため、主要なリスクを理解することは、組織のセキュリティ強化につながります。

オープンソースのツールに関する主なリスクとしては、ツールを使用する際に専用のサポートがない場合があること、またサポートが非公式で不十分な場合があることが挙げられます。また、オープンソースコンポーネントの脆弱性は多くの場合、オープンソースコミュニティや監視団体によって公表されます。これにより、企業は望まない精査やセキュリティ攻撃を受ける可能性があります。

7.ID、認証情報、アクセス管理

企業には数百人または数千人のエンジニアが在籍しているため、従業員の役割やニーズに基づいてアクセスを設定する必要があります。簡単に言うと、アクセス制御の問題に関しては、最小権限の原則を適用すると同時に、データの安全な廃棄と削除の手順とポリシーを確立することが重要です。 

全体として、プロビジョニングとデプロビジョニングの問題、ゾンビアカウント、過剰な管理者アカウント、ID とアクセス管理 (IAM) コントロールをバイパスするユーザーに対処するため、クラウド認証情報を継続的に監査、追跡、モニタリング、管理することが最善です。

IAM は、最新のクラウドの不正アクセスに対して中心的な役割を果たしています。IAM のリスクには、人や物に対する人間のアクセスだけでなく、多くのことが関係しています。IAM は基本的にクラウド内のネットワークであり、クラウドリソースは IAM を利用して他のクラウドリソースと通信します。コンプライアンス監査や多くのセキュリティツールによって警告されない、安全でない IAM 設定については、クラウド環境での IAM の利用を慎重に評価する必要があります。Infrastructure as Code の開発の場合は、安全でない IAM 設定を警告する Policy as Code のチェックを行う必要があります。

また、企業の対策として、2 要素認証の採用、厳格な IAM クラウド制御の遵守、API キーの定期更新、未使用の資格情報の廃止も推奨されます。

8.規制コンプライアンス

クラウドのセキュリティ対策と同様に、クラウドにおける規制遵守、特に医療や金融のデータを扱う場合、企業はその責任分担を理解し、明確にしておく必要があります。規制は数多く存在し、しかも常に変化しています。そのため、企業はクラウドサービスプロバイダーとアプリケーションについて、機密データを扱う上でのコンプライアンスが確保されているという認定を確認することが重要です。

クラウドを利用する企業が注意すべきデータ関連の規制は少なくとも 4 種類あります。

• HIPAA: 保護された医療情報を処理する医療アプリケーションは、「医療保険の相互運用性と説明責任に関する法律」に関連するプライバシーおよびセキュリティ規則の適用を受けます。HIPAA では、ヘルスケア事業者に対して、クラウドプロバイダーがこの種のデータを保護するという保証を得ることを要求する場合があります。

• PCI: PCI DSS (Payment Card Industry Data Security Standard) は、American Express、Discover、Mastercard、Visa などの主要なカード決済システムのクレジットカードを扱う企業を対象とした規格です。この規格への準拠は、クレジットカード会社によって義務付けられています。この規格は Payment Card Industry Security Standards Council によって監督されており、クレジットカードの不正使用を防ぐために作成されました。

• 個人情報: これには、消費者、従業員、パートナー、ほとんどの法人を識別する情報が含まれます。個人情報に関する法律を遵守するため、多くの情報漏洩規制では、企業に対してコンプライアンスに関する報告や、発生した可能性のあるインシデントの公表を義務付けています。

• GDPR:一般データ保護規則 (GDPR) は、欧州連合内における個人データ保護を強化するために施行されています。氏名、住所、写真、電子メールアドレス、銀行口座情報、ソーシャルネットワークへの投稿、医療情報、IP アドレスなどのデータは、EU 圏内のサーバーに保存し、維持する必要があります。企業はデータ漏洩が発生した場合、個人に通知することが義務付けられています。

9.セキュリティの確保されていない API

クラウドサービスには、API、つまりアプリケーションプログラミングインタフェースが付属しています。顧客向けには通常、十分なドキュメントが用意されています。ただし、企業が設定を誤ると、不正アクセスの原因を作り出してしまいかねません。また、クラウドサービスプロバイダーのドキュメントは、ハッカーがピンポイントで脆弱性を攻撃して、機密データを盗むために悪用されるおそれもあります。

さらに、顧客向けに用意された API ドキュメントをハッカーが悪用し、企業のクラウド環境から機密データにアクセスし、流出させる潜在的な方法を見極めるために悪用されるおそれもあります。

そのため、適切な API ハイジーンを実践し、標準的でオープンな API フレームワークをデプロイして、API キーの再利用を避けることが最善です。APIのセキュリティをテストし、適用される法律、法令、規制の要件に準拠するようにしてください。

10.インサイダーの脅威

これはクラウドに限ったことではありません。それでも、故意または過失にかかわらず、現従業員や元従業員、請負業者、パートナーが原因でデータの漏洩、ダウンタイム、消費者の信頼喪失が引き起こされることがあります。

インサイダーのもたらす脅威には、データ流出や盗難、資格情報の問題、ヒューマンエラー、クラウドの設定ミスなどが含まれます。このような事態に対処するには、セキュリティ意識を向上する教育、クラウドサーバーの設定ミスの修正、重要システムへの厳格なアクセス制御などが必要です。

11.社内の専門知識の不足

これはおそらく現在、企業で直面している最大の、悪意のないインサイダー脅威であり、この概念はこの記事ですでに説明した多くの項目の集大成ともいえるものです。

クラウドプラットフォームや API の設定を誤ると、多数のデータ脆弱性を悪用されやすくなる点に注意してください。データ規制を理解してj遵守しないと、政府当局に厳しく咎められるだけでなく、企業の信用を損なうことにもなりかねません。アクセス制御と変更管理が適切、かつ文書化して行われないと、社内外の脅威に対して企業の脆弱性が残ったままとなり、好ましくない世間の注目を集め、訴訟が起こされるおそれがあります。

Snyk でクラウドセキュリティの課題を克服する

クラウドへの移行が進む一方で、約 60% の企業がクラウドネイティブ戦略を採用してから、セキュリティに対する懸念が高まったと回答しています。

クラウドに対する大規模な攻撃や不正アクセスの多くは、アプリケーションの脆弱性に対する攻撃、または設定ミスと脆弱性の複合的な組み合わせによるものです。そのため、開発部門とセキュリティ部門は今、クラウドネイティブアプリケーションのセキュリティを確保する上でのベストプラクティスを理解する必要があります。

クラウドネイティブの専門家が実践している方法で、アプリケーションのセキュリティを確保しましょう。Snyk の開発者セキュリティソリューションでは、開発者がコードやオープンソースからコンテナやクラウドインフラまで、アプリケーション全体のセキュリティを責任を持って構築し、最新のアプリケーションを安全に開発できるよう支援しています。